Hi,

sieht bis auf Kleinigkeiten soweit gut aus!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL (im allgemeinen C:\_OTL)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Dies sind die Ergebnisse des Run Fix Befehls aus dem results Fenster!


All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Boss
->Temp folder emptied: 106888 bytes
->Temporary Internet Files folder emptied: 419072 bytes
->Flash cache emptied: 56550 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56475 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Lukas
->Temp folder emptied: 175774900 bytes
->Temporary Internet Files folder emptied: 29027973 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1119975704 bytes
->Flash cache emptied: 76198 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 267046255 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 52224 bytes
RecycleBin emptied: 229239343 bytes

Total Files Cleaned = 1.737,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 02192012_132741

Files\Folders moved on Reboot...
C:\Users\Lukas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Hi,

bitte die restlichen Logs noch posten...

chris

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.19.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Lukas :: NB1 [Administrator]

Schutz: Aktiviert

19.02.2012 14:02:44
mbam-log-2012-02-19 (14-02-44).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327008
Laufzeit: 59 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\user\Programme\PDFGrabber\SoftonicDownloader_fuer_pdfgrabber.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Darunter war noch irgendein Log:

2012/02/19 13:59:58 +0100 NB1 Lukas MESSAGE Starting protection
2012/02/19 14:00:00 +0100 NB1 Lukas MESSAGE Protection started successfully
2012/02/19 14:00:03 +0100 NB1 Lukas MESSAGE Starting IP protection
2012/02/19 14:00:04 +0100 NB1 Lukas MESSAGE IP Protection started successfully
2012/02/19 15:17:00 +0100 NB1 Lukas MESSAGE Starting protection
2012/02/19 15:17:03 +0100 NB1 Lukas MESSAGE Protection started successfully
2012/02/19 15:17:06 +0100 NB1 Lukas MESSAGE Starting IP protection
2012/02/19 15:17:08 +0100 NB1 Lukas MESSAGE IP Protection started successfully
2012/02/19 15:37:08 +0100 NB1 Lukas MESSAGE Executing scheduled update: Daily
2012/02/19 15:37:18 +0100 NB1 Lukas MESSAGE Starting database refresh
2012/02/19 15:37:18 +0100 NB1 Lukas MESSAGE Scheduled update executed successfully: database updated from version v2012.02.19.01 to version v2012.02.19.02
2012/02/19 15:37:18 +0100 NB1 Lukas MESSAGE Stopping IP protection
2012/02/19 15:38:39 +0100 NB1 Lukas MESSAGE IP Protection stopped
2012/02/19 15:38:41 +0100 NB1 Lukas MESSAGE Database refreshed successfully
2012/02/19 15:38:41 +0100 NB1 Lukas MESSAGE Starting IP protection
2012/02/19 15:38:42 +0100 NB1 Lukas MESSAGE IP Protection started successfully

So, hab jetzt auch TDSS von Kaspersky durchlaufen lassen der Report dazu befindet sich in einem txt im Anhang. Mit MAM hatte ich ein bißchen Probleme, da dieser eine Datei gefunden hatte, mir aber nicht wirklich einen Report geben wollte. Also habe ich einfach das gepostet, was ich gefunden habe. Interssant war auch, das mein Virenprogramm (AntiVir) kurz darauf einen Fund gemeldet hat und zwar: In der Datei 'C:\Users\Lukas\AppData\Local\Mozilla\Firefox\firefox.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.56209' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Ich weiß jetzt nicht genau was das zu bedeuten hat, sprich blockieren sich die ganzen Anti-Malware programme jetzt gegenseitig oder hat MAM da was übersehen?
LG
LKK

Habe mit AntiVir diese firefox exe Datei entfernt.

Hi,

das war so ok. Du hast MAM als mitlaufenden Scanner installiert (Testphase von 30 Tagen), das wäre nicht notwendig gewesen.

Nicht alle Scanner finden immer alles.. ;o)...

Poste bitte einen neuen OTL-Log...

chris