Hallo,

erst mal hoffe ich das richtige Subforum gefunden zu haben.

Ich habe mir gestern wohl den genannten Virus? eingefangen und mich dann mal versucht ein wenig schlau zu machen und hoffe nun alles richtig gemacht zu haben (kenne mich hier zu wenig aus), um nun wieder "ungestört" meinen Laptop nutzen zu können!? So nun mal zu dem was passiert ist.

Nach dem Starten des Rechners aus dem Stand-by-Modus und dem abrufen / lesen von Mail etc. begann wie immer der Virenscanner (G Data) zu laufen. Als ich dann einige Mails gelesen / gelöscht bzw. links geöffnet habe ging eine Warnmeldung meines Virenscanners auf und hat nach der Ausführung / Zustimmung zu einer Aktion gefragt. Da mir diese nichts sagte habe ich diese abgelehnt und danach fingen die Smart Fortress 2012 Meldungen an. Ich habe dann noch versucht mein Scanprogamm bzw. den Windowsdefender zu starten, was jedoch nicht funktioniert hat. Dann habe ich direkt das Netzwerkkabel gezogen, mit meinem Handy nach einer Info gesucht und bin dabei auf den Link zum http://www.trojaner-board.de/110669-...entfernen.html gestoßen.

Um überhaupt etwas ausführen zu können habe ich dann erst mal die Anleitung abgearbeitet. Habe dann also erst mal RKill über den ersten Link geladen und zweimal laufen lassen. Die Ergebnisse waren beide Male wie folgt

Code: Alles auswählenAufklappen

ATTFilter

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 

Rkill was run on 02.04.2012 at 18:21:01. 
Operating System: Windows Vista (TM) Home Premium 


Processes terminated by Rkill or while it was running: 

C:\Windows\system32\conime.exe
C:\Windows\system32\conime.exe


Rkill completed on 02.04.2012 at 18:21:03.
         

Im Anschluss habe ich dann wie angegeben in den Proxyeinstellungen geschaut, hier jedoch nichts ändern müssen und dann Malwarebytes (über Firefox) geladen und (ohne Namensänderung) wie in diesem Threat http://www.trojaner-board.de/51187-a...i-malware.html beschrieben angewendet.

Wie beschrieben habe ich erst den QuickScan und nachdem (Neustart) dann alles soweit ohne Probleme im normalen Modus lief habe ich dann noch einen Vollscan gemacht.


Bericht QuickScan

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.02.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Frank :: BRAUNERBÄR [Administrator]

02.04.2012 18:31:53
mbam-log-2012-04-02 (18-31-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 194941
Laufzeit: 4 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|F4D55F170001619A005EB8AF570F1C8B (Trojan.FakeAlert) -> Daten: C:\ProgramData\F4D55F170001619A005EB8AF570F1C8B\F4D55F170001619A005EB8AF570F1C8B.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|GrpConv (Trojan.Agent.Gen) -> Daten: grpconv -o -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\Frank\AppData\Roaming\0000005738 (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\ProgramData\F4D55F170001619A005EB8AF570F1C8B\F4D55F170001619A005EB8AF570F1C8B.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\grpconv.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Frank\AppData\Roaming\0000005738\base.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Frank\AppData\Roaming\0000005738\base2.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Frank\AppData\Roaming\0000005738\Desc.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Frank\AppData\Roaming\0000005738\spline.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Bericht Vollscan

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.02.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Frank :: BRAUNERBÄR [Administrator]

02.04.2012 21:31:07
mbam-log-2012-04-02 (21-31-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 422251
Laufzeit: 4 Stunde(n), 10 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Frank\Documents\Privat\Lustiges\exe\alkomat.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Leider dann erst etwas später habe ich gesehen das ich erst posten sollte und wie ich beim eröffnen eines Themas vorgehen sollte und hier nun noch die Infos aus den durchgeführten Überprüfungen.

Schritt 1
defogger wurde auf disable gesetzt und mit OK beendet. (Soll ich die TXT auch posten?)

Schritt 2
dds wurde geladen und hier der dds Logfile (Attach wie gewünscht in der ZIP Datei)

Code: Alles auswählenAufklappen

ATTFilter

.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_29
Run by Frank at 18:07:21 on 2012-04-03
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3069.1418 [GMT 2:00]
.
AV: G DATA InternetSecurity 2009 *Enabled/Updated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: G DATA Personal Firewall *Enabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Program Files\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Toshiba TEMPRO\TemproSvc.exe
C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
C:\Windows\system32\TODDSrv.exe
C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
C:\Program Files\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Toshiba\HDMICtrlMan\HDMICtrlMan.exe
C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Toshiba\SmoothView\SmoothView.exe
C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\G DATA\InternetSecurity\AVKTray\AVKTray.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\AirPort\APAgent.exe
E:\Music\iTunes\iTunesHelper.exe
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\taskmgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\G DATA\InternetSecurity\AVK\AVK.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\conime.exe
c:\program files\windows defender\MpCmdRun.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\SearchFilterHost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.rp-online.de/
uDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
mDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: {e312764e-7706-43f1-8dab-fcdd2b1e416d} - c:\program files\pdfforge toolbar\SearchSettings.dll
BHO: G DATA WebFilter: {0124123d-61b4-456f-af86-78c53a0790c5} - c:\program files\g data\internetsecurity\webfilter\AVKWebIE.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - No File
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: Windows Live ID-Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
BHO: CmjBrowserHelperObject Object: {ac41d38f-b56d-40ad-94e0-b493d130c959} - c:\program files\mindjet\mindmanager 6\Mm6InternetExplorer.dll
BHO: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\WidgiToolbarIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: {e312764e-7706-43f1-8dab-fcdd2b1e416d} - c:\program files\pdfforge toolbar\SearchSettings.dll
TB: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\WidgiToolbarIE.dll
TB: G DATA WebFilter: {0124123d-61b4-456f-af86-78c53a0790c5} - c:\program files\g data\internetsecurity\webfilter\AVKWebIE.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
uRun: [TOSCDSPD] TOSCDSPD.EXE
uRun: [TotalSecure2009] c:\program files\ts-2009\scan.exe
uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
mRun: [NDSTray.exe] NDSTray.exe
mRun: [cfFncEnabler.exe] cfFncEnabler.exe
mRun: [topi] c:\program files\toshiba\toshiba online product information\topi.exe -startup
mRun: [Google EULA Launcher] c:\program files\google\google eula\GoogleEULALauncher.exe IE PA
mRun: [Toshiba TEMPO] c:\program files\toshiba tempro\Toshiba.Tempo.UI.TrayApplication.exe
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe"
mRun: [Camera Assistant Software] "c:\program files\camera assistant software for toshiba\traybar.exe" /start
mRun: [HDMICtrlMan] c:\program files\toshiba\hdmictrlman\HDMICtrlMan.exe
mRun: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
mRun: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
mRun: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
mRun: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
mRun: [Toshiba Registration] c:\program files\toshiba\registration\ToshibaRegistration.exe
mRun: [jswtrayutil] "c:\program files\jumpstart\jswtrayutil.exe"
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\AppleSyncNotifier.exe
mRun: [pdfSaver3] 
mRun: [SearchSettings] c:\program files\pdfforge toolbar\SearchSettings.exe
mRun: [GDFirewallTray] c:\program files\g data\internetsecurity\firewall\GDFirewallTray.exe
mRun: [G DATA AntiVirus Trayapplication] c:\program files\g data\internetsecurity\avktray\AVKTray.exe
mRun: [Toshiba TEMPRO] c:\program files\toshiba tempro\TemproTray.exe
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Samsung PanelMgr] c:\windows\samsung\panelmgr\SSMMgr.exe /autorun
mRun: [CD- und DVD-Sharing] "c:\program files\cd- und dvd-sharing\ODSAgent.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [AirMac Base Station Agent] "c:\program files\airport\APAgent.exe"
mRun: [iTunesHelper] "e:\music\itunes\iTunesHelper.exe"
dRun: [TOSHIBA Online Product Information] c:\program files\toshiba\toshiba online product information\topi.exe
StartupFolder: c:\users\frank\appdata\roaming\micros~1\windows\startm~1\programs\startup\micros~1.lnk - c:\windows\installer\{91120000-0030-0000-0000-0000000ff1ce}\outicon.exe
StartupFolder: c:\users\frank\appdata\roaming\micros~1\windows\startm~1\programs\startup\regist~1.lnk - e:\programme\support\register\RegistrationReminder.exe
StartupFolder: c:\users\frank\appdata\roaming\micros~1\windows\startm~1\programs\startup\trdcre~1.lnk - c:\program files\toshiba\trdcreminder\TRDCReminder.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: DisableCAD = 1 (0x1)
IE: Add to &Evernote - c:\program files\evernote\evernote3.5\enbar.dll/2000
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - e:\programme\icq7.2\ICQ.exe
IE: {76577871-04EC-495E-A12B-91F7C3600AFA} - hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4
IE: {8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {2F72393D-2472-4F82-B600-ED77F354B7FF} - {6FE6A929-59D1-4763-91AD-29B61CFFB35B}
IE: {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - {AC41D38F-B56D-40AD-94E0-B493D130C959} - c:\program files\mindjet\mindmanager 6\Mm6InternetExplorer.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
IE: {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - {BC0E0A5D-AB5A-4fa4-A5FA-280E1D58EEEE} - c:\program files\evernote\evernote3.5\enbar.dll
DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{2C6AD4DD-0CBF-42ED-A684-F11C75366BB8} : DhcpNameServer = 192.168.44.1 192.168.44.1
TCP: Interfaces\{5D6132B2-D2DC-4B3B-A6B7-075FBA0F099B} : DhcpNameServer = 192.168.2.1
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Notify: igfxcui - igfxdev.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
Hosts: 127.0.0.1	www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\frank\appdata\roaming\mozilla\firefox\profiles\bzxrm7o5.default\
FF - prefs.js: browser.search.selectedEngine - WEB.DE Suche
FF - prefs.js: browser.startup.homepage - hxxp://www.rp-online.de/
FF - prefs.js: keyword.URL - hxxp://go.web.de/tb2/mff_keyurl_search/?su=
FF - component: c:\users\frank\appdata\roaming\mozilla\firefox\profiles\bzxrm7o5.default\extensions\{e0b8c461-f8fb-49b4-8373-fe32e9252800}\platform\winnt_x86-msvc\components\enbar.dll
FF - component: c:\users\frank\appdata\roaming\mozilla\firefox\profiles\bzxrm7o5.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\picasa3\npPicasa3.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\microsoft\office live\npOLW.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_228.dll
FF - plugin: e:\music\itunes\mozilla plugins\npitunes.dll
.
============= SERVICES / DRIVERS ===============
.
R1 gdwfpcd;G DATA WFP CD;c:\windows\system32\drivers\gdwfpcd32.sys [2009-3-28 40392]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2009-3-28 29128]
R1 jswpslwf;JumpStart Wireless Filter Driver;c:\windows\system32\drivers\jswpslwf.sys [2008-7-28 20352]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-7-3 7168]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2009-3-28 48712]
R3 GDPkIcpt;GDPkIcpt;c:\windows\system32\drivers\PktIcpt.sys [2009-3-28 51656]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-3-28 32200]
.
=============== Created Last 30 ================
.
2012-04-03 05:49:51	6582328	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{86049cca-a7f9-450e-a694-f88a37d152c3}\mpengine.dll
2012-04-02 19:30:45	418464	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-04-02 16:30:42	--------	d-----w-	c:\users\frank\appdata\roaming\Malwarebytes
2012-04-02 16:30:34	--------	d-----w-	c:\programdata\Malwarebytes
2012-04-02 16:30:33	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-02 16:30:33	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-04-02 15:49:24	--------	d-----w-	c:\programdata\F4D55F170001619A005EB8AF570F1C8B
2012-03-19 06:39:38	592824	----a-w-	c:\program files\mozilla firefox\gkmedias.dll
2012-03-19 06:39:38	44472	----a-w-	c:\program files\mozilla firefox\mozglue.dll
2012-03-14 06:10:51	2044416	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 06:10:50	683008	----a-w-	c:\windows\system32\d2d1.dll
2012-03-14 06:10:50	219648	----a-w-	c:\windows\system32\d3d10_1core.dll
2012-03-14 06:10:50	160768	----a-w-	c:\windows\system32\d3d10_1.dll
2012-03-14 06:10:50	1172480	----a-w-	c:\windows\system32\d3d10warp.dll
2012-03-14 06:10:50	1068544	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 06:10:49	2409784	----a-w-	c:\program files\windows mail\OESpamFilter.dat
2012-03-14 06:10:34	613376	----a-w-	c:\windows\system32\rdpencom.dll
2012-03-14 06:10:34	180736	----a-w-	c:\windows\system32\drivers\rdpwd.sys
.
==================== Find3M  ====================
.
2012-04-02 19:30:45	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 08:18:36	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-02-15 09:01:50	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-02-15 09:01:50	43520	----a-w-	c:\windows\system32\drivers\usbaapl.sys
.
============= FINISH: 18:13:34,66 ===============
         

Schritt 3

Gmer Scanner wurde geladen und wie vorgegeben verfahren. Ein Fenster mit Warnung hat sich nicht geöffnet und die Häkchen habe ich dann soweit vorgegeben rausgenommen (nur C:\ nicht und show all auch nicht)

Die Daten sind wie gewünscht in der ZIP-Datei beigefügt.

Nun noch meine Frage ob ich alles richtig gemacht habe und was ich hier gegebenenfalls noch weiter machen sollte. Hoffe das ich nicht komplett formatieren muss!

Vorab schon mal vielen Dank für eine Rückmeldung.

Gruß
Frank

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Arne,

also ich hatte vorher noch nicht mit Malwarebytes gescannt (jedenfalls nicht das ich mich erinnern könnte). Habe nur nach dem Quickscann einmal gespeichert (hatte nicht gesehen dass es automatisch erfolgt) und später dann noch einen Vollscan und noch einen Quickscan gemacht (letzteren habe ich nicht mehr gepostet). Beim Vollscan habe ich nochmal ebenfalls (doppelt) gespeichert. Habe nun mal alles als ZIP beigefügt.

Gruß
Frank

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

hier nun die LOG.txt

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=144ea8d63f1e7b498c520e14d32d427a
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-05 07:12:25
# local_time=2012-04-05 09:12:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=4096 16777215 100 0 95336471 95336471 0 0
# compatibility_mode=5892 16776573 100 100 135790 171138457 0 0
# compatibility_mode=8192 67108863 100 0 139 139 0 0
# scanned=139116
# found=24
# cleaned=0
# scan_time=4215
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth1.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth12.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth13.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth14.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth16.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth17.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth18.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth19.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth2.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth3.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth8.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth1.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth12.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth13.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth14.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth16.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth17.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth18.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth19.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth2.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth3.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth8.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=144ea8d63f1e7b498c520e14d32d427a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-05 07:20:38
# local_time=2012-04-05 09:20:38 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=4096 16777215 100 0 95377573 95377573 0 0
# compatibility_mode=5892 16776573 100 100 176892 171179559 0 0
# compatibility_mode=8192 67108863 100 0 41241 41241 0 0
# scanned=252244
# found=24
# cleaned=0
# scan_time=6806
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth1.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth12.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth13.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth14.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth16.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth17.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth18.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth19.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth2.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth3.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\Spybot - Search & Destroy\Recovery\FraudPCHealth8.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth1.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth12.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth13.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth14.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth16.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth17.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth18.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth19.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth2.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth3.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Spybot - Search & Destroy\Recovery\FraudPCHealth8.zip	Win32/Bagle.gen.zip worm (unable to clean)	00000000000000000000000000000000	I
         

Gruß
Frank

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Im normalen Modus scheint alles ohne Probleme zu laufen. Tja und bei den Ordnern im Startmenü ist soweit ich erkennen kann auch alles da, bzw. es gibt keinen leeren Ornder. Was hier jedoch auch immer noch zu sehen ist, ist der Ordner von Smart Fortress. Ebenso ist auch noch eine Desktopverknüpfung von Smart Fortress vorhanden. Kann ich letztere einfach löschen?

Ja die kannst du enfach löschen

Mach danach ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

dann ist ja schon mal etwas weg

So, habe gerade versucht OTL als Admin zu starten. Bekomme nun aber als Fehlermeldung das OTL nicht mehr funktioniert und wenn gewünscht der Problembericht gesendet werden soll. Hatte alle anderen Programme (ausser Firefox) geschlossen und das Virenprogramm "ausgeschaltet". Wie gehe ich nun am besten vor?

Gruß
Frank

Starte neu und probier es nochmal. Notfalls im abgesicherten Modus

Hallo Arne,

habe es mal versucht und auch nochmal neu geladen. Es funktioniert aber auch im abgesichertem Modus nicht. Ich hoffe nicht das es daran liegt, dass ich irgendwo verpasst habe die Einstellungen im Defogger wieder zu ändern?

Gruß
Frank

Dann mach es so

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Nur um mich nochmal zu vergewissern. Ich starte den Defogger und drücke Re-enable. Danach mache ich dann den Scan wie zu letzt beschrieben.

Wie kommst du auf den defogger, steht das irgednwo in meiner Anleitung

Ne in deiner Anleitung stand das nicht, dass mit dem defogger stand in der "Grundanleitung" zum posten (http://www.trojaner-board.de/69886-a...-beachten.html) und mit dem Hinweis das man erst Re-enable klicken soll wenn man die Anweisung dazu bekommt. Habe mich bis jetzt daran gehalten und noch nicht Re-enable geklickt.

Hatte aber zwischenzeitlich auch nochmal versucht nach deiner neuen Anleitung zu verfahren. Was mir wieder die Info brachte OTL funktioniert nicht.