Hi!
Keine Ahnung wer zuerst infiziert war, die Webseite oder meine Festplatte. Bekannte bekamen bei deren Aufruf Warnungen, ich nicht. Der Nutzung von IE auf XP und dem Internetzugang als Admin habe ichs wohl zu verdanken (werde ich ändern). Antivir hat sich diesmal nicht gerührt, hingegen: Am 08.07 wurde von Antivir der Winwebsec.A.21 gefunden (Logdatei im Anhang), welches wohl ähnlich wie LSP ist.

Die Festplatte habe ich mit Malewarebytes bearbeitet, und nochmal mit Emsisoft, wie unter http://www.trojaner-board.de/116774-...entfernen.html empfohlen.
Antivir wurde ebenfalls fündig. Log-Dateien ebenfalls anbei. Sehe ich das richtig, dass ich Antivir versehentlich 2x geöffnet habe (sh. Antivir1-...txt und Antivir2 -...txt), und 2 Suchläufe parallel liefen, bei denen jedesmal etwas anderes (im gleichen Dateienstrang) gefunden wurde? Komisch...

Ich trau mich kaum als Admin ins Internet. Lasse morgen nochmal OTL durchlaufen.

Morgen will ich die Webseite neu hochladen (per Gastkonto, mit Mozilla und neuem Passwort). Die Dateien auf der Festplatte sollten doch o.k. sein, nachdem sie nun mehrfach gescannt wurden, oder? Gelöscht habe ich meine infizierten Werke schon, damit sich nicht noch weitere anstecken, aber was ist mit den Ordnern, die vom Provider zugefügt wurden, also auf gleicher Ebene wie die httpdocs, liegen, mit der ich eigentlich nur zu tun habe? Angeschrieben habe ich ihn deswegen schon.

Weitere Tips und Antworten würden mich erfreuen und danke für die Hilfe soweit
Müde Grüße
s.

OTL hat zwar fertig gescannt, aber nichts gemeldet. Ich habe auch nichts bereinigen lassen - sollte ich?
Soll ich die Logs trotzdem posten?

hi
otl logs posten
hast du noch die infizierten files von deiner homepage?
falls ja
File-Upload.net - Ihr kostenloser File Hoster!

dort hochladen, link als private nachicht an mich

Hallo Markus,

> FESTPLATTE:
OTL scheint sich aufgelöst zu haben, auch die extra abgespeicherten Log-Dateien finde ich nicht mehr. Mache das nochmal (klicke nur "Scanne alle Benutzer" an).

Vorher hatte ich nochmal Luke Skywalker gebeten, er fand 39 Warnungen, 2 Hinweise und 3 versteckte Objekte.

Quickscan mit Malwarebytes war fehlerfrei.


> SERVER / WEBSEITE:

Die Webseitendateien habe ich schon gelöscht. (Ich gehe davon aus, dass auf dem Server die Infektion stattfand und du diese Dateien haben wolltest). Habe dann mein Passwort geändert, diverse Updates, IE deinstalliert ... . Der Server-Betreiber hat die seinerseits angelegten Dateien überprüft (httpsdocs, ... die meisten seien eh schreibgeschützt). Die Nacht habe ich die (nunmehr virengescannten) Dateien wieder hochgeladen.

Nun bin ich aber gespannt auf deine Rückmeldung ...

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Habe fertig.
Keine Registrierungsschlüssel-Meldung nach Neustart.
Konnte keinen Wiederherstellungspunkt setzen (spannend).
Und - oooh- ich kann nun den "Benutzer wechseln", nicht mehr nur "abmelden" wie zuvor - fein fein!

Ergänzung:
Soeben gab es noch 6 Funde von Luke Skywalker: 3x EXP/CVE-2012-1723 und 3 Hinweise - s. Log.
Die Aufforderung zum Scannen kam von Antivir, als ich Msconfig ausführen und diverse Autostart-Dienste abstellen wollte, da mein Rechner immer ewig zum Hochfahren braucht. Hatte den Diagnosesystemstart (nur die wichtigsten Dienste o.ä. ausgewählt).
Ansonsten habe ich zwischenzeitlich ältere Java-Versionen deinstalliert, ebenso einiges aus dem Think-Vantage-Paket - falls das samit zu tun haben kann.

Schönes Wochenende!

bitte mache keine spielereien im system, msconfig kann man später bearbeiten
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

O.k. lasse die Dienste erst so.

Ich kann tdsskiller.exe nicht runterladen / öffnen - s. Foto anbei.

Ergänzung:
Hatte die Idee, das Programm anderswo/-wie zu beschaffen:

Die log-datei mit vielen Funden anbei.

poste deie fundmleung noch mal als klartext, bzw versuche den download erneut

Moin Markus,
habe den Download von deinem Link oben nochmals versucht - dasselbe Problem (s. Screenshot oben), also kann nicht runtergeladen werden.
Habe den tdsskiller jetzt nochmal von dieser Seite geholt: hxxp://support.kaspersky.com/de/faq/?qid=207620123 ...
... ausgeführt und finde nichts, was du sonst meinen könntest (kopiere nochmals die Report-Datei in den Editor - s. Anhang).

Ich weiß leider nicht, was du mit "Klartext" meinst. Oder soll ich den Inhalt als Code mit # einfügen?

Danke soweit,
lG S.

Ich hatte die Sicherheitsstufe bei den Internetoptionen (Systemsteuerung) auf ganz hoch eingestellt (hab ich endlich rausgefunden). Konnte nun von eurer Seite den tdsskiller.exe-Download durchführen, aber mit dem gleichen Ergebnis, daher kein Anhang.

danke, sieht doch schon mal gut aus.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Schön, dass es soweit gut aussieht
Habe deine Anweisungen ausgeführt - s. Anhang.

hi
bitte noch mal, notwendig etc steht mitten in der programm beschreibung