Hallo liebe Community,

Ich habe mir vor kurzem auch den GVU-Trojander ohne WebCam eingefangen!

Ich habe mit der Kaspersky WindowsunlockerCD unter Linux das unlockerprogramm ausgeführt und habe nach dem Update das scanners C:\ Komplett gescannt.
Befallene Dateien wurden gelöscht und Win7 war wieder zu nutzen.
Allerdings mit folgender Fehlermeldung:

"C:\Users\Jan\AppData\Local\Temp\glom0_og.exe"

Ich hab dann noch als kläglichen Versuch den CCleaner drüberlaufen lassen. Natürlich ohne Erfolg!

Bei einem anderen User (StinkerEumel) habe ich gesehen wie ihm beim selben Problem hervoragend geholfen wurde und hoffe nun auch auf Hilfe!

Vielen Dank schonmal

Wise aka Jan

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.03.21 23:10:00 | 001,230,704 | ---- | M] () -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe 
PRC - [2011.02.10 13:16:44 | 000,040,960 | ---- | M] () -- C:\Program Files (x86)\phonostar-Player\phonostarTimer.exe 
PRC - [2010.12.17 17:25:22 | 000,686,704 | ---- | M] () -- C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe 
PRC - [2010.11.02 00:02:12 | 000,522,736 | ---- | M] () -- C:\Program Files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe 
PRC - [2010.08.12 01:19:16 | 000,781,536 | ---- | M] () -- C:\Program Files (x86)\Dell DataSafe Local Backup\Components\Scheduler\STService.exe 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {2D46DD11-8950-487A-B699-FFF9C954DE1A} 
IE:64bit: - HKLM\..\SearchScopes\{2D46DD11-8950-487A-B699-FFF9C954DE1A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox 
IE - HKLM\..\SearchScopes,DefaultScope = {8FE55C1D-2752-429B-8807-BD2F23B9CC3A} 
IE - HKLM\..\SearchScopes\{8FE55C1D-2752-429B-8807-BD2F23B9CC3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox 
IE - HKCU\..\SearchScopes,DefaultScope = {3516977A-0545-4882-986F-B6636AB40A17} 
IE - HKCU\..\SearchScopes\{3516977A-0545-4882-986F-B6636AB40A17}: "URL" = http://www.google.de/search?q={searchTerms} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..network.proxy.no_proxies_on: "*.local" 
FF - prefs.js..network.proxy.type: 0 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) 

O4:64bit: - HKLM..\Run: [FreeFallProtection] C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe () 
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found 
O4 - HKLM..\Run: [] File not found 


O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () 
O4 - HKCU..\Run: [AdobeBridge] File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Reg Error: Key error.) 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\Shell - "" = AutoRun 
O33 - MountPoints2\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a 
O33 - MountPoints2\{e6046f52-5292-11e0-9db2-806e6f6e6963}\Shell - "" = AutoRun 
O33 - MountPoints2\{e6046f52-5292-11e0-9db2-806e6f6e6963}\Shell\AutoRun\command - "" = D:\autorun.exe 


[2012.07.08 12:44:30 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 
[2012.07.06 23:45:07 | 000,001,879 | ---- | M] () -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
[2012.07.06 23:45:07 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 
[2012.07.06 23:45:07 | 000,001,879 | ---- | C] () -- C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Vielen Dank schonmal für das Script!

Noch peinlicher das ich schon da scheitere!

Problem: Ich hab McAffee und ich bekomms nicht ausgeschaltet! Das Serviceteam von McAffee hat mir eine Deinstallation nahe gelegt!
Werde mich wohl auch nichtmehr für McAffee entscheiden!

Ist es von Bedeutung für das Script das ich McAffee nicht aus hatte als ich die Logs erstellt habe?

Bitte kurz bestätigen damit ich mit gutem gewissen loslegen kann!

Kein Problem.

Deinstalliere McAfee und mache den Fix.

OK, das hat super geklappt! Vielen Dank schon mal.
Die Fehlermeldung ist Weg und mein Explorer will das ich die Add-ons verwalte.

Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
No active process named DivXUpdate.exe was found!
No active process named phonostarTimer.exe was found!
No active process named FF_Protection.exe was found!
No active process named RoxioBurnLauncher.exe was found!
No active process named STService.exe was found!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2D46DD11-8950-487A-B699-FFF9C954DE1A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D46DD11-8950-487A-B699-FFF9C954DE1A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8FE55C1D-2752-429B-8807-BD2F23B9CC3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FE55C1D-2752-429B-8807-BD2F23B9CC3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{3516977A-0545-4882-986F-B6636AB40A17}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3516977A-0545-4882-986F-B6636AB40A17}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "*.local" removed from network.proxy.no_proxies_on
Prefs.js: 0 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{47833539-D0C5-4125-9FA8-0819E2EAAC93} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47833539-D0C5-4125-9FA8-0819E2EAAC93}\ not found.
File move failed. C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll scheduled to be moved on reboot.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FreeFallProtection deleted successfully.
C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe moved successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\IntelTBRunOnce not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate deleted successfully.
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-3261228298-2224665789-84151833-1000\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b7fe3af3-5eb8-11e0-b526-88532e03c568}\ not found.
File E:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6046f52-5292-11e0-9db2-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6046f52-5292-11e0-9db2-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6046f52-5292-11e0-9db2-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6046f52-5292-11e0-9db2-806e6f6e6963}\ not found.
File D:\autorun.exe not found.
C:\ProgramData\go_0molg.pad moved successfully.
C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File C:\ProgramData\go_0molg.pad not found.
File C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Jan\Desktop\cmd.bat deleted successfully.
C:\Users\Jan\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Jan
->Temp folder emptied: 828355167 bytes
->Temporary Internet Files folder emptied: 154112196 bytes
->Java cache emptied: 572752 bytes
->FireFox cache emptied: 59222616 bytes
->Flash cache emptied: 40825 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 252548602 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 5782780 bytes
 
Total Files Cleaned = 1.240,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Jan
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
Error: Unable to interpret <         Schließe alle Programme. > in the current context!
Error: Unable to interpret <Klicke auf den Fix Button. > in the current context!
Error: Unable to interpret <Wenn OTL einen Neustart verlangt, bitte zulasse> in the current context!
 
OTL by OldTimer - Version 3.2.54.0 log created on 07182012_232401

Files\Folders moved on Reboot...
File move failed. C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll scheduled to be moved on reboot.
C:\Users\Jan\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\TMP0000000157BCF4DDEDC47971 not found!

PendingFileRenameOperations files...
[2008.06.11 22:42:44 | 000,345,480 | ---- | M] (Adobe Systems Incorporated) C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll : MD5=F2DCB030FBDD320F858871515C18C5D1
File C:\Users\Jan\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File C:\Windows\temp\TMP0000000157BCF4DDEDC47971 not found!

Registry entries deleted on Reboot...
         

Achja, ich brauche jetzt ein neues Virus/Firewall Programm.
Wenn du da nebenbei nen Tip für mich hättest war das super!
Darf nach den "Tollen" Erfahungen mit McAffee auch gern kostenplichtig sein.
Es muss nur zuverlässig sein und den Pc nicht unbedingt in die Knie zwingen oder sagst du McAffee ist eigentlich ganz gut!?!?

Sehr gut!

ich empfehle: Microsoft Security Essentials - Kostenloser Virenschutz für Windows

weitergehts mit:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Gut, erledigt! Die Logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jan :: JANSLAPTOP [Administrator]

19.07.2012 01:27:53
mbam-log-2012-07-19 (08-51-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 485693
Laufzeit: 45 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.702 - Logfile created 07/19/2012 at 08:54:46
# Updated 13/07/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Jan - JANSLAPTOP
# Running from : C:\Users\Jan\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\Jan\AppData\LocalLow\boost_interprocess
File Found : C:\Users\Public\Desktop\eBay.lnk

***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v8.0.1 (de)

Profile name : default 
File : C:\Users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\qbf0vaox.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [811 octets] - [19/07/2012 08:54:46]

########## EOF - C:\AdwCleaner[R1].txt - [938 octets] ##########
         

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

So, auch das ist geschafft!

Dieses mal mit ein paar Überraschungen!

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.702 - Logfile created 07/19/2012 at 13:45:36
# Updated 13/07/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Jan - JANSLAPTOP
# Running from : C:\Users\Jan\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Jan\AppData\LocalLow\boost_interprocess
File Deleted : C:\Users\Public\Desktop\eBay.lnk

***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v8.0.1 (de)

Profile name : default 
File : C:\Users\Jan\AppData\Roaming\Mozilla\Firefox\Profiles\qbf0vaox.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [938 octets] - [19/07/2012 08:54:46]
AdwCleaner[R2].txt - [997 octets] - [19/07/2012 08:55:55]
AdwCleaner[S1].txt - [933 octets] - [19/07/2012 13:45:36]

########## EOF - C:\AdwCleaner[S1].txt - [1060 octets] ##########
         

Seit dam habe ich die Fehlermeldung siehe Jpg im Anhang!

und jetzt wird es Problematisch!

Malware-Scan hat etwas gefunden von dem ich keine Ahnung hatte das ich das habe! Muss ein Resultat einer Party sein!
Ich habe noch nichts gelöscht, möchte mich aber nicht darauf beschrenken die Infizierte Datei zu Erledigen. Ich habe selber NIE was mit UserNext gemacht außer es zu deinstallieren als ich es nicht zuordnen konnte! Das dort gespeicherte Programm wurde von mir nie ausgefürt, weil ich nichts davon wuste!
Ich kenne die Richtlinien des Forums und es ist mir unangenehm und ich bitte um Nachsicht! Ich wuste es echt nicht, sonst hätte ich es ja vorher gelöscht oder so!

Also Hose runter - Der Log:

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 19.07.2012 14:01:49

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	19.07.2012 14:11:06

C:\Users\Jan\Documents\UseNeXT\wizard\Traktor Scratch Pro 2 0 1 (Native.Instruments.Trak\!patch\tp125.exe 	gefunden: Trojan.Win32.Dynamer!E2

Gescannt	782867
Gefunden	1

Scan Ende:	19.07.2012 14:58:30
Scan Zeit:	0:47:24
         

Asche auf mein Haupt!

Sehr gut!

Lass den Fund loeschen.

dann:
Deinstalliere:
Emsisoft Anti-Malware


Diese Meldung ist interessant. Wann kam die denn? Besuch einer Webseite?



Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hab mich verklickt und muss den letzten Scan nochmal ausführen bevor ich die neue List mit onlineScan abarbeite. Habe nicht die Möglichkeit zu löschen sondern nur in Quarantäne zu verschieben. Gehe davon aus von dort löschen zu können nach dem nächsten Scan!

Die Fehlermeldung ist seid dem AdwCleaner da. Wollte danach online gucken wies weiter geht und da war sie.
Die einzige Internetseite die ich besucht habe ist diese hier mit direktem Link. Natürlich auch die Downloads!

Schreib gleich nach dem Online Scan wieder!

Quarantaene ist sowas wie loeschen.

Nach dem 2. Scan konnte ich löschen. Scheind beim ersten mal nicht möglich gewesen zu sein weils ein Scan im Rahmen der Installation war.

Ich konnte den OnlineScan nicht über den IExplorer machen da einfach kein Startbutton da war. Ich Denke es könnte an dem Flash-Fehler (siehe Jpg) liegen?.
Über FireFox aber kein Problem.

Kein Fund

Der Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8caa8554b630c74b8dd2c21bf22ded45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-19 05:18:01
# local_time=2012-07-19 07:18:01 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 0 94342791 0 0
# compatibility_mode=8192 67108863 100 0 2879 2879 0 0
# scanned=289579
# found=0
# cleaned=0
# scan_time=5360
         

Achja, nach dem Scan hatte ich eine Fehlermeldung das dass Programm evtl nich richtig installiert sei?!?!

Sehr gut!

damit bist Du sauber und entlassen!

Flash holst du am besten hier: Adobe - Adobe Flash Player installieren (aber McAffee abwaehlen)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Sauber !!!!!!!

Hammer, vielen vielen Dank für die Hilfe! ich hätte das alleine NIE hin bekommen! Ich ziehe meinen Hut vor dir!
Nicht nur das du das alles überblickst aus der ferne, du opferst auch noch deine Zeit um Computerkleingeistern wie mir zu heilfen!

Vielen Dank

In diesem Sinne
LG Wise aka Jan