Hallo liebes Team,

nun scheine auch ich mir den GVU Trojaner (wie Webcam Version) eingefangen zu haben. Als ich vorhin gegen 19 Uhr meinen PC startete, erschien nach dem Bootvorgang das GVU Bild (Bundesrepublik, Paragraphen, Zahlung per Paysafe von 100 Euro) mit einer Art Webcam oben rechts.

Habe bereits Malware und OTL drüberlaufen lassen und hier sind die Logs:

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.21.12

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Cattivo :: MARCELRAMONSPC [Administrator]

Schutz: Deaktiviert

22.07.2012 00:01:48
mbam-log-2012-07-22 (00-26-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339446
Laufzeit: 21 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Cattivo\AppData\Local\Temp\rool0_pk.exe (Spyware.Zbot.DG) -> Keine Aktion durchgeführt.
D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.
C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)

Die beiden OTL Logs poste ich als Anhang:

Besten Gruß!

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes,DefaultScope = {EF742892-2E03-485a-BAFD-8834EFA69EA5} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKCU\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No CLSID value found 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKCU\..\SearchScopes\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.search.defaultenginename: "Search the web" 
FF - prefs.js..browser.search.order.1: "Search the web" 
FF - prefs.js..browser.search.selectedEngine: "Search the web" 
FF - prefs.js..browser.search.useDBForOrder: true 
FF - prefs.js..browser.startup.homepage: "www.google.de" 
FF - prefs.js..browser.startup.homepage: "http://www.bing.com/?pc=MOZO" 
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" 
FF - prefs.js..network.proxy.http: "188.93.20.179" 
FF - prefs.js..network.proxy.http_port: 8080 
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co" 
FF - prefs.js..network.proxy.share_proxy_settings: true 
FF - prefs.js..network.proxy.type: 0 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_265.dll File not found 
O2:64bit: - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - D:\Programme\Expat Shield\HssIE\ExpatIE_64.dll File not found 
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - D:\Programme\Expat Shield\HssIE\ExpatIE.dll File not found 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O32 - HKLM CDRom: AutoRun - 1 

[2012.06.29 21:02:09 | 000,578,962 | ---- | M] () (No name found) -- C:\USERS\CATTIVO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PCIND0MC.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI 
[2011.10.24 12:50:22 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src 
[2012.07.21 23:53:45 | 004,503,728 | ---- | M] () -- C:\ProgramData\kp_0loor.pad 
[2012.07.21 18:58:05 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job 
[2012.07.21 15:33:09 | 000,001,889 | ---- | M] () -- C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
[2012.07.21 15:33:09 | 004,503,728 | ---- | C] () -- C:\ProgramData\kp_0loor.pad 
[2012.07.21 15:33:09 | 000,001,889 | ---- | C] () -- C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Vielen Dank für die schnelle Hilfe! Habe soweit alles fixen lassen und heraus kam folgendes Log:

Zitat:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\USERS\CATTIVO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PCIND0MC.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src moved successfully.
C:\ProgramData\kp_0loor.pad moved successfully.
C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully.
C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File C:\ProgramData\kp_0loor.pad not found.
File C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Cattivo\Desktop\cmd.bat deleted successfully.
C:\Users\Cattivo\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Cattivo
->Temp folder emptied: 31834673 bytes
->Temporary Internet Files folder emptied: 86546267 bytes
->Java cache emptied: 1063723 bytes
->FireFox cache emptied: 615797960 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 85958 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 101426984 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 798,00 mb


[EMPTYFLASH]

User: All Users

User: Cattivo
->Flash cache emptied: 0 bytes

User: Default

User: Default User

User: Public

User: UpdatusUser

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07222012_010915

Files\Folders moved on Reboot...
C:\Users\Cattivo\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Cattivo\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Was genau ist nun noch zu tun?

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Bisher läuft es zumindest schonmal so weit, daß ich Windows wieder normal starten kann! :-)
Bin gerade dabei die Schritte 1 und 2 abzuarbeiten und habe derweil für die schnelle und adäquate Hilfe zu so später Stunde eine Kleinigkeit gespendet.

Sobald die Ergebnisse vorliegen, poste ich sie per quote in diesen Thread...

Danke

Melde Dich mit den Logs wieder.

Sodele, die Scans sind abgeschlossen. Hat etwas länger gedauert. Hier die beiden Ergebnisse:

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.21.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Cattivo :: MARCELRAMONSPC [Administrator]

Schutz: Aktiviert

22.07.2012 01:27:58
mbam-log-2012-07-22 (01-57-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 331887
Laufzeit: 29 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.

(Ende)

Zitat:

# AdwCleaner v1.703 - Logfile created 07/22/2012 at 01:58:19
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Cattivo - MARCELRAMONSPC
# Running from : C:\Users\Cattivo\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\Cattivo\AppData\Local\OpenCandy
Folder Found : C:\Users\Cattivo\AppData\Roaming\OpenCandy
Folder Found : C:\Program Files (x86)\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Found : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
File Found : C:\Users\Cattivo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
File Found : C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

***** [Registry] *****


***** [Registre - GUID] *****

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\prefs.js

Found : user_pref("browser.search.defaultenginename", "Search the web");
Found : user_pref("browser.search.order.1", "Search the web");
Found : user_pref("quickstores.toolbar.affid", "2017");
Found : user_pref("quickstores.toolbar.guid", "{24784BE1-8139-2D8C-0F69-A900E66A5382}");

-\\ Opera v [Unable to get version]

File : C:\Users\Cattivo\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2249 octets] - [22/07/2012 01:58:19]

########## EOF - C:\AdwCleaner[R1].txt - [2377 octets] ##########

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Guten Morgen,
habe gestern aufgrund von Müdigkeit pausiert und mache jetzt weiter. Hier erstmal die beiden Logs von gestern:

Zitat:

# AdwCleaner v1.703 - Logfile created 07/22/2012 at 02:04:50
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Cattivo - MARCELRAMONSPC
# Running from : C:\Users\Cattivo\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Cattivo\AppData\Local\OpenCandy
Folder Deleted : C:\Users\Cattivo\AppData\Roaming\OpenCandy
Folder Deleted : C:\Program Files (x86)\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Deleted : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
File Deleted : C:\Users\Cattivo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
File Deleted : C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

***** [Registry] *****


***** [Registre - GUID] *****

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\prefs.js

C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\user.js ... Deleted !

Deleted : user_pref("browser.search.defaultenginename", "Search the web");
Deleted : user_pref("browser.search.order.1", "Search the web");
Deleted : user_pref("quickstores.toolbar.affid", "2017");
Deleted : user_pref("quickstores.toolbar.guid", "{24784BE1-8139-2D8C-0F69-A900E66A5382}");

-\\ Opera v [Unable to get version]

File : C:\Users\Cattivo\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2374 octets] - [22/07/2012 01:58:19]
AdwCleaner[S1].txt - [2200 octets] - [22/07/2012 02:04:50]

########## EOF - C:\AdwCleaner[S1].txt - [2328 octets] ##########

Zitat:

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 22.07.2012 02:13:03

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\, G:\, H:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 22.07.2012 02:13:24

D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe gefunden: Riskware.RemoteAdmin.Win32.NetCat!E2
D:\Downloads\TMPGEnc.XPress.v4.5.1.254.Incl.Keygen-EMBRACE.zip -> Keygen-EMBRACE\keygen.exe gefunden: possible-Threat.Keygen!E2
D:\Downloads\Unlocker1.9.1-x64.exe gefunden: Adware.Win32.ADON!E1

Gescannt 609347
Gefunden 3

Scan Ende: 22.07.2012 02:38:33
Scan Zeit: 0:25:09

Sehr gut!

Lasse die Funde loeschen.


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Scannen erledigt, Programm soweit deinstalliert und Anweisungen befolgt.
Funde beliefen sich auf 23. Hier das Logfile:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1f1f216cc8651f4191906c410a98c26c
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-22 09:53:27
# local_time=2012-07-22 11:53:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 3685 94576910 0 0
# compatibility_mode=8192 67108863 100 0 220 220 0 0
# scanned=134380
# found=23
# cleaned=23
# scan_time=3746
H:\MARCEL\Backup Set 2009-12-13 190000\Backup Files 2009-12-20 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2009-12-27 190000\Backup Files 2009-12-27 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-01-10 234041\Backup Files 2010-01-10 234041\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-01-24 190000\Backup Files 2010-01-24 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-02-08 123021\Backup Files 2010-02-08 123021\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-02-21 222418\Backup Files 2010-02-21 222418\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-03-07 190000\Backup Files 2010-03-07 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-03-21 195527\Backup Files 2010-03-21 195527\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-04-04 225405\Backup Files 2010-04-04 225405\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-04-18 193851\Backup Files 2010-04-18 193851\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-02 190000\Backup Files 2010-05-02 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-09 190002\Backup Files 2010-05-09 190002\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-23 190000\Backup Files 2010-05-23 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-06-06 205952\Backup Files 2010-06-06 205952\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-06-20 225222\Backup Files 2010-06-20 225222\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-07-04 190000\Backup Files 2010-07-04 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-07-18 190001\Backup Files 2010-07-18 190001\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-01 190000\Backup Files 2010-08-01 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-15 190000\Backup Files 2010-08-15 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-29 190001\Backup Files 2010-08-29 190001\Backup files 1.zip multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-09-12 213708\Backup Files 2010-09-12 213708\Backup files 1.zip multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-11-07 224456\Backup Files 2010-11-07 224456\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-11-28 201813\Backup Files 2010-11-28 201813\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

Aufräumern mit CCleaner

Lasse mit CCleaner (Download) Fehler in der Registry beheben und temporäre Dateien löschen.

dann:

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Hallo nochmal!

Danke erstmal für deine Zeit und Mühe

Habe alles soweit erledigt, doch leider nimmt Java meine Einstellungen nicht an bzw speichert sie nicht. Bin genau wie in deiner Anleitung vorgegangen. Sobald ich die Einstellungen im Reiter "Update" wie erwähnt vorgenommen habe und auf "OK" klicke, sind diese beim nächsten Aufruf von Java wieder auf ihrem Ursprungswert.

Was mache ich falsch bzw wie bringe ich Java dazu, die Einstellung dauerhaft zu speichern?

Java deinstallieren, CCleaner ausfuehren, Neustart.

Java neuinstallieren.

Klappt leider immer noch nicht. Dasselbe Problem wie vorher. Er speichert es einfach nicht. Habe die Java Installation diesmal als Administrator gestartet, leider ohne Erfolg.

Was kann ich sonst noch machen, damit die Einstellungen gespeichert bleiben?