Nach einer Trojaner Attacke wurden unsere e-mail Passwörter ausgespäht. Es wurden damit Spam-emails versendet - unfassbar. Alle Passwörter wurden heute sofort geändert und natürlich noch nicht neu auf dem noch betroffenen Rechner eingespielt.
Habe Malwarebytes Anti Malware und Emisoft Antimalware sowie Antivir-Virenscanner (der auch keinen Echtzeitschutz mehr ermöglichte) über das Sytem lassen und die gefundenen Datien gelöscht (!!) (da kannte ich die Anweisung aus diesem Board noch nicht, sorry). Aus der Erinnerung: Win32/Necurs.gen!A und Win 32.Prorat!E2.
Der Virenscanner AVG ließ sich gar nicht erst öffnen, das frisch erworbene Paket von Emisoft erlaubt nicht das Häkchensetzen für Echtzeitschutz nicht - unglaublich.
Die Dateien habe ich erstellt, hoffentlich ist das so in Ordnung.
Es tut mir leid, und ich bitte freundlich um Hilfe und Unterstützung. Vielen Dank!

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

SRV:64bit: - [2012/08/17 15:26:05 | 000,082,896 | ---- | M] () [Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\3fce8cfc9a2f63c2.sys -- (3fce8cfc9a2f63c2) 
DRV:64bit: - [2012/08/17 15:26:05 | 000,082,896 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\3fce8cfc9a2f63c2.sys -- (3fce8cfc9a2f63c2) 
O2:64bit: - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files (x86)\AVG\AVG2012\avgdtiea.dll File not found 
O2 - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files (x86)\AVG\AVG2012\avgdtiex.dll File not found 
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found 
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found 
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found 
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found 
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found 
O9:64bit: - Extra Button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files (x86)\AVG\AVG2012\avgdtiea.dll File not found 
O9 - Extra Button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files (x86)\AVG\AVG2012\avgdtiex.dll File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) 
O18:64bit: - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll File not found 
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll File not found 
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 


[2012/08/20 22:05:01 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job 

[2012/08/20 21:50:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job 
[2012/08/20 21:33:00 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1649881827-3613753830-1176163761-1000UA.job 
[2012/08/20 20:12:34 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job 
[2012/08/16 08:33:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-1649881827-3613753830-1176163761-1000Core.job 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

4. Schritt

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Vielen Dank für die pormpte Hilfe und klar wird unterstützt...

4. Datei kommt noch
...hier ist sie
AdwCleaner v1.801 - Logfile created 08/20/2012 at 23:35:50
# Updated 14/08/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Bongard - PC01
# Boot Mode : Normal
# Running from : C:\Users\Bongard\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Bongard\AppData\Roaming\OpenCandy
Folder Deleted : C:\Users\Bongard\AppData\Roaming\pdfforge
Folder Deleted : C:\Program Files (x86)\Ask.com
Folder Deleted : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Folder Deleted : C:\ProgramData\Partner
File Deleted : C:\Program Files (x86)\Mozilla Firefox\searchplugins\avg-secure-search.xml

***** [Registry] *****

Key Deleted : HKCU\Software\IGearSettings
Key Deleted : HKCU\Software\Softonic

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\Bongard\AppData\Roaming\Mozilla\Firefox\Profiles\ea7254em.default\prefs.js

C:\Users\Bongard\AppData\Roaming\Mozilla\Firefox\Profiles\ea7254em.default\user.js ... Deleted !

Deleted : user_pref("browser.search.defaultenginename", "AVG Secure Search");
Deleted : user_pref("browser.search.selectedEngine", "AVG Secure Search");
Deleted : user_pref("browser.startup.homepage", "hxxp://isearch.avg.com?cid=%7B3a66fe57-04e4-4789-b4aa-93cbf41[...]
Deleted : user_pref("keyword.URL", "hxxp://isearch.avg.com/search?cid=%7B3a66fe57-04e4-4789-b4aa-93cbf41657a2%[...]

*************************

AdwCleaner[R1].txt - [3053 octets] - [20/08/2012 23:31:50]
AdwCleaner[R2].txt - [3113 octets] - [20/08/2012 23:34:02]
AdwCleaner[S1].txt - [2793 octets] - [20/08/2012 23:35:50]

########## EOF - C:\AdwCleaner[S1].txt - [2921 octets] ##########

Sehr gut!

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Der Malware Scan hat keine Ergebnisse zu Tage gefördert, leider kann ich immer noch keinen Echtzeitschutz bei jedwedem Programm einstellen.

Ürbrirgens: Windows updates Einstellungen läßt er auch nicht zu

WARTUNGSCENTER meldet nach wie vor Risiko

Wo ist das Log?

(siehe Anleitung)

Es gab nur das Sätzchen, dass nichts gefunden wurde, Log anbei

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 8/21/2012 12:59:40 AM

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 8/21/2012 1:00:28 AM


Gescannt 567056
Gefunden 0

Scan Ende: 21.08.2012 01:29:58
Scan Zeit: 0:29:30

Internet Explorer läuft beim ersten Aufruf sehr langsam bis erste Seite aufgebaut ist, es riecht danach, dass da noch was im Hintergrund mit läuft...
Ich warte mit online Banking, Passwörtern etc., das ist mier noch zu heiß

Rechner neustarten.



Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Erledigt, nichts gefunden und hier kommt das logfile

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9544035a864ac94a9fee7956f0252946
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-21 03:36:18
# local_time=2012-08-21 05:36:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 19991 97191890 0 0
# compatibility_mode=6401 16777214 33 100 24531 16688464 0 0
# compatibility_mode=8192 67108863 100 0 152 152 0 0
# scanned=42358
# found=0
# cleaned=0
# scan_time=1350
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9544035a864ac94a9fee7956f0252946
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-21 04:13:59
# local_time=2012-08-21 06:13:59 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=5893 16776573 100 94 886 97193304 0 0
# compatibility_mode=6401 16777214 33 100 25945 16689878 0 0
# compatibility_mode=8192 67108863 100 0 1566 1566 0 0
# scanned=41655
# found=0
# cleaned=0
# scan_time=2196
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9544035a864ac94a9fee7956f0252946
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-21 05:03:58
# local_time=2012-08-21 07:03:58 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=5893 16776573 100 94 3144 97195562 0 0
# compatibility_mode=6401 16777214 33 100 28203 16692136 0 0
# compatibility_mode=8192 67108863 100 0 3824 3824 0 0
# scanned=143509
# found=0
# cleaned=0
# scan_time=2937

Leider läßt sich immer noch kein Echtzeitschutz aktivieren, dito keine Microsoft updates Einstellungen etc. Internet läuft wieder stabiler.

Zitat:

keine Microsoft updates Einstellungen etc

Gibts einen Fehlercode?

Das Wartungscenter gibt ja leider keine Fehlercodes
Es wird gefragt, ob man Hersteller vertraut, und dann geht es nicht weiter
Bei Windowas updates:
Die Windows Einstellungen können nicht geändert werden

Habe extra nochmal Mircorsoft Secuirty installiert, denn hier gibt es wenigstens Fehlercodes
Microsoft Security Essentials wird bei der Aktualisierung der Anti Spyware/Virenprogramme folgenden Fehlercode aus 0x80070424
Der Echtzeitschutz kann nicht aktiviert werden weil 0x800705b4

Ich hoffe, das hilft.
Meinen Sie der Rechner ist schon soweit, dass ich das ein oder andere e-mail Kennwort ändern kann und mal die mails abrufen kann?

Bitte mal durchfuehren: http://www.trojaner-board.de/72874-s...eparieren.html

Habe ich gemacht, es wurde repariert.
Probleme bestehen leider weiterhin, sch....
Ist der Rechner nun langsam austherapiert, ein unschönes Wort....

Danke!

Nein, aktiviere dein Windows!

Aufkleber am Rechner hinten oder Laptp unten.

Ich habe keine Möglichkeit, den key erneut einzugeben, der Button fehlt gänzlich

Start, Computer, Mausklick rechts, kein Button zur Produkt key eingabe oder änderung, ist das normal?


habe daher über cmd Eingabe alten key deinstalliert und neu installiert, biedes wurde bestätigt, leider keine Änderung

Was auffällt: Beim Rechnerhochfahren dauert es immer 1-2 min mit schwarzem Bildschirm (nur Cursor) bis dann Passworteingabe von Windows kommt.

und zur Info und so habe ich es mit cmd gemacht:

cmd als Admin starten, dann an der Konsole eingeben:
slmgr -upk deinstallieren
slmgr -ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

.