Hallo!

Nachdem mir hier im vorigen Monat so toll geholfen wurde und mein Laptop ganz einwandfrei wieder funktioniert (nochmals RIESENDANK an t`john ) bitte ich jetzt um Hilfe für das Problem meines Bruders - er hat sich folgende "Version" eingefangen:

- Der Bildschirm wird beim normalen Hochfahren nach dem Windowslogo weiß, Taskmanager funktioniert auch nicht.

- Der abgesicherte Modus lässt sich starten, NICHT ABER der "abgesicherte Modus mit Netzwerktreibern" (auch hier wird der Bildschirm nach klicken einfach weiß). Wir konnten über msconfig keine verdächtigen Programme ausmachen (haben die Namen der exe`s gegoogelt, wollten aber nichts auf bloßes Tippen und Abhakeln riskieren)

--> WIE können wir jetzt Malwarebytes herunterladen bzw. kann ich es im abgesicherten Modus per USB-Stick installieren?

Bitte um Step-by-step-Hilfe!

Mfg likia

Zitat:

--> WIE können wir jetzt Malwarebytes herunterladen bzw. kann ich es im abgesicherten Modus per USB-Stick installieren?

Einmal das Malwarebytes-Setup an sich und das Setup für die Updates der Signaturen => http://data.mbamupdates.com/tools/mbam-rules.exe

Beide Dateien auf einen Stick kopieren. Installiere dann Malwarebytes, wähle am besten den Testzeitraum ab und nimm die Häkchen raus bei "Malwarebytes starten" und "Signaturen updaten"

Anschließend das Setup zum Signaturenupdate installieren und wenn fertig Malwarebytes starten. Mach einen Vollscan und lass alle lokalen Festplattenlaufwerke durchsuchen, also auch am besten USB-Platten und Sticks.

Ergebnis des Scans:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.07

Windows 7 Service Pack 1 x64 FAT32 (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
aharing :: AHARING_PC [Administrator]

Schutz: Deaktiviert

22.09.2012 21:28:50
mbam-log-2012-09-22 (22-33-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 569988
Laufzeit: 1 Stunde(n), 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Daten: explorer.exe,C:\Users\aharing\AppData\Roaming\msconfig.dat -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\aharing\AppData\Local\Temp\0.15176316171414828exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\Users\aharing\AppData\Local\Temp\0.4247965169985338exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\Users\aharing\AppData\Local\Temp\2388.tmp (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\Users\aharing\AppData\Local\Temp\3830.tmp (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\Users\aharing\AppData\Local\Temp\jar_cache1032492675636257619.tmp (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
C:\Users\aharing\AppData\Roaming\msconfig.dat (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

Sollen die unter Quarantäne gestellten Objekte gleich gelöscht werden?

MfG

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! Bitte nachholen falls noch nicht getan!

NICHTS voreilig aus der Quarantäne löschen!

Im abgesicherten Modus war es mir nach oben erwähnten Scan nicht möglich, die gefundenen Objekte unter Quarantäne zu stellen. Ich habe daher zuerst das Log-File gespeichert, danach hatte ich die Auswahl zwischen "Entferne Auswahl" und "Ignoriere" (wovon ich etwas irritiert war, weil ich erwartet hätte, dass die Objekte automatisch unter Quarantäne gestellt werden bzw. diese Option verfügbar ist - siehe Screenshot im Anhang). Ich habe ersteres gewählt.

Nach Start im normalen Modus habe ich Malwarebytes geöffnet und die zuvor gefundenen Objekte waren in Quarantäne (also noch nicht endgültig entfernt). Das habe ich auch bis jetzt so belassen.

Warum als Screenshot?!
Die Ergebnisse liegen in Textform doch vor, man muss es doch nicht unnötig kompliziert machen!

Ergebnis des Scans:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.07

Windows 7 Service Pack 1 x64 FAT32 (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
aharing :: AHARING_PC [Administrator]

Schutz: Deaktiviert

22.09.2012 21:28:50
mbam-log-2012-09-22 (21-28-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 569988
Laufzeit: 1 Stunde(n), 3 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Daten: explorer.exe,C:\Users\aharing\AppData\Roaming\msconfig.dat -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\aharing\AppData\Local\Temp\0.15176316171414828exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\aharing\AppData\Local\Temp\0.4247965169985338exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\aharing\AppData\Local\Temp\2388.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\aharing\AppData\Local\Temp\3830.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\aharing\AppData\Local\Temp\jar_cache1032492675636257619.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\aharing\AppData\Roaming\msconfig.dat (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ok, funktioniert der normale Modus wieder? Oder der abgesicherte mit Netzwerktreibern?

Wenn ja mit ESET weitermachen:

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
         

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         

Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Ja, der abgesicherte Modus mit Netzwerktreibern und der normale Modus funktionieren.

Das log-File des ESET-Online-Scans:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9c0fc10de1464c4981f20d279eb16cfb
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-24 07:31:08
# local_time=2012-09-24 09:31:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 49923385 49923385 0 0
# compatibility_mode=5893 16776574 66 85 38784845 100138271 0 0
# compatibility_mode=8192 67108863 100 0 407 407 0 0
# scanned=362990
# found=5
# cleaned=0
# scan_time=6647
C:\Users\aharing\AppData\Local\Temp\jar_cache874017857417118568.tmp	a variant of Win32/Kryptik.VDR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\aharing\AppData\Local\Temp\yb4d8ly73s0vlxns.exe	a variant of Win32/Injector.WSR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\aharing\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\67c8c814-552e560b	Java/Exploit.CVE-2012-1723.CI trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\aharing\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\25f6c817-6901d6e2	a variant of Java/Exploit.CVE-2010-4452.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\aharing\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\7a7e1c1f-7678d7c7	multiple threats (unable to clean)	00000000000000000000000000000000	I
         

MfG

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

# AdwCleaner v2.003 - Datei am 09/25/2012 um 19:48:47 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : aharing - AHARING_PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\aharing\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\ProgramData\Partner

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v11.0 (de)

Profilname : default
Datei : C:\Users\aharing\AppData\Roaming\Mozilla\Firefox\Profiles\pjbsyadv.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [794 octets] - [25/09/2012 19:48:47]

########## EOF - C:\AdwCleaner[R1].txt - [853 octets] ##########


(Habe nach dem Scan noch nichts gelöscht)

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

# AdwCleaner v2.003 - Datei am 09/26/2012 um 19:15:26 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : aharing - AHARING_PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\aharing\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Partner

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Wiederhergestellt : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-21-931123733-2037267879-2966560627-1000\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

-\\ Mozilla Firefox v11.0 (de)

Profilname : default
Datei : C:\Users\aharing\AppData\Roaming\Mozilla\Firefox\Profiles\pjbsyadv.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [921 octets] - [25/09/2012 19:48:47]
AdwCleaner[S1].txt - [1355 octets] - [26/09/2012 19:15:26]

########## EOF - C:\AdwCleaner[S1].txt - [1415 octets] ##########

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo!

Ja, der normale Windows-Modus scheint wieder uneingeschränkt zu funktionieren und ich vermisse auch keine Programme im Startmenü.