Leider hatte die benutzte OTL Version einen Bug.

Kannst du MBAM jetzt ausfuehren oder geht es immer noch nicht?

Hi,

leider funktioniert es immer noch nicht. Die Aktualisierung der Datenbank hat aber hingehauen. Rechts unten war eine Meldung, nach der die Datenbank von MBAM älter als 28 Tage ist, und kurz darauf wurde angezeigt, dass die Datenbank aktualisiert wurde. Und: Rechts unten wird MBAM als Programm angezeigt, und wenn man dann rechts draufklickt, öffnet sich das entsprechende Menü mit Dateisystemschutz etc. Aber auch da, wenn man dann auf Suchlauf starten geht, kommt erst die Anfrage von Windows und dann klappts wieder nicht. Ich habe dir einfach mal beides als Screenshot beigefügt.

Laufen tuts leider immer noch nicht.
Bomm

OK, wir mussen die Systemwiederherstellung benutzen, da OTL hier mehr beschaedigt hat.

1. Öffnen Sie Start - Systemsteuerung - Leistung und Wartung.
2. Links oben im Fenster sehen Sie unter Siehe auch den Eintrag Systemwiederherstellung. Klicken Sie darauf.
3. Wählen Sie Computer zu einem früheren Zeitpunkt wiederherstellen und suchen Sie im daraufhin erscheinenden Fenster ein Datum aus.



Bitte ein Datum VOR dem Fix auswaehlen und zuruecksetzen!

Hi t`john,

okay, hab das heute morgen versucht... Leider gibt es für vor OTL keinen Wiederherstellungspunkt. Mein PC hat nämlich gestern Abend routinemässig einen neuen erstellt. Somit habe ich nur Wiederherstellungspunkte nach OTL, z. B. durch Combofix. Gibt es noch andere Möglichkeiten?

Dann haben wir leider nur noch zwei Moeglichkeiten:

Inplacae Upgrade - Daten/Programme bleiben erhalten
oder
Neuinstallation - Daten muessen vorher gesichert werden

Deine Entscheidung, wie moechtest du weitermachen?

Hi t`john,

ich würde es zunächst gerne mit dem implace Upgrade versuchen. Habe aber leider nur eine recovery-DVD, die reicht dafür ja wohl nicht aus. Ist halt voinstalliert gewesen. Haben Sie eine Ahnung, wie ich an eine entsprechende DVD kommen kann? Hab ja einen Key. Ich höre mich nochmal im Umfeld um, aber bisher siehts mau aus. Entschuldigen Sie übrigens die späte Antwort, aber mein posting heute morgen scheint nicht angekommen zu sein.

Gruß, Bomm

Schau mal hier: http://www.trojaner-board.de/100776-...-download.html

Danke,

werde ich heute Abend ausprobieren und mich dann melden, ob es hingehauen hat. Ich denke aber, dass sollte klappen.

Bomm

Ales klar.

Hallo t`john,

so, habe das inplace Upgrade durchgeführt. Habe die DVD, wie es sich gehört, an einem sauberen PC erstellt, und heute aufgespielt. Hat auch soweit funktioniert. Habe dann als allererstes wieder Avira drauf gemacht, in dem Fall das aktuelle Avira 2013. Zunächst aber mal die Erfolgsmeldung, dass die ganzen Sachen wieder laufen, ich kann wieder Programme ausführen usw. Ich habe Avira auch sofort drüber laufen lassen, und Avira hat zunächst nichts gefunden, aber knappe 1 3/4 Stunde später Alarm geschlagen. Anbei die Log- Datei:

Code: Alles auswählenAufklappen

ATTFilter

09.10.2012,14:14:07 [INFO] ---------------------------------------------------------
09.10.2012,14:14:07 [INFO] Der Avira Free Antivirus Dienst wurde erfolgreich gestartet!
09.10.2012,14:14:24 [INFO] Echtzeit-Scanner Version: 13.04.00.184, Engine Version 8.2.10.178, VDF Version: 7.11.44.196
09.10.2012,14:14:24 [INFO] Online-Dienste stehen zur Verfügung.
09.10.2012,14:14:24 [INFO] Echtzeit-Scanner wurde aktiviert
09.10.2012,14:14:24 [INFO] Verwendete Konfiguration der Echtzeit-Scanner:
      - Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
      - Geprüfte Dateien: Dateierweiterungsliste verwenden: . .386 .?HT* .ACM .ADE .ADP .ANI .APK .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CPX .CRT .CSH .DEX .DLL .DLO .DO* .DRV .EMF .EML .EXE* .FAS .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .LSP .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDF .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT* .PPAM .PPS* .PPT* .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SIS .SLD? .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XAR .XL* .XML .XXX .ZIP
      - Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
      - Aktion: Benutzer fragen
      - Archive durchsuchen: Deaktiviert
      - Makrovirenheuristik: Aktiviert
      - Win32 Dateiheuristik: Erkennungsstufe mittel
      - Protokollierungsstufe: Standard
09.10.2012,14:15:20 [INFO] Update-Auftrag gestartet!
09.10.2012,14:15:48 [INFO] Aktuelle Engine Version: 8.2.10.182
09.10.2012,14:15:48 [INFO] Aktuelle Version der VDF-Datei: 7.11.45.136
09.10.2012,15:40:33 [FUND] Ist das Trojanische Pferd TR/Weelsof.C.114!
  C:\_OTL\MovedFiles\10032012_141633\C_ProgramData\vtrnjhdb.exe
      [INFO] Benutzer: BOMM-TOSH\BOMM
      [INFO] Der Zugriff auf die Datei wurde verweigert!
         

Leider habe ich die Datei nicht in Quarantäne genommen, habs nicht rechtzeitig gecheckt. Und nachträglich will es nicht richtig klappen. Die Datei sollte aber nun auch so unschädlich sein, oder?

Habe daraufhin einen Scan (nach Aktualisierung) mit MBAM durchgeführt. Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.09.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Bomm :: BOMM-TOSH [Administrator]

Schutz: Deaktiviert

09.10.2012 16:47:44
mbam-log-2012-10-09 (16-47-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 416815
Laufzeit: 1 Stunde(n), 3 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Wenn ich das jetzt richtig interpretiere, ist mein Rechner trotzdem noch nicht clean. Was kann ich weiter tun?

Hi t`john,

ich habe Avira erneut laufen und somit die Datei in die Quarantäne verschieben lassen. Anbei die Logdatei.

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 9. Oktober 2012  17:55


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Bomm
Computername   : BOMM-TOSH

Versionsinformationen:
BUILD.DAT      : 13.0.0.2693          Bytes  01.10.2012 17:25:00
AVSCAN.EXE     : 13.4.0.200    625952 Bytes  01.10.2012 13:15:49
AVSCANRC.DLL   : 13.4.0.163     64800 Bytes  19.09.2012 17:20:53
LUKE.DLL       : 13.4.0.184     66848 Bytes  25.09.2012 09:00:15
AVSCPLR.DLL    : 13.4.0.190     93984 Bytes  26.09.2012 13:58:22
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll     : 13.4.0.202    419616 Bytes  01.10.2012 15:21:53
avlode.rdf     : 13.0.0.24       7196 Bytes  27.09.2012 09:30:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 08:31:00
VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 12:16:14
VBASE025.VDF   : 7.11.44.167   160256 Bytes  30.09.2012 08:56:34
VBASE026.VDF   : 7.11.44.223   199680 Bytes  02.10.2012 12:14:48
VBASE027.VDF   : 7.11.45.29    196096 Bytes  04.10.2012 12:14:48
VBASE028.VDF   : 7.11.45.111   202752 Bytes  08.10.2012 12:14:49
VBASE029.VDF   : 7.11.45.112     2048 Bytes  08.10.2012 12:14:49
VBASE030.VDF   : 7.11.45.113     2048 Bytes  08.10.2012 12:14:49
VBASE031.VDF   : 7.11.45.136    39936 Bytes  09.10.2012 12:14:49
Engineversion  : 8.2.10.182
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.60      463227 Bytes  09.10.2012 12:14:55
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 13:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 10:24:10
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL     : 8.1.4.114    5353847 Bytes  09.10.2012 12:14:55
AEHELP.DLL     : 8.1.25.0      258423 Bytes  09.10.2012 12:14:50
AEGEN.DLL      : 8.1.5.38      434548 Bytes  26.09.2012 13:54:07
AEEXP.DLL      : 8.2.0.4       115060 Bytes  09.10.2012 12:14:55
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.28.2      201079 Bytes  26.09.2012 13:54:07
AEBB.DLL       : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL     : 13.4.0.184    260384 Bytes  25.09.2012 08:51:51
AVEVTLOG.DLL   : 13.4.0.185    167200 Bytes  25.09.2012 08:52:37
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 9. Oktober 2012  17:55

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'TemproSvc.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'TODDSrv.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosCoSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogonUI.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '183' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TCrdMain.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'TemproTray.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosNcCore.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosReelTimeMonitor.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPwrMain.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Eraser.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeMouse.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'LxUpdateManager.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToshibaServiceStation.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFIWmxSvcs64.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFProcSRVC.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMachInfo.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosSmartSrv.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosSENotify.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobe_Updater.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_265.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_265.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1693' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\_OTL\MovedFiles\10032012_141633\C_ProgramData\vtrnjhdb.exe
  [FUND]      Ist das Trojanische Pferd TR/Weelsof.C.114
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5785faac.qua' verschoben!
Beginne mit der Suche in 'D:\' <Data>


Ende des Suchlaufs: Dienstag, 9. Oktober 2012  21:22
Benötigte Zeit:  3:26:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  23426 Verzeichnisse wurden überprüft
 703028 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 703027 Dateien ohne Befall
   8376 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 628808 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Den Fund hatten wir schon in OTL erwischt!

Sehr gut!

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo t`john,

hier erstmal die Logdatei von AdwCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.004 - Datei am 10/10/2012 um 08:20:18 erstellt
# Aktualisiert am 06/10/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Bomm - BOMM-TOSH
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Bomm\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Gast\AppData\LocalLow\boost_interprocess

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Software

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v15.0.1 (de)

Profilname : default 
Datei : C:\Users\Bomm\AppData\Roaming\Mozilla\Firefox\Profiles\qal66p7d.default\prefs.js

[OK] Die Datei ist sauber.

Profilname : default 
Datei : C:\Users\Arbeit\AppData\Roaming\Mozilla\Firefox\Profiles\71a77cvk.default\prefs.js

[OK] Die Datei ist sauber.

Profilname : default 
Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\ay5h6phj.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1442 octets] - [10/10/2012 08:20:18]

########## EOF - C:\AdwCleaner[S1].txt - [1502 octets] ##########
         

und dann von Emisoft:

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 10.10.2012 08:38:16

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	10.10.2012 08:39:59

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5785faac.qua -> (Quarantine-8) 	gefunden: Trojan.Generic.KDV.746953 (B)

Gescannt	492874
Gefunden	1

Scan Ende:	10.10.2012 09:25:41
Scan Zeit:	0:45:42
         

Dass, was Emisoft da gefunden hat, ist ja nur die Datei, die OTL und AVIRA bereits gefunden haben. Ich habe die weiter in der Quarantäne bei Avira belassen.

Viele Grüße, Bomm

Sehr gut!


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi t`john,

ich habs durchgeführt und so gehandhabt, und er hat noch was gefunden. Ich hatte den vorigen Trojaner (den Avira und MBAM gefunden hatten) aus der Quarantäne bei Avira zuvor gelöscht.

Dabei tauchte wohl bei ESET jetzt wieder ein Fund auf, s. Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6bc0dd4425c8bd46b793df8dd3c6a410
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-15 01:37:18
# local_time=2012-10-15 03:37:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 523207 523207 0 0
# compatibility_mode=5893 16776574 100 94 524855 101937881 0 0
# compatibility_mode=8192 67108863 100 0 149 149 0 0
# scanned=4599
# found=0
# cleaned=0
# scan_time=207
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6bc0dd4425c8bd46b793df8dd3c6a410
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-15 04:07:20
# local_time=2012-10-15 06:07:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 523566 523566 0 0
# compatibility_mode=5893 16776574 100 94 525214 101938240 0 0
# compatibility_mode=8192 67108863 100 0 508 508 0 0
# scanned=213555
# found=1
# cleaned=1
# scan_time=8850
C:\ProgramData\qellrovptltaoxy\main.html	HTML/Ransom.B trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
         

So, ich deinstalliere jetzt Eset wie beschrieben.

Viele Grüße,

Bomm

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck