Tach allerseits.

Seit geraumer Zeit öffnet sich des öfteren ein Fenster, wenn ich etwas in die Google Suchleiste eingebe (nicht bei allen Suchanfragen, aber 2 Dritteln ungefähr). Nun hab ich natürlich schon Malwarebytes' sowohl im Quick Scan, als auch im Voll Scan durchlaufen lassen. Im Quick Scan habe ich alle Infizierungen entfernen lassen, im Voll Scan jedoch nicht da einige Meldungen auf ein bis zwei MMORPGS, welche ich installiert habe, hinwiesen und ich da eine Fake Meldung vermute.

Bevor ich einen weiteren Scan mache und eine LOG poste, könnte man mir eventuell die mögliche Datei bzw den Virus der vielleicht dahinter steckt nennen? Das würde es mir etwas einfacher machen. Ansonsten, wenn nicht anders möglich mach ich natürlich noch einen Scan und poste die LOG.

Danke erst einmal.

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Zitat:

Im Quick Scan habe ich alle Infizierungen entfernen lassen, im Voll Scan jedoch nicht da einige Meldungen auf ein bis zwei MMORPGS, welche ich installiert habe, hinwiesen und ich da eine Fake Meldung vermute.

Schön und wo sind die Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Oha, ich bitte um Entschuldigung dass ich meine Bitte um Hilfe vergessen habe.


Die Logs hab ich natürlich nicht gespeichert, weil ich Dämlack glaubte es schon selbst hin zu bekommen...was natürlich nicht der Fall war.
Ich werde mir am Wochenende die Zeit nehmen und nochmal einen Scan mit Malwarebytes` durchführen und anschließend die Logs hier posten.


Eine schöne Woche noch bis dahin.

Die Logs brauchst du nicht selbst zu speichern!! Malwarebytes macht das für fich, einfach im Reiter Logdateien mal nachsehen!

Hab den Quick- und Vollscan doch jetzt ausgeführt, unfassbar wieviele Spiele ich seit dem letzten Einkauf bei GOG installiert habe. Ich sollte mal einige wieder deinstallieren, ist ja sonst ne Tortur so n Vollscan.


Ich pack die 2 LOG Dateien als Anhang hierzu. Gefunden wurde erstaunlicher Weise nur 1 Trainer, den ich bei Pirates! Gold zum cheaten benutze oder benutzt habe...könnt ich eigentlich auch löschen und das Spiel deinstallieren, bin ja eigentlich eh fertig mit dem Spiel.

Ich häng auch mal n Screen vom Task-Manager, bezüglich laufender Prozesse dazu. Weil ich gerne mal wissen würde ob da nicht zu viel im Hintergrund läuft, da eigentlich nichts großartiges im Hintergrund laufen sollte.

Hast du meinen Beitrag nicht gelesen oder nur überflogen?!

Einen neuen Scan wollte ich eigentlich nicht sehen, sondern alle bisherigen mit den vielen Funden! Das wurde auch im verlinkten Artikel genaustens erklärt warum das wichtig ist!

Und die Logs sollten alle in CODE-Tags gepostet werden, NICHT in den Anhang

Tschuldigung, mein Fehler.


Hier kommt dann mal der Rest von 2012.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.26.10

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.19328
Klangfarben :: KLANGFARBEN-PC [Administrator]

26.10.2012 21:38:44
mbam-log-2012-10-26 (21-38-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 499341
Laufzeit: 1 Stunde(n), 14 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.
HKCR\CLSID\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\gencrawler_gc.GenCrawler (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Hauptprogramme\Spiele\Pirates!\Sid Meier's Pirates Trainer For Game Version 1.0.2.0.exe (PUP.HackTool.HotKeysHook) -> Keine Aktion durchgeführt.
C:\Users\...\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.dll (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Hauptprogramme\Programme\CPUCooL\instser.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Hauptprogramme\Programme\Steam\SteamApps\common\Empire Total War\Empire Total War Trainer.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.17.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Klangfarben :: KLANGFARBEN-PC [Administrator]

17.11.2012 15:56:14
mbam-log-2012-11-17 (15-56-14).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 217212
Laufzeit: 5 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Tu dir selbst einen Gefallen: lass die Finger von diesen dubiosen Trainern!



Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

So, habe Malwarebytes Anti-Rootkit ausgeführt. Nach einen Neustart wurde nicht gefragt, den hab ich nach dem Scan und CleanUp manuell ausgeführt.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2013.01.10.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19393
Klangfarben :: KLANGFARBEN-PC [administrator]

10.01.2013 15:26:40
mbar-log-2013-01-10 (15-26-40).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26314
Time elapsed: 7 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2013.01.10.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19393
Klangfarben :: KLANGFARBEN-PC [administrator]

10.01.2013 15:45:47
mbar-log-2013-01-10 (15-45-47).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26302
Time elapsed: 9 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Ich habe gerade festgestellt, dass die Bereinigung mit dem Malware Anti-Rootkit mein Problem mit der Favoritenanzeige im Eingabefeld beim IE gelöst hat.

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

So, bin wieder zu Hause. Eine Frage bevor ich weiter mache: Ich habe Avast! Free Antivirus und hab keine Ahnung wie ich das ausschalte. Soll ich neu starten und in den Abgesicherten Modus oder gibt es da ne andere Möglichkeit...mir würde nur der Task Manager einfallen und den Prozess killen, aber das wäre wohl zu radikal.

Nein, einfach Echtzeitschutz deaktivieren

Hmmm, naja nachdem ich nun zu blöd bin den Echtzeitschutz zu deaktivireren werd ich mal die Avast! Schutzsteuerung nutzen, die ich durch nen Rechtsklick auf das Avast! Icon in der Taskleiste entdeckt hab (vielleicht meintest du ja sogar das).

So, hab mit beidem gescannt, allerdings hab ich beim TDSS-Killer keinen Button Report gefunden. Hab nen Screen gemacht, nachdem TDSS-Killer fertig gescannt hat. Ich mach den mal als Anhang, vielleicht hilft das ja oder du kannst mir sagen wie ich damit weiter machen soll.

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-10 22:01:59
-----------------------------
22:01:59.461    OS Version: Windows 6.0.6002 Service Pack 2
22:01:59.461    Number of processors: 2 586 0x170A
22:01:59.461    ComputerName: KLANGFARBEN-PC  UserName: Klangfarben
22:02:02.441    Initialize success
22:02:02.566    AVAST engine defs: 13011000
22:03:05.824    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
22:03:05.824    Disk 0 Vendor: WDC_WD6400AAKS-65A7B2 01.03B01 Size: 610480MB BusType: 3
22:03:05.855    Disk 0 MBR read successfully
22:03:05.855    Disk 0 MBR scan
22:03:05.855    Disk 0 unknown MBR code
22:03:05.870    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       597498 MB offset 63
22:03:05.902    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        12978 MB offset 1223676720
22:03:05.917    Disk 0 scanning sectors +1250257680
22:03:05.964    Disk 0 scanning C:\Windows\system32\drivers
22:03:12.719    Service scanning
22:03:29.309    Service FXDRV E:\Fxdrv.sys **LOCKED** 1235
22:03:36.257    Service MSICDSetup E:\CDriver.sys **LOCKED** 1235
22:03:43.449    Modules scanning
22:03:46.991    Disk 0 trace - called modules:
22:03:47.022    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys 
22:03:47.022    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86675a50]
22:03:47.037    3 CLASSPNP.SYS[8afab8b3] -> nt!IofCallDriver -> [0x85f45918]
22:03:47.037    5 acpi.sys[8069b6bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x85f4db98]
22:03:48.192    AVAST engine scan C:\Windows
22:03:50.969    AVAST engine scan C:\Windows\system32
22:06:17.765    AVAST engine scan C:\Windows\system32\drivers
22:06:30.915    AVAST engine scan C:\Users\Klangfarben
22:16:31.859    AVAST engine scan C:\ProgramData
22:17:52.651    Scan finished successfully
22:18:41.910    Disk 0 MBR has been saved successfully to "C:\Hauptprogramme\MBR.dat"
22:18:41.910    The log file has been saved successfully to "C:\Hauptprogramme\aswMBR.txt"
         

Das Log vom TDSS-Killer liegt in Textform vor, bitte auch so posten.