Combofix ist zurzeit nicht verfuegbar.


Poste mir das ganze Log! (http://www.trojaner-board.de/129612-...ml#post1001614)

2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Starting protection
2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Protection started successfully
2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Starting IP protection
2013/01/24 12:54:52 +0100 KEVIN-PC Kevin MESSAGE IP Protection started successfully
2013/01/24 13:07:21 +0100 KEVIN-PC Kevin MESSAGE Executing scheduled update: Daily
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Scheduled update executed successfully: database updated from version v2013.01.23.04 to version v2013.01.24.06
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Starting database refresh
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Stopping IP protection
2013/01/24 13:07:55 +0100 KEVIN-PC Kevin MESSAGE IP Protection stopped successfully
2013/01/24 13:09:29 +0100 KEVIN-PC Kevin MESSAGE Database refreshed successfully
2013/01/24 13:09:29 +0100 KEVIN-PC Kevin MESSAGE Starting IP protection
2013/01/24 13:09:32 +0100 KEVIN-PC Kevin MESSAGE IP Protection started successfully
2013/01/24 18:48:13 +0100 KEVIN-PC Kevin IP-BLOCK 89.248.168.94 (Type: incoming, Port: 53, Process: svchost.exe)
2013/01/24 22:56:08 +0100 KEVIN-PC Kevin IP-BLOCK 80.82.65.214 (Type: incoming, Port: 53, Process: svchost.exe)



Das ist einer von einem Tag, hab noch massig andere von den Tagen davor und danach.

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind 
  svchost.exe
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 21:06 on 31/01/2013 by Kevin
Administrator - Elevation successful

========== filefind ==========

Searching for "svchost.exe"
C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe	--a---- 216424 bytes	[18:11 14/02/2012]	[15:49 14/12/2012] 22101A85B3CA2FE2BE05FE9A61A7A83D
C:\Windows\System32\svchost.exe	--a---- 21504 bytes	[02:23 21/01/2008]	[02:23 21/01/2008] 3794B461C45882E06856F282EEF025AF
C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.0.6001.18000_none_b5bb59a1054dbde5\svchost.exe	--a---- 21504 bytes	[02:23 21/01/2008]	[02:23 21/01/2008] 3794B461C45882E06856F282EEF025AF

-= EOF =-
         

OK, jetzt Combofix: http://www.trojaner-board.de/129612-...ml#post1001671

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-03.03 - Kevin 04.02.2013  14:15:59.1.4 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3326.1622 [GMT 1:00]
ausgeführt von:: c:\users\Kevin\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\xp-AntiSpy
c:\program files\xp-AntiSpy\sponsoring\ebay_desktop.ico
c:\program files\xp-AntiSpy\sponsoring\sponsor.url
c:\program files\xp-AntiSpy\Uninstall.exe
c:\program files\xp-AntiSpy\xp-AntiSpy.chm
c:\program files\xp-AntiSpy\xp-AntiSpy.exe
c:\program files\xp-AntiSpy\xp-AntiSpy.url
c:\users\Kevin\AppData\Roaming\Roaming
c:\users\Kevin\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml
c:\users\Kevin\Documents\~WRL0577.tmp
c:\users\Kevin\Documents\~WRL1380.tmp
c:\users\Kevin\Documents\~WRL2553.tmp
c:\users\Kevin\Documents\~WRL2809.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-04 bis 2013-02-04  ))))))))))))))))))))))))))))))
.
.
2013-02-04 13:23 . 2013-02-04 13:23	--------	d-----w-	c:\users\Kevin\AppData\Local\temp
2013-02-04 11:41 . 2013-02-04 11:41	60872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9249F0C9-9F39-4767-87F9-D011F71069BB}\offreg.dll
2013-02-01 10:51 . 2013-01-08 04:57	6991832	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9249F0C9-9F39-4767-87F9-D011F71069BB}\mpengine.dll
2013-01-24 17:59 . 2013-01-24 17:59	--------	d-----w-	c:\users\Kevin\AppData\Roaming\RealNetworks
2013-01-24 17:59 . 2013-01-24 17:59	--------	d-----w-	c:\program files\RealNetworks
2013-01-24 17:59 . 2013-01-24 17:59	--------	d-----w-	c:\programdata\RealNetworks
2013-01-24 17:58 . 2013-01-24 17:58	--------	d-----w-	c:\program files\Common Files\xing shared
2013-01-24 17:58 . 2013-01-24 17:58	153296	----a-w-	c:\program files\Mozilla Firefox\plugins\nppl3260.dll
2013-01-24 17:58 . 2013-01-24 17:58	124056	----a-w-	c:\program files\Mozilla Firefox\plugins\nprpplugin.dll
2013-01-22 21:51 . 2013-01-22 21:51	--------	d-----w-	c:\program files\Common Files\Adobe
2013-01-22 21:14 . 2013-01-22 21:14	--------	d-----w-	c:\users\Kevin\AppData\Local\Macromedia
2013-01-22 17:30 . 2013-01-22 17:30	--------	d-----w-	c:\program files\Common Files\Skype
2013-01-17 20:23 . 2013-01-17 20:23	--------	d-----w-	c:\users\Kevin\AppData\Local\Sony Online Entertainment
2013-01-06 17:13 . 2013-01-06 17:13	--------	d-----w-	c:\users\Kevin\AppData\Roaming\Avira
2013-01-06 17:07 . 2012-11-27 09:01	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-01-06 17:07 . 2012-11-22 14:51	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-01-06 17:07 . 2012-11-22 14:50	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-01-06 17:07 . 2013-01-06 17:07	--------	d-----w-	c:\programdata\Avira
2013-01-06 17:07 . 2013-01-06 17:07	--------	d-----w-	c:\program files\Avira
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-24 17:58 . 2009-01-23 17:50	348160	----a-w-	c:\windows\system32\msvcr71.dll
2013-01-24 17:50 . 2012-05-11 08:29	697864	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-01-24 17:50 . 2011-08-15 10:29	74248	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-17 00:28 . 2009-10-10 05:37	232336	------w-	c:\windows\system32\MpSigStub.exe
2012-12-30 22:51 . 2012-12-30 22:51	711240	----a-w-	c:\windows\is-CIM0O.exe
2012-12-14 15:49 . 2012-02-14 18:11	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-01-16 20:10 . 2013-01-24 17:15	262552	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-20 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2008-08-26 16986112]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2008-09-18 333120]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2009-10-01 718688]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13683232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-12-04 384800]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2013-01-24 295072]
.
c:\users\Kevin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
InterVideo WinCinema Manager.lnk - d:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-3-3 86016]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
InterVideo WinCinema Manager.lnk - d:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-3-3 86016]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - FSUSBEXDISK
*Deregistered* - Lavasoft Kernexplorer
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-04 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 07:40]
.
2013-02-04 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 14:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Kevin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
LSP: %SystemRoot%\system32\PrxerDrv.dll
Trusted Zone: clonewarsadventures.com
Trusted Zone: everestpoker.com\account
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - ProfilePath - c:\users\Kevin\AppData\Roaming\Mozilla\Firefox\Profiles\1j5n9nvp.default\
FF - prefs.js: browser.search.selectedEngine - YouTube-Videosuche
FF - prefs.js: browser.startup.homepage - hxxp://www.wieistmeineip.de/
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Fraps - g:\fraps\uninstall.exe
AddRemove-xp-AntiSpy - c:\program files\xp-AntiSpy\Uninstall.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-04 14:23
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\program files\VIA\VIAudioi\VDeck\VDeck.exe -r??????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]
"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]
"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1707156661-847285289-3195175745-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:7b,18,08,e1,1b,d0,cd,3f,18,8d,03,64,1f,be,32,f7,40,96,7b,9e,76,e2,fa,
   5e,3e,42,e7,35,ff,d6,3b,43,88,12,bd,16,40,f6,e4,6e,95,03,00,25,ed,f1,ae,5c,\
"??"=hex:ab,a3,12,6d,54,e8,bf,36,ce,39,cf,38,6f,a4,ee,03
.
[HKEY_USERS\S-1-5-21-1707156661-847285289-3195175745-1000\Software\SecuROM\License information*]
"datasecu"=hex:29,00,7e,3a,44,7f,82,dc,54,d9,49,df,fa,0d,03,cc,26,ac,5f,ec,d3,
   9a,52,1d,e2,35,94,4c,8d,cd,a5,3b,31,96,1c,e1,ff,1f,e3,2f,d3,7b,9b,12,33,cb,\
"rkeysecu"=hex:6d,38,a0,3b,65,a7,8e,00,a6,72,cb,b7,7e,3b,bd,3b
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2013-02-04  14:28:02
ComboFix-quarantined-files.txt  2013-02-04 13:28
.
Vor Suchlauf: 20 Verzeichnis(se), 45.361.864.704 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 45.278.744.576 Bytes frei
.
- - End Of File - - FA98604282D7E740CE20ABDC97D2FAC9
         

--- --- ---

Kommen immer noch Anfragen?

Ja, kommen immernoch, aber es kommt mir vor das es nicht mehr so oft da ist.
Das ist der Log vom letzten mal:

Code: Alles auswählenAufklappen

ATTFilter

2013/02/04 00:25:57 +0100	KEVIN-PC	Kevin	IP-BLOCK	222.186.31.204 (Type: incoming, Port: 33965, Process: svchost.exe)
2013/02/04 00:26:06 +0100	KEVIN-PC	Kevin	IP-BLOCK	222.186.31.204 (Type: incoming, Port: 33965, Process: svchost.exe)
2013/02/04 12:16:47 +0100	KEVIN-PC	Kevin	MESSAGE	Starting protection
2013/02/04 12:16:47 +0100	KEVIN-PC	Kevin	MESSAGE	Protection started successfully
2013/02/04 12:16:47 +0100	KEVIN-PC	Kevin	MESSAGE	Starting IP protection
2013/02/04 12:16:50 +0100	KEVIN-PC	Kevin	MESSAGE	IP Protection started successfully
2013/02/04 12:19:24 +0100	KEVIN-PC	Kevin	MESSAGE	Executing scheduled update:  Daily
2013/02/04 12:19:43 +0100	KEVIN-PC	Kevin	MESSAGE	Starting database refresh
2013/02/04 12:19:43 +0100	KEVIN-PC	Kevin	MESSAGE	Scheduled update executed successfully:  database updated from version v2013.01.28.03 to version v2013.02.04.04
2013/02/04 12:19:43 +0100	KEVIN-PC	Kevin	MESSAGE	Stopping IP protection
2013/02/04 12:19:43 +0100	KEVIN-PC	Kevin	MESSAGE	IP Protection stopped successfully
2013/02/04 12:19:45 +0100	KEVIN-PC	Kevin	MESSAGE	Database refreshed successfully
2013/02/04 12:19:45 +0100	KEVIN-PC	Kevin	MESSAGE	Starting IP protection
2013/02/04 12:19:47 +0100	KEVIN-PC	Kevin	MESSAGE	IP Protection started successfully
2013/02/04 14:09:54 +0100	KEVIN-PC	Kevin	MESSAGE	Stopping protection
2013/02/04 14:09:54 +0100	KEVIN-PC	Kevin	MESSAGE	Protection stopped successfully
2013/02/04 14:09:55 +0100	KEVIN-PC	Kevin	MESSAGE	Stopping IP protection
2013/02/04 14:09:55 +0100	KEVIN-PC	Kevin	MESSAGE	IP Protection stopped successfully
2013/02/04 14:10:27 +0100	KEVIN-PC	Kevin	MESSAGE	Protection stopped
2013/02/04 16:33:35 +0100	KEVIN-PC	Kevin	MESSAGE	Starting protection
2013/02/04 16:33:37 +0100	KEVIN-PC	Kevin	MESSAGE	Protection started successfully
2013/02/04 16:33:37 +0100	KEVIN-PC	Kevin	MESSAGE	Starting IP protection
2013/02/04 16:33:40 +0100	KEVIN-PC	Kevin	MESSAGE	IP Protection started successfully
         

ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

dann:
Alte Version loeschen!
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Sorry, für die sehr späte Antwort, war krank und hatte sehr wenig Zeit...


ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=b7f87c11f4757b4ca1cadec75ab4fe11
# engine=13153
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-14 04:47:55
# local_time=2013-02-14 05:47:55 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1799 16775165 100 97 19185 226283765 11968 0
# compatibility_mode=5892 16776574 100 100 872188 198393203 0 0
# scanned=430125
# found=0
# cleaned=0
# scan_time=10705
         

AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.112 - Datei am 14/02/2013 um 17:53:24 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Kevin - KEVIN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Kevin\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{855F3B16-6D32-4FE6-8A56-BBB695989046}

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v18.0.2 (de)

Datei : C:\Users\Kevin\AppData\Roaming\Mozilla\Firefox\Profiles\1j5n9nvp.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v14.0.835.163

Datei : C:\Users\Kevin\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [17365 octets] - [22/01/2013 12:58:44]
AdwCleaner[S2].txt - [1062 octets] - [14/02/2013 17:53:24]

########## EOF - C:\AdwCleaner[S2].txt - [1122 octets] ##########
         

--- --- ---

[/code]

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.57  
 Windows Vista Service Pack 2 x86 (UAC is disabled!)  
 Internet Explorer 7 Out of date! 
``````````````Antivirus/Firewall Check:``````````````   
Avira Desktop                         
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 MVPS Hosts File  
 VirusTotal Uploader    
 VirusTotal Uploader 2.0   
 Malwarebytes Anti-Malware Version 1.70.0.1100    
 CCleaner (remove only)   
 Java(TM) 6 Update 26  
 Java version out of Date! 
 Adobe Flash Player 10 Flash Player out of Date! 
 Adobe Flash Player 	11.5.502.146  
 Adobe Reader 9 Adobe Reader out of Date! 
 Adobe Reader 10.1.4 Adobe Reader out of Date!  
 Mozilla Firefox (18.0.2) 
 Google Chrome 14.0.835.163  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbamgui.exe  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````
         

Ausserdem hat Avira am 11.02 etwas gefunden:

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Windows\temp\SBS_LIBNSIS_TEMP_20130111224102.771_        59'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
         

Weißt du was das ist? Habe Avira noch öfters scannen lassen, aber hat nichts mehr gefunden...

Alle Windows Updates einspielen, inkl. Internet Explorer!
http://windowsupdate.microsoft.com


Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 13 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.