Hallo
Ich bräuchte mal Eure professionelle Hilfe in Sachen Trojaner. Google meldete ungewönlich hohen Datenverkehr, deshalb der Scann mit Mwb.
Beim Scan mit "Malwarebytes" kamen folgende zum Vorschein:
PUM.UserWLoad
Trojan.Agent

Im Forum habt Ihr ja schon oft geholfen und ich will da nicht allein irgendwo "rumprobieren".
Einen vollständigen Scann mit Mwb hab ich, wie schon gesagt, gemacht.

Ich danke schon mal im Voraus.
Fred

Bitte das Malwarebytes Logfile posten!
(Reiter Logdateien)


danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo t´john
Hier schon mal die ersten beiden Dateien
Danke

Kann man das so Lesen bzw. wie versendet man die Logdateien?
Fred

Nein, ist OK.

OTL-Logs?

OTL tuckert noch. Kommt dann sofort.

So fertig...

Die eine Datei war zu gross für Textdateien - ist gezippt.

Schreib doch bitte, ob Du alles öffnen konntest.

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - HKLM..\Run: [] File not found 
O4 - HKU\S-1-5-21-422900864-3643168719-1297209252-1001..\Run: [logonlx] "C:\Users\fredolf\AppData\Roaming\logonlx.exe" -autorun File not found 
O4 - HKU\S-1-5-21-422900864-3643168719-1297209252-1001..\Run: [lptkbvlm] C:\Users\fredolf\AppData\Local\mpitlfjh.exe () 
O4 - HKU\S-1-5-21-422900864-3643168719-1297209252-1001..\Run: [packjywin] "C:\Users\fredolf\AppData\Roaming\packjywin.exe" -autorun File not found 
O4 - HKU\S-1-5-21-422900864-3643168719-1297209252-1001..\Run: [xhivnkxf] C:\Users\fredolf\AppData\Local\gvurmvtn.exe () 
F3:64bit: - HKU\S-1-5-21-422900864-3643168719-1297209252-1001 WinNT: Load - (C:\Users\fredolf\Local Settings\Temp\mswfka.exe) - C:\Users\fredolf\Local Settings\Temp\mswfka.exe () 
F3 - HKU\S-1-5-21-422900864-3643168719-1297209252-1001 WinNT: Load - (C:\Users\fredolf\Local Settings\Temp\mswfka.exe) - C:\Users\fredolf\Local Settings\Temp\mswfka.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
O20:64bit: - HKLM Winlogon: UserInit - (c:\program files (x86)\g data\internetsecurity\avkkid\avkcks.exe) - c:\program files (x86)\g data\internetsecurity\avkkid\avkcks.exe () 
[2012.10.15 16:04:30 | 000,000,000 | ---- | C] () -- C:\Users\fredolf\AppData\Local\gvurmvtn.exe 
[2012.10.15 16:03:38 | 000,000,000 | ---- | C] () -- C:\Users\fredolf\AppData\Local\mpitlfjh.exe 
[2012.10.15 16:04:40 | 000,059,904 | ---- | C] () -- C:\Users\fredolf\AppData\Local\ogwgagoq 
[2012.10.15 16:04:06 | 000,000,000 | ---- | C] () -- C:\Users\fredolf\AppData\Roaming\SharedSettings.ccs 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\fredolf\*.tmp
C:\Users\fredolf\AppData\Local\Temp\*.exe
C:\Users\fredolf\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo
Hier die OTL Datei

Beim Scan mit Mwb sieht es schon mal super aus - keine Funde

Und noch ADW:

Vollscan machen!

Und nicht spammen!

Doch noch einer...

Sehr gut!



Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html


danach:

Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So, mit den Scan´s bin ich fertig.
Sollte ich eigentlich bei "AmiSoft-AntiMalware" hinterher alle Wächter einschalten?
Ich hab es erst mal aus geschaltet, da mein PC eventuell noch langsamer wird.
Das Programm hat sich übrigens selbstständig geupdatet.
Na denn...


Results of screen317's Security Check version 0.99.57
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
G Data InternetSecurity 2013
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
JavaFX 2.1.1
Java(TM) 6 Update 18
Java(TM) 6 Update 22
Java(TM) 6 Update 31
Java 7 Update 11
Adobe Flash Player 11.5.502.146
Adobe Reader 9 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
Emsisoft Anti-Malware a2service.exe
G Data InternetSecurity Firewall GDFwSvcx64.exe
G Data InternetSecurity Firewall GDFirewallTray.exe
windows defender MpCmdRun.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Alle alten Java Versionen Deinstallieren!

Updaten: Adobe Reader - Download - Filepony



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hallo
Ich hab alles Alte von Adobe und Java deinstalliert und neu runtergeladen.
In den Java-Einstellungen habe ich das Häkchen bei:
"Java Content im Browser aktiveren"
rausgenommen
Hier der Check:


PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Internet Explorer 9.0 ist aktuell
Flash (11,5,502,146) ist aktuell.
Java ist nicht Installiert oder nicht aktiviert.
Adobe Reader 11,0,0,0 ist aktuell.