Avira-Funde:

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

22.02.2013 17:36 [System Scanner] Malware gefunden
      Die Datei 'C:\Qoobox\Quarantine\C\ProgramData\roorukwt.exe.vir'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Weelsof.afs' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56c93153.qua' 
      verschoben!

22.02.2013 17:36 [System Scanner] Malware gefunden
      Die Datei 'C:\ProgramData\Microsoft\Windows 
      Defender\LocalCopy\{058053CD-7F7F-56BF-FFD0-0EBEAE58D13A}-syshost.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Necurs.A.893' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '571d375c.qua' 
      verschoben!

22.02.2013 17:35 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Qoobox\Quarantine\C\ProgramData\roorukwt.exe.vir'
      wurde ein Virus oder unerwünschtes Programm 'TR/Weelsof.afs' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

22.02.2013 17:35 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\ProgramData\Microsoft\Windows 
      Defender\LocalCopy\{058053CD-7F7F-56BF-FFD0-0EBEAE58D13A}-syshost.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Necurs.A.893' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

30.01.2013 22:40 [System Scanner] Malware gefunden
      Die Datei 
      'C:\$Recycle.Bin\S-1-5-21-1432394747-3649653104-1402316645-1003\$4309f9b0ac5cf96
      c6244ad96382ab73f\n'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Sirefef.AH' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540f3d0c.qua' 
      verschoben!

30.01.2013 22:39 [Echtzeit Scanner] Malware gefunden
      In der Datei 
      'C:\$Recycle.Bin\S-1-5-21-1432394747-3649653104-1402316645-1003\$4309f9b0ac5cf96
      c6244ad96382ab73f\n'
      wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AH' [trojan] gefunden.
      Ausgeführte Aktion: Übergeben an Scanner
         

Das sind Funde aus der Quarantaenen, also harmlos.

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hier der Scan:

Code: Alles auswählenAufklappen

ATTFilter

Farbar Service Scanner Version: 20-02-2013
Ran by Kevin (ATTENTION: The logged in user is not administrator) on 25-02-2013 at 17:28:27
Running from "D:\Christian\Downloads"
Windows 7 Professional Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============
SDRSVC Service is not running. Checking service configuration:
The start type of SDRSVC service is OK.
The ImagePath of SDRSVC service is OK.
The ServiceDll of SDRSVC service is OK.

VSS Service is not running. Checking service configuration:
The start type of VSS service is OK.
The ImagePath of VSS service is OK.


System Restore Disabled Policy: 
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
         

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.