Hallo,

benutze Vista Home,
Das Programm Spotify wird geschlossen, Windows meldet, dass es auf Grund eines Problems nicht richtig ausgeführt werden konnte.

Die Avira Software ist beim Scan-Suchlauf bei einer DAtei hängen geblieben und nicht weitergelaufen.
Danach kam die Fehlermeldung, dass ein Yontoo.Gen2 gefunden wurde.
Sowie ADWARE/InstallCore.Gen

Ich habe das jetzt erstmal in die Quarantaine verschoben und würde gerne wissen, was ich noch machen kann.
EIn QuickScan von Malware hat nichts gefunden.

Vielen Dank für jede Hilfe!!

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Dankeschön fürs Willkommen-Heißen,

Malwarebytes hat nichts gefunden,
ich hab noch ein Hijack-Log File gemacht, aber da schien soweit alles in Ordnung (laut Logfile-Auswertung) und das soll man ja auch hier nicht posten, habe ich gerade gesehen..
Ansonsten hätte ich noch die Meldungen aus Avira-könnte das weiterhelfen?

Zitat:

Malwarebytes hat nichts gefunden,

Poste das bitte im ersten Schritt trotzdem mal

hier kommt's:
Malwarebyte log

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.20.06

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
:: L-PC [Administrator]

Schutz: Aktiviert

20.03.2013 11:47:50
mbam-log-2013-03-20 (11-47-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 312179
Laufzeit: 1 Stunde(n), 42 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danke!
und gleich eine kurze Frage: Nachdem ich GMER installiert habe und den Virenscanner ausgeschaltet habe, muss ich meine Firewall auch ausschalten?

und hilft es vielleicht schonmal weiter, wenn ich die Dateipfade für die Funde poste?
viele grüße

Falls du die Windows-Firewall meinst, die kann so bleiben wie sie ist

Zitat:

und hilft es vielleicht schonmal weiter, wenn ich die Dateipfade für die Funde poste?

ja, die Info wäre gut

Ja, die meinte ich, danke!

Hier die Pfade aus der Avira Meldung:

'C:\Users\La\AppData\Local\Microsoft\Windows\Tempo rary Internet Files\Low\Content.IE5\RVKCD1L5\Firefox_Setup_15.0. 1[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/InstallCore.Gen' [adware].

In der Datei 'C:\Users\La\AppData\Local\Microsoft\Windows\Tempo rary Internet Files\Low\Content.IE5\RVKCD1L5\Firefox_Setup_15.0. 1[1].exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/InstallCore.Gen' [adware] gefunden.

'C:\Users\La\AppData\Local\Temp\is88410971\yontoo-c3.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADWARE/Yontoo.Gen2' [adware].

In der Datei 'C:\Users\La\AppData\Local\Temp\is88410971\yontoo-c3.exe'
wurde ein Virus oder unerwünschtes Programm 'ADWARE/Yontoo.Gen2' [adware] gefunden.

"Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe. "

Wie "entpacke" ich das Anti-Rootkit?
Habe es heruntergeladen, in der Download-Box mit Doppelklick angeklickt und gespeichert, dann wars als ZIP File in meinem Download Ordner und von da aus habe ich es auf den Desktop gezogen- war das alles, was entpacken meinte?


Habe versucht, GMER durchlaufen zu lassen, da kam aber nach kurzem die gleiche Fehlermeldung wie bei Spotify (und vor ein paar Minuten auch bei Firefox): Fehler, und Programm musste beendet werden.

Wollte es dann im abgesicherten Modus probieren, allerdings habe ich das noch nie gemacht. Wenn man einmal in dem abgesicherten Modus drin ist, wie kommt man dann wieder raus und welche Optionen hat man da drin? Kann ich da GMER genauso starten? (Das war doch, was ich im abgesichterten Modus machen sollte, oder?)

Wirklich vielen DAnk für die Hilfe!

7zip installieren, dann Rechtsklick auf die ZIP => 7zip => hier entpacken

Hallo, danke, das habe ich jetzt gemacht,
aber ich kann GMER immer noch nicht durchlaufen lassen: Nach ein paar Minuten wird das Programm abgebrochen mit der Meldung, es würde nicht richtig funktionieren.

Dann mach bitte erstmal mit MBAR weiter

Wenn ich Malewarebytes Anti-Rootkit starte, kommt folgende Meldung:

Registry value "AppInit_DIIs" has been found, which may be caused by rootkit activity.
Note: press "no" button if you're not sure. If the tool crashes or terminates unexpectadly during a system scan, restart the tool and press "yes" should this message appear again.
Do you want to remove this value and restart the tool?

Ich weiß leider nicht, was rootkit activity ist und daher weiß ich nicht, was ich mit dieser Meldung, bzw mit AppInit_DIIs anfangen muss.

Bitte auf Nein klicken und normal weitermachen

hab ich gemacht,
hier das Log vom ersten Durchlauf: 1 Malware Fund
danach das vom 2. Durchlauf nach clean-up, kein Malware Fund mehr

Durchlauf 1

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.22.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Benutzer :: ***-PC [administrator]

22.03.2013 15:09:24
mbar-log-2013-03-22 (15-09-24).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 27835
Time elapsed: 14 minute(s), 36 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
c:\Users\***\AppData\Local\Temp\pricepeep_130001_1001.exe (Adware.Shopper) -> Delete on reboot.

(end)
         

Durchlauf 2:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.22.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Benutzer:: ***-PC [administrator]

22.03.2013 15:38:14
mbar-log-2013-03-22 (15-38-14).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 27820
Time elapsed: 17 minute(s), 29 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)