Hallo Kompetenzteam,

ich bin mit meinem Wissen am Ende. Vielleicht habt ihr eine Lösungen parat für mein folgendes Problem:

Meine Frau nutzt ihr GMX Postfach ausschließlich über den Firefox-Browser bzw. über den Safari-Browser über das Ipad4. Vor zwei Wochen ist ihr aufgefallen, dass als letzter Login ein Datum und eine Uhrzeit angezeigt wurde, zu der sie definitiv nicht in ihrem Postfach war. Daraufhin habe ich auf ihrem Laptop einen Virenscan mit Avira Free Antivirus durchgeführt. (dieser ergab kein Ergebnis) und habe über meinen PC das Passwort geändert. Das neue Passwort enthielt Zahlen, Groß- und Kleinbuchstaben und hatte 10 Zeichen, es sollte meiner Auffassung nach als relativ sicher gelten.
Es ergaben sich nun keine ungewöhnlichen Logins mehr.

Heute Morgen stellte sie dann fest, dass gestern Abend um 21 Uhr ein Login stattgefunden hatte. Zu diesem Zeitpunkt waren wir allerdings bei Freunden, sodass der Login nicht von ihr stammen kann. Ich gehe daher davon aus, dass sich auf dem Laptop meiner Frau ein Trojaner oder Spybot versteckt haben muss, da ich mir sonst den Login von gestern Abend nicht erklären kann.

Habt ihr eine Idee, wie ich den Laptop jetzt wieder sicher kriege? Besteht die Gefahr, dass ich meinen Laptop und meinen normalen PC ebenfalls mit dem Trojaner/Spybot infiziert habe, da sich diese in einem Heimnetzwerk befinden?

Ich muss noch erwähnen, dass meine Frau in ihrem GMX-Postfach im Archiv die Zugangsdaten zu Verlagen etc. gespeichert hatte.

Bin für jede mögliche Idee oder Ratschlag zur Behebung des Problems äußerst dankbar!

Bitte helft mir und meiner Frau.

Im Voraus vielen Dank.

Mit freundlichen Grüßen

DA-User

P.S.
Wie im Forum angegeben, habe ich die Programme Defogger.exe, OTL.exe und Gmer.exe heruntergeladen und ausgeführt. Das Programm OTL ist allerdings immer an folgender Stelle hängen geblieben: "Scanning FireFox settings...". (Keine Rückmeldung auch nach über 30 Minuten Wartezeit), sodass ich die Logfiles von diesem Programm nicht beifügen konnte.

Hallo Kompetenzteam,

habe es jetzt geschafft die Dateien mit OTL zu erstellen und habe diese als Anhang beigefügt.

Mit freundlichen Grüßen

DA_User

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

dann:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'john,

ich habe jetzt die o.g. Schritte ausgeführt.
Da ich mir nicht sicher bin, ob ich die Log-Dateien als Anhang oder als Text posten soll, habe ich sie als Anhang beigefügt.
Wenn das falsch sein sollte, bitte sagen, dann mache ich es das nächste Mal anders.

Schon mal vielen Dank für die Unterstützung.

Viele Grüße

DA-User

Bitte die Logfiles posten.


Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Guten Morgen t'john,

hier der Logfil von aswMBR.exe:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-23 20:21:56
-----------------------------
20:21:56.399 OS Version: Windows x64 6.1.7601 Service Pack 1
20:21:56.399 Number of processors: 2 586 0x170A
20:21:56.399 ComputerName: BEATRICE-PC UserName: Beatrice
20:21:57.600 Initialize success
20:22:07.506 AVAST engine defs: 13042300
20:22:12.373 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
20:22:12.373 Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3
20:22:12.607 Disk 0 MBR read successfully
20:22:12.623 Disk 0 MBR scan
20:22:12.623 Disk 0 Windows VISTA default MBR code
20:22:12.638 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 13000 MB offset 2048
20:22:12.669 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 26626048
20:22:12.685 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 292143 MB offset 26830848
20:22:12.872 Disk 0 scanning C:\Windows\system32\drivers
20:22:31.499 Service scanning
20:22:55.304 Modules scanning
20:22:55.304 Disk 0 trace - called modules:
20:22:55.367 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
20:22:55.367 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8005782060]
20:22:55.382 3 CLASSPNP.SYS[fffff8800120143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80046c1050]
20:22:57.348 AVAST engine scan C:\Windows
20:23:03.370 AVAST engine scan C:\Windows\system32
20:25:56.935 AVAST engine scan C:\Windows\system32\drivers
20:26:10.523 AVAST engine scan C:\Users\Beatrice
21:20:07.800 AVAST engine scan C:\ProgramData
21:23:13.177 Scan finished successfully
21:25:31.924 Disk 0 MBR has been saved successfully to "C:\Users\Beatrice\Desktop\MBR.dat"
21:25:31.939 The log file has been saved successfully to "C:\Users\Beatrice\Desktop\aswMBR.txt"

Der Logfile von ESET Online Scanner:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=df46281d4725714aa71d251130f99060
# engine=13681
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-23 10:21:24
# local_time=2013-04-24 12:21:24 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 98 17822 232178974 10603 0
# compatibility_mode=5893 16776574 66 94 36051541 118385534 0 0
# scanned=354435
# found=0
# cleaned=0
# scan_time=9892

Und hier noch der Logfile von SecurityCheck:

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
AntiVir Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 17
Adobe Flash Player 11.7.700.169
Adobe Reader XI
Mozilla Firefox (20.0.1)
Mozilla Thunderbird (3.0.4) Thunderbird out of Date!
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Eine Frage hätte ich noch, soll ich die gleichen Schritte auch bei dem anderen Laptop und dem Stand-PC durchführen oder ist es dafür noch zu früh?

Viele Grüße

DA-User

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hallo t'john,

hier die Ergebnisse:

vor dem Deaktivieren:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 20.0 ist aktuell

Flash (11,7,700,169) ist aktuell.

Java (1,7,0,21) ist aktuell.

Adobe Reader 11,0,2,0 ist aktuell.

nach dem Deaktivieren:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 20.0 ist aktuell

Flash (11,7,700,169) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,2,0 ist aktuell.

Vielen Dank nochmals für die schnellen Antworten.

Mfg

DA-User

P.S.: Kurz nochmals wegen der anderen Rechner gleiches Prozedere oder nicht?

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Hallo t'john.

Vielen Dank für die Hilfe.

Viele Grüße

DA-User

wuensche eine virenfreie Zeit

Hallo t'john,

ich habe jetzt angefangen die Lektüre abzuarbeiten.
Hierbei ist beim aktivieren der Windows Firewall folgende Fehlermeldung aufgetaucht:

Fehlercode 0x80070424

Ich dachte zuerst es läge an Avira, und habe das deinstalliert. Aber auch das hat nichts gebracht.

Wäre nett wenn ich hierzu einen kurzen rat von dir erhalten könnte.

Viele Grüße

DA-User

Versuche alle Reste von Avira zu entfernen: http://dlpro.antivir.com/package/rem...l-win32-de.exe


dann:
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo t'john,

hier das Ergebnis des Scans.

Farbar Service Scanner Version: 14-04-2013
Ran by Admin (administrator) on 29-04-2013 at 19:56:23
Running from "C:\Users\Beatrice\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to retrieve start type of iphlpsvc. The value does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to retrieve ImagePath of iphlpsvc. The value does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to retrieve ServiceDll of iphlpsvc. The value does not exist.


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****

Allerdings hatte ich vor deiner Antwort schon den Avast Virenscanner installiert und ausgeführt. Hier gab es keine Ergebnisse.

Mfg

DA-User

Abarbeiten: http://www.trojaner-board.de/126216-...epair-aio.html


dann:
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.