Hallo,

ich habe seit einiger Zeit bei Maleware immer wieder den Fund Trojan.Ransom und Pum.UserWload. Gestern habe ich den Lösungsansatz von T´John für einen anderen User zu Trojan.Ransom befolgt. Beim nächsten Lauf von Maleware kam dann noch PuP.Keygm.Intro dazu. Ich habe dann zum Abschluss noch den adw Cleaner suchen lassen. Das Ergebnis ist beigefügt.
Ergänzend hierzu habe ich vom Abuse Team der Dt. Telekom einen Hinweis erhalten, dass an meinem Internetzugang, an dem mein PC betrieben wird, durch die SW ZeuS/ZBot infiziert sein könnte. Meine Websites sind seit dem gesperrt.
Vielen Dank für Ihre Unterstützung.

Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)


Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier die Logdateien von Maleware und dem OTL Scan.
Grüße
Gina

Warum hast du Cracks auf dem Rechner?

PUM.UserWLoad

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

Trojan.Ransom

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

PUP.Keygen.Intro

C:\Users\Palm\Desktop\Downloads\Adobe.Dreamweaver.CS5.v11.0.4909.Multilingual.Incl.Keymaker-CORE2\CORE10k.EXE

Hallo,

was sind cracks?

Grüße
Gina

Das da: C:\Users\Palm\Desktop\Downloads\Adobe.Dreamweaver.CS5.v11.0.4909.Multilingual.Incl.Keymaker-CORE2\CORE10k.EXE

Und was tut das Programm? Ich habe null Ahnung, was ein Crack ist.
Wie eliminiere ich denn jetzt die Viren/Trojaner, diese drei Meldungen, die Maleware ausgegeben hat?
Den Pfad C:\User\Palm etc. finde ich ja. Kann ich das löschen?
Die beiden anderen Stellen HKCU (was ist das) finde ich nicht. Wie kann ich das löschen?
Danke und Grüße
Gina

Wo hast du denn diese Datei her?

Ich habe keine Ahnung, woher die Datei stammt. Habe sie jetzt gelöscht. Die anderen beiden kann ich nicht löschen, da ich sie gar nicht finde.
Grüße
Gina

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL

F3 - HKU\S-1-5-21-2589387021-4094658326-2224290542-1000 WinNT: Load - (C:\Users\Palm\LocalS~1\Temp\msowiy.cmd) - File not found 
[2013.01.07 16:24:08 | 000,103,832 | ---- | C] () -- C:\Users\Palm\GoToAssistDownloadHelper.exe 
[2008.01.21 04:24:54 | 000,000,000 | ---- | C] () -- C:\Users\Palm\AppData\Roaming\userpemon.exe 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Palm\*.tmp
C:\Users\Palm\AppData\*.dll
C:\Users\Palm\AppData\*.exe
C:\Users\Palm\AppData\Local\Temp\*.exe
C:\Users\Palm\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hi,

hier die Logfiles. M.E. ist das Problem gelöst. Ich hatte von kaspary noch heute Nacht ein CD laufen lassen, die hat auch was gefunden und gelöscht.

Falls Du noch was erkennst, lass mich das wissen. Ansonsten vielen Dank für die Super Unterstützung!

Grüße
Gina

Wir sind noch nicht fertig.

Wo ist das Log vom Schritt Nummer 2?

dazu gab es keinen Log. Die Meldung war - kein Fund. Ich konnte kein Clean up durchführen.

SG
Gina

OK!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hi, hier der Log von aswMBR. Ich habe nichts gefixt oder so. Eset habe ich noch nicht installiert/laufen lassen. Reicht es nicht, dass ich die Kaspersky Rescue disque (ohne Systemstart) habe laufen lassen? Damit scanne ich jetzt auch auf einem anderen Rechner die ext. Festplatten.
Grüße
Gina