Hallo,

heute morgen ist mein Laptop von dem "System Care AV" befallen worden.
Ich habe mir im abgesicherten Modus mit Netzwerktreibern Malwarebytes´ Anti-Malware heruntergeladen und den Suchlauf komplett durchlaufen lassen.
Es wurden insgesamt 38 befallene Dateien gefunden, die gelöscht worden sind. Den Log- Bericht (oder wie das heißt- so gut kenne ich mich nicht aus ) habe ich auf dem Desktop gespeichert. Den Bericht hänge ich unten an. Ich mache das in diesem Kästchen, da ich leider nicht weiß, wie es anders geht.

Ich habe den PC anschließend wieder neu gestartet (ebenfalls im abgesicherten Modus mit Netzwerktreibern).

Ist der Virus nun wirklich "weg" oder muss ich noch etwas anderes machen?
Wie gesagt, ich bin kein Experte und habe das mit dem Suchlauf über Malwarebytes ebenfalls im Netz gefunden.

Vielen Dank für eine Rückmeldung!

Louise



Log- Bericht:


1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.27.01

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Louise :: LOUISE-PC [Administrator]

Schutz: Deaktiviert

27.05.2013 09:24:00
mbam-log-2013-05-27 (09-24-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 463758
Laufzeit: 1 Stunde(n), 37 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|86CBEE6F528CE2E5000086CB67A9E8E3 (Trojan.FakeAlert.SSGen) -> Daten: C:\ProgramData\86CBEE6F528CE2E5000086CB67A9E8E3\86CBEE6F528CE2E5000086CB67A9E8E3.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 38
C:\Users\Louise\AppData\Local\IM\Identities\{305733E9-8D1C-4909-AF02-1A2B337BCE73}\Message Store\Attachments\Marie-Louise Gr_ Zahlungserinnerung 13.05.2013 2748859907 www.comtech.de.zip (Trojan.Fakenero.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp08436bbf.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp0bc7ed8e.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp1185ada4.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp26b7667c.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp26fc62d3.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp2bcc44a3.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp319df843.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp3f607d52.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp506b22f0.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp5907b113.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp6b88be65.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp6f0c5750.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp71f34af8.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp7d7b6e05.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp7edd6070.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp7efcb74b.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp8441f857.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp88ad9b59.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp89ae64f1.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp8d6d687f.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmp969a964a.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpa3688e51.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpb3efd075.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpb694a2fc.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpb6e1362c.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpc46c92e3.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpcf8a1068.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpd58b029b.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpd5eb2c5a.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpd8773ab6.exe (Malware.Packer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpda97b15e.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpe1f9d3ed.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpec39abde.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\AppData\Local\Temp\tmpfa07445e.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\Desktop\nbfb.tmp (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Louise\Documents\UNI Münster\Vertragsgestaltung WS 09\FLVDirect.exe (Adware.FlvDirect) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\86CBEE6F528CE2E5000086CB67A9E8E3\86CBEE6F528CE2E5000086CB67A9E8E3.exe (Trojan.FakeAlert.SSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ok.
Ich werde jetzt mit Combofix scannen und mich danach noch einmal melden!

Dankeschön!

Alles klar.

Hier nun das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-05-27.01 - Louise 27.05.2013  14:23:08.1.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3068.2409 [GMT 2:00]
ausgeführt von:: c:\users\Louise\Downloads\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\programdata\Roaming
c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini
c:\windows\Downloaded Program Files\f3initialsetup1.0.1.3.inf
c:\windows\IsUn0407.exe
c:\windows\system32\Thumbs.db
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-27 bis 2013-05-27  ))))))))))))))))))))))))))))))
.
.
2013-05-27 12:31 . 2013-05-27 12:32	--------	d-----w-	c:\users\Louise\AppData\Local\temp
2013-05-27 12:31 . 2013-05-27 12:31	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-05-27 07:23 . 2013-05-27 07:23	--------	d-----w-	c:\users\Louise\AppData\Roaming\Malwarebytes
2013-05-27 07:23 . 2013-05-27 07:23	--------	d-----w-	c:\programdata\Malwarebytes
2013-05-27 07:23 . 2013-05-27 07:23	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-05-27 07:23 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-05-27 06:04 . 2013-05-27 09:04	--------	d-----w-	c:\programdata\86CBEE6F528CE2E5000086CB67A9E8E3
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin5.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin4.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin3.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin5.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin4.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin3.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin2.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin2.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Mozilla Firefox\plugins\npqtplugin.dll
2013-05-26 14:09 . 2013-05-26 14:09	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin.dll
2013-05-26 14:07 . 2013-05-26 14:09	--------	d-----w-	c:\program files\QuickTime
2013-05-26 14:01 . 2013-05-26 14:01	--------	d-----w-	c:\program files\iPod
2013-05-26 14:01 . 2013-05-26 14:02	--------	d-----w-	c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-05-26 14:01 . 2013-05-26 14:02	--------	d-----w-	c:\program files\iTunes
2013-05-26 13:46 . 2013-05-13 06:19	7016152	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{EC0623DD-861C-48EC-B25A-EC4EBDB19124}\mpengine.dll
2013-05-15 19:27 . 2013-05-05 19:12	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2013-05-15 18:03 . 2013-04-15 14:20	638328	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2013-05-15 18:03 . 2013-04-13 10:56	37376	----a-w-	c:\windows\system32\cdd.dll
2013-05-15 18:03 . 2013-04-09 01:36	2049024	----a-w-	c:\windows\system32\win32k.sys
2013-05-14 15:49 . 2013-05-14 16:09	--------	d-----w-	c:\programdata\sunb
2013-05-01 01:59 . 2013-05-01 01:59	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2013-05-01 01:59 . 2013-05-01 01:59	69632	----a-w-	c:\windows\system32\QuickTime.qts
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-14 18:42 . 2012-04-24 15:58	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-14 18:42 . 2011-07-14 14:37	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-02 00:06 . 2009-10-05 10:44	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-04-02 14:09 . 2013-04-02 14:09	4550656	----a-w-	c:\windows\system32\GPhotos.scr
2013-03-11 13:25 . 2013-04-10 16:42	3603816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-11 13:25 . 2013-04-10 16:42	3551080	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-09 03:45 . 2013-04-10 16:42	49152	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-09 01:28 . 2013-04-10 16:42	64000	----a-w-	c:\windows\system32\smss.exe
2013-03-08 03:53 . 2013-04-10 16:42	376320	----a-w-	c:\windows\system32\winsrv.dll
2013-03-08 03:52 . 2013-04-10 16:42	2067968	----a-w-	c:\windows\system32\mstscax.dll
2013-03-03 19:07 . 2013-04-10 16:42	1082232	----a-w-	c:\windows\system32\drivers\ntfs.sys
2009-11-13 13:58 . 2009-11-13 13:58	2808832	----a-w-	c:\program files\Common FilesDDBACSetup.msi
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-07-19 366024]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-06-23 6111232]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-04 1295656]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-04-03 317280]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-05 59240]
"Skytel"="Skytel.exe" [2008-06-23 1826816]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-07 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-07 92704]
"CNAP2 Launcher"="c:\windows\system32\spool\DRIVERS\W32X86\3\CNAP2LAK.EXE" [2007-09-05 406944]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-14 281768]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-05-15 152392]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2013-05-01 421888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
" Malwarebytes Anti-Malware "="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2013-04-04 532040]
" Malwarebytes Anti-Malware  (cleanup)"="c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll" [2013-04-04 1127496]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-1 768552]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2008-07-15 16:04	98304	----a-w-	c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Acrobat - Schnellstart.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Louise^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Louise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
2011-07-19 19:39	366024	----a-w-	c:\program files\IncrediMail\bin\IncMail.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MarketingTools]
2008-09-16 01:45	24576	----a-w-	c:\program files\Sony\Marketing Tools\MarketingTools.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-04-11 16:54	1642448	----a-w-	c:\program files\Google\Chrome\Application\26.0.1410.64\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-24 18:43]
.
2013-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-02-19 15:37]
.
2013-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-02-19 15:37]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: An vorhandenes PDF anfügen - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube Download - c:\users\Louise\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Louise\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: In Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Trusted Zone: olb.de\www
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{1A5016AF-4A87-4F9B-85BE-CC9E473EFB64}: NameServer = 128.176.0.28,128.176.0.13
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://www.olb.de/olb_fb3_1867b/plugin/AXFOAM.CAB
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
FF - ProfilePath - c:\users\Louise\AppData\Roaming\Mozilla\Firefox\Profiles\j02oq3ek.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-Google Desktop Search - c:\program files\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-McENUI - c:\progra~1\McAfee\MHN\McENUI.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-27 14:32
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2013-05-27  14:34:18
ComboFix-quarantined-files.txt  2013-05-27 12:34
.
Vor Suchlauf: 9 Verzeichnis(se), 165.430.136.832 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 166.572.527.616 Bytes frei
.
- - End Of File - - 4663F162089B3E4E05FCBF4AEF4C437B
         

Ich hoffe, es funktioniert mit den CODE- Tags. Wie gesagt, ich habe davon leider keine Ahnung. Tut mir leid...!

Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




dann:
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hier die nächsten Ergebnisse von aswMBR.exe:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-27 16:02:04
-----------------------------
16:02:04.850    OS Version: Windows 6.0.6002 Service Pack 2
16:02:04.850    Number of processors: 2 586 0x1706
16:02:04.850    ComputerName: LOUISE-PC  UserName: Louise
16:02:05.770    Initialize success
16:04:17.699    AVAST engine defs: 13052700
16:05:27.930    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
16:05:27.930    Disk 0 Vendor: TOSHIBA_ LV01 Size: 305245MB BusType: 3
16:05:27.930    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000081
16:05:27.930    Disk 1 Vendor: RICOH 01 Size: 305245MB BusType: 0
16:05:27.930    Disk 2  \Device\Harddisk2\DR2 -> \Device\00000082
16:05:27.930    Disk 2 Vendor: RICOH 02 Size: 305245MB BusType: 0
16:05:28.398    Disk 0 MBR read successfully
16:05:28.414    Disk 0 MBR scan
16:05:28.414    Disk 0 Windows VISTA default MBR code
16:05:28.430    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         9082 MB offset 2048
16:05:28.445    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       296162 MB offset 18601984
16:05:28.445    Disk 0 scanning sectors +625141760
16:05:28.648    Disk 0 scanning C:\Windows\system32\drivers
16:05:40.410    Service scanning
16:06:14.278    Modules scanning
16:06:19.847    Disk 0 trace - called modules:
16:06:19.894    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 
16:06:19.894    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x87be1ac8]
16:06:19.894    3 CLASSPNP.SYS[8c3a68b3] -> nt!IofCallDriver -> [0x8768a3c0]
16:06:19.925    5 acpi.sys[8069c6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x876d5028]
16:06:20.877    AVAST engine scan C:\Windows
16:06:24.824    AVAST engine scan C:\Windows\system32
16:09:46.438    AVAST engine scan C:\Windows\system32\drivers
16:10:02.241    AVAST engine scan C:\Users\Louise
17:07:03.664    AVAST engine scan C:\ProgramData
17:17:06.526    Scan finished successfully
17:17:56.508    Disk 0 MBR has been saved successfully to "C:\Users\Louise\Desktop\MBR.dat"
17:17:56.524    The log file has been saved successfully to "C:\Users\Louise\Desktop\aswMBR.txt"
         

Ich führe dann jetzt die weiteren Schritte durch!

Hallo,

der Scan mit Malwarebytes Anti-Rootkit ergab keine Ergebnisse, so dass ich den CleanUp- Button nicht drücken konnte. Einen Neustart musste ich auch nicht durchführen.

Ich führe jetzt den Scan mit ESET Online Scanner durch!

MfG

Alles klar.

Und hier das Ergebnis vom ESET Online Scanner:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=faacb11f22f2d34bb1046d5aef0cfeda
# engine=13929
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-27 05:38:15
# local_time=2013-05-27 07:38:15 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775166 100 94 84468 106213151 93534 0
# compatibility_mode=5892 16776573 100 100 100334 207209023 0 0
# scanned=250817
# found=2
# cleaned=0
# scan_time=6873
sh=8EDECC088D3ECAA310A4BD20707718F31BE4AF66 ft=0 fh=0000000000000000 vn="Win32/Trustezeb.C trojan" ac=I fn="C:\Users\Louise\AppData\Local\IM\Identities\{305733E9-8D1C-4909-AF02-1A2B337BCE73}\Message Store\Attachments\Mahnung vom 29.04.2013 Marie-Louise Grübbel Mytoys.zip"
sh=24A608C0FB20BB545CB999908CA5BE969B9A0D30 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Users\Louise\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\43708a2e-7ae5cbb0"
         

Und zum Schluß- die Ergebnisse des SecurityCheck:

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.63  
 Windows Vista Service Pack 2 x86   
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
 Windows Security Center service is not running! This report may not be accurate! 
AntiVir Desktop   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Java(TM) 6 Update 31  
 Java 7 Update 9  
 Java(TM) 6 Update 6  
 Java version out of Date! 
 Adobe Flash Player 	11.7.700.202  
 Mozilla Firefox (3.5.2) Firefox out of Date!  
 Google Chrome 26.0.1410.43  
 Google Chrome 26.0.1410.64  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````
         

MfG

Deinstalliere:
Java(TM) 6 Update 31
Java 7 Update 9
Java(TM) 6 Update 6
Mozilla Firefox (3.5.2)

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
:Files
C:\Users\Louise\AppData\Local\IM\Identities\{305733E9-8D1C-4909-AF02-1A2B337BCE73}\Message Store\Attachments\Mahnung vom 29.04.2013 Marie-Louise Grübbel Mytoys.zip
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hallo,

danke erstmal

Ich konnte leider nur Mozilla deinstallieren.

Bei den Java- Anwendungen kommt folgende Meldung: "Auf den Windos Installer-Dienst konnte nicht zugegriffen werden. Dies kann auftreten, wenn der Windows Installer nicht richtig installiert wurde.

Hallo

Ich konnte Java nun doch deinstallieren. Ich war noch im abgesicherten Modus, daher funktionierte das nicht. Wie gesagt, ich habe nicht so viel Ahnung

Hier das Ergebnis von OLT

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
========== FILES ==========
File\Folder C:\Users\Louise\AppData\Local\IM\Identities\{305733E9-8D1C-4909-AF02-1A2B337BCE73}\Message Store\Attachments\Mahnung vom 29.04.2013 Marie-Louise Grübbel Mytoys.zip not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 05282013_133422
         

Ich installiere nun Java neu.

MfG

So,

ich habe nun Java neu installiert. Im Anschluss daran, nachdem die information zu den Updates kam, erschien ein kleines Fenster mit folgender Nachricht:
"GetDefaultBrowserError:2"
Das Fenster konnte ich mit "ok" wieder schließen.

Im Anschluss habe ich trotzdem die temporären Internetdateien unter Java gelöscht.

Hier der PluginCheck, nachdem ich die Einstellungen von Java nach Anleitung ausgeführt habe:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.



Internet Explorer 9.0 ist aktuell

Flash (11,7,700,202) ist aktuell.
Java (1,7,0,21) ist aktuell.

Adobe Reader 8,1,3,0 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0



Ich werde nun Java deaktivieren, wie du im letzten Schritt geschrieben hast. Soll ich den Adobe Reader auch aktualisieren?

MfG

Jetzt habe ich Java, wie von dir im letzten Schritt beschrieben, deaktiviert.

Der PluginCheck:


PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.



Internet Explorer 9.0 ist aktuell

Flash (11,7,700,202) ist aktuell.
Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 8,1,3,0 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0


MfG

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Ich habe jetzt alle abschließenden Schritte durchgeführt!

Vielen Dank!!

MfG

wuensche eine virenfreie Zeit