Nu Reste

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi,

soweit war alles gut. Kaum waren wir heut wieder im Netz kam wieder Alarm - Spy-Ware:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 29. Juni 2013  11:59

Es wird nach 4939736 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : TINI-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 17:40:36
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  25.06.2012 15:41:25
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 13:06:14
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 11:51:39
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 19:07:44
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 11:54:47
VBASE004.VDF   : 7.11.85.215     2048 Bytes  21.06.2013 11:54:47
VBASE005.VDF   : 7.11.85.216     2048 Bytes  21.06.2013 11:54:47
VBASE006.VDF   : 7.11.85.217     2048 Bytes  21.06.2013 11:54:47
VBASE007.VDF   : 7.11.85.218     2048 Bytes  21.06.2013 11:54:48
VBASE008.VDF   : 7.11.85.219     2048 Bytes  21.06.2013 11:54:48
VBASE009.VDF   : 7.11.85.220     2048 Bytes  21.06.2013 11:54:48
VBASE010.VDF   : 7.11.85.221     2048 Bytes  21.06.2013 11:54:48
VBASE011.VDF   : 7.11.85.222     2048 Bytes  21.06.2013 11:54:48
VBASE012.VDF   : 7.11.85.223     2048 Bytes  21.06.2013 11:54:48
VBASE013.VDF   : 7.11.85.224     2048 Bytes  21.06.2013 11:54:48
VBASE014.VDF   : 7.11.86.93    870400 Bytes  24.06.2013 15:50:12
VBASE015.VDF   : 7.11.86.223   331776 Bytes  25.06.2013 15:50:13
VBASE016.VDF   : 7.11.87.67    204800 Bytes  27.06.2013 15:50:13
VBASE017.VDF   : 7.11.87.68      2048 Bytes  27.06.2013 15:50:13
VBASE018.VDF   : 7.11.87.69      2048 Bytes  27.06.2013 15:50:13
VBASE019.VDF   : 7.11.87.70      2048 Bytes  27.06.2013 15:50:13
VBASE020.VDF   : 7.11.87.71      2048 Bytes  27.06.2013 15:50:13
VBASE021.VDF   : 7.11.87.72      2048 Bytes  27.06.2013 15:50:13
VBASE022.VDF   : 7.11.87.73      2048 Bytes  27.06.2013 15:50:13
VBASE023.VDF   : 7.11.87.74      2048 Bytes  27.06.2013 15:50:13
VBASE024.VDF   : 7.11.87.75      2048 Bytes  27.06.2013 15:50:13
VBASE025.VDF   : 7.11.87.76      2048 Bytes  27.06.2013 15:50:13
VBASE026.VDF   : 7.11.87.77      2048 Bytes  27.06.2013 15:50:13
VBASE027.VDF   : 7.11.87.78      2048 Bytes  27.06.2013 15:50:14
VBASE028.VDF   : 7.11.87.79      2048 Bytes  27.06.2013 15:50:14
VBASE029.VDF   : 7.11.87.80      2048 Bytes  27.06.2013 15:50:14
VBASE030.VDF   : 7.11.87.81      2048 Bytes  27.06.2013 15:50:14
VBASE031.VDF   : 7.11.87.146   144384 Bytes  28.06.2013 15:50:15
Engineversion  : 8.2.12.68 
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 18:38:13
AESCRIPT.DLL   : 8.1.4.126     483710 Bytes  27.06.2013 15:50:48
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 07:58:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  25.06.2012 15:41:24
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 18:38:13
AEPACK.DLL     : 8.3.2.24      749945 Bytes  21.06.2013 11:54:59
AEOFFICE.DLL   : 8.1.2.60      205181 Bytes  21.06.2013 11:54:58
AEHEUR.DLL     : 8.1.4.436    5964154 Bytes  27.06.2013 15:50:44
AEHELP.DLL     : 8.1.27.4      266617 Bytes  27.06.2013 15:50:19
AEGEN.DLL      : 8.1.7.6       442742 Bytes  27.06.2013 15:50:17
AEEXP.DLL      : 8.4.0.34      201079 Bytes  04.06.2013 19:28:20
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 17:08:10
AECORE.DLL     : 8.1.31.6      201081 Bytes  27.06.2013 15:50:16
AEBB.DLL       : 8.1.1.4        53619 Bytes  07.11.2012 18:27:42
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 17:40:35
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 17:40:33
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 09:59:15
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 09:59:01
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 17:40:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51ceacd0\guard_slideup.avp
Protokollierung.......................: vollständig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen..........: 0x08000000
Erweiterte Sucheinstellungen..........: 0x00300002

Beginn des Suchlaufs: Samstag, 29. Juni 2013  11:59

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Internet Explorer\iexplore.exe>
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Internet Explorer\iexplore.exe>
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <c:\program files (x86)\Avira\antivir desktop\avscan.exe>
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe>
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe>
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqste08.exe>
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Winamp\winampa.exe>
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe>
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe>
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe>
Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe>
Durchsuche Prozess 'HotkeyUtility.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe>
Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe>
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe>
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe>
Durchsuche Prozess 'mwlDaemon.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe>
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files\Acer\Acer Updater\UpdaterService.exe>
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\PnkBstrB.exe>
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\PnkBstrA.exe>
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe>
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\svchost.exe>
Durchsuche Prozess 'GregHSRW.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Acer\Registration\GregHSRW.exe>
Durchsuche Prozess 'ColorZillaStatsUpdater.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Users\Tini\AppData\LocalLow\ColorZillaStats\IE\ColorZillaStatsUpdater.exe>
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe>
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe>
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe>

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\Uzetcy\lupi.exe'
C:\Users\Tini\AppData\Roaming\Uzetcy\
  lupi.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.dns
    [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Apgefazoak> wurde erfolgreich repariert.
    [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Apgefazoak> wurde erfolgreich repariert.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57871002.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\ie_util.exe'
C:\Users\Tini\AppData\Roaming\
  ie_util.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Dofoil.B
    [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
    [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f033fb5.qua' verschoben!


Ende des Suchlaufs: Samstag, 29. Juni 2013  11:59
Benötigte Zeit: 00:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     28 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     26 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
         

Ansonsten haben wir im Explorer jetzt so gut wie alles geblockt. Mal schauen, obs wirkt :-)

Wie kommen denn ständig neue Spy-Trojaner auf unseren Rechner? Wir bewegen uns nun echt nur auf "normalen" Internetseiten.... :-(

Gruß,

Tini

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Users\Tini\AppData\Roaming\Uzetcy
C:\Users\Tini\AppData\Roaming\ie_util.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hallo Cosinus,

anbei das aktuelle Protokoll von OTL:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== FILES ==========
C:\Users\Tini\AppData\Roaming\Uzetcy folder moved successfully.
File\Folder C:\Users\Tini\AppData\Roaming\ie_util.exe not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Tini\Desktop\cmd.bat deleted successfully.
C:\Users\Tini\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 165838 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36099829 bytes
RecycleBin emptied: 9435 bytes
 
Total Files Cleaned = 35,00 mb
 
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!
 
OTL by OldTimer - Version 3.2.69.0 log created on 07012013_204303

Files\Folders moved on Reboot...
C:\Windows\System32\drivers\etc\Hosts moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Ich hatte zusätzlich noch solche Tracking-Schutz-Listen aktiviert - aber irgendwie geht kaum noch was - viele Sachen kann ich nicht öffnen, bei verschiedenen Anbietern kann ich mich nicht mehr einloggen. User und Passwort gebe ich jeweils an, aber es kommt immer wieder die Anmeldeseite, als ob ich nichts eingegeben hätte. Ist das normal?
Gleiches passiert, wenn ich die Listen wieder rauslösche und kein Tr.-Schutz aktiviert ist.

Und könntest du dir vielleicht mal eine unserer Homepages anschauen? Z. B. www.ferienwohnung-am-inselsee.de - da warnt neuerdings google vor der Öffnung der Seite und lässt mich nicht mehr rauf... :-(
Ich habe für alle Fälle alles vom Server geschmissen und neu raufgeladen, aber ohne Erfolg...

Ich weiß auch nicht, was hier los ist...alles fängt an zu spinnen, das müsste doch mal ein Ende haben oder?!?
Langsam verzweifeln wir :-(


Gruß Tini

Mach bitte neue Kontrollscans mit MBAM und ESET