Hallo Community,

ich habe vor 2 Tagen einen Trojaner durch eine E-Mail (Anhang) auf meinem PC gehabt. Ich habe alle meine Daten gesichert (auf meiner externe Festplatte), ihn von Avira in Quarantäne verschieben lassen und ESET darüber laufen lassen ---> Keine Funde. Habe meinen PC dann am nächsten Tag auch komplett neu aufgesetzt. Dann dachte ich es wäre alles wieder sauber, haben einen Quick-Scan mit Malwarebytes Anti-Malware gemacht und nichts gefunden. Habe danach allerdings noch einen vollständigen Scan gemacht und dabei hat er sehr wohl etwas gefunden. Jetzt habe ich natürlich auch keine Ahnung, ob das etwas mit der Mail zu tun hat oder nicht, allerdings hat ESET diese Datei nicht gefunden, bzw. nicht als Trojaner identifiziert. Ich habe diese Datei jetzt auch von Malwarebytes löschen lassen und wollte jetzt einfach mal hier fragen, ob mir vielleicht hier jemand helfen kann, da ich die Daten auf meiner externen Festplatte wirklich noch brauchen könnte.... Ich wäre für Hilfe sehr dankbar

MfG McDoofi

P.S.: Die Logs, zuerst MBAM, dann FRST und FRST Addition und dann GMER, wegen zu großer Zeichenanzahl und Dateigröße als Archiv.

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Techno\AppData\Local\Temp\ose00000.exe 
C:\Users\Techno\AppData\Local\Temp\SkypeSetup.exe
R3 WinRing0_1_2_0; \??\C:\Users\Techno\AppData\Local\Temp\tmpC908.tmp [x]
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

dann:
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hier die 2 Logs:

Fixlog.txt

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-09-2013 04
Ran by Techno at 2013-09-14 14:37:18 Run:1
Running from C:\Users\Techno\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
C:\Users\Techno\AppData\Local\Temp\ose00000.exe 
C:\Users\Techno\AppData\Local\Temp\SkypeSetup.exe
*****************

C:\Users\Techno\AppData\Local\Temp\ose00000.exe  => Moved successfully.
C:\Users\Techno\AppData\Local\Temp\SkypeSetup.exe => Moved successfully.

==== End of Fixlog ====
         

AdwCleaner[S0].txt
AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v3.003 - Bericht erstellt am 14/09/2013 um 14:39:26
# Updated 07/09/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzername : Techno - DESKTOP-PC
# Gestartet von : C:\Users\Techno\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Users\Techno\AppData\Roaming\pdfforge
Datei Gelöscht : C:\Users\Techno\AppData\Roaming\Mozilla\Firefox\Profiles\8kce0lom.Alt\foxydeal.sqlite
Datei Gelöscht : C:\Users\Techno\AppData\Roaming\Mozilla\Firefox\Profiles\uydo53uk.default\foxydeal.sqlite

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v10.0.9200.16686


-\\ Mozilla Firefox v23.0.1 (de)

[ Datei : C:\Users\Techno\AppData\Roaming\Mozilla\Firefox\Profiles\8kce0lom.Alt\prefs.js ]


[ Datei : C:\Users\Techno\AppData\Roaming\Mozilla\Firefox\Profiles\uydo53uk.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [1173 octets] - [14/09/2013 14:38:52]
AdwCleaner[S0].txt - [1096 octets] - [14/09/2013 14:39:26]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1156 octets] ##########
         

--- --- ---

[/CODE]

Mir ist allerdings jetzt gerad noch etwas aufgefallen, ähnlich wie bei anderen habe ich auch relativ hohe ausgehende Datenströme (nicht dauerhaft) aber vorallem wundert mich meine hohe RAM-Benutzung von über 2 GB trotz das nur Firefox und ein paar Minianwendungen laufen. Auch haken bei mir Videos auf YouTube und Skype meint meine Internetgeschwindigkeit wäre nicht schnell genug für Videoanrufe trotz 50k Leitung. Ob es wirklich was damit zu tun hat, weiß ich natürlich nicht, aber schätzungsweise schon.

MfG McDoofi

P.S.: Ich weiß dass man normalerweise nicht auf sich selbst antwortet, ist mir aber wie gesagt erst heute aufgefallen mit dem RAM und den hakenden Videos.

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

dann:
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hier wieder mal die Logs:

JRT:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.1 (09.15.2013:1)
OS: Windows 7 Professional x64
Ran by Techno on 15.09.2013 at 12:41:49,54
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Users\Techno\AppData\Roaming\mozilla\firefox\profiles\8kce0lom.Alt\minidumps [256 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 15.09.2013 at 12:50:15,17
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

FSS:

Code: Alles auswählenAufklappen

ATTFilter

Farbar Service Scanner Version: 13-09-2013
Ran by Techno (administrator) on 15-09-2013 at 12:53:19
Running from "C:\Users\Techno\Desktop"
Microsoft Windows 7 Professional  Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Action Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============

Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
         

Bestens.

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hier der Log

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.73  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:`````````````` 
avast! Antivirus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 Adobe Flash Player 11.8.800.168  
 Adobe Reader XI  
 Mozilla Firefox (23.0.1) 
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast AvastUI.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Sehr gut!

damit bist Du sauber und entlassen!



Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Vielen Danke t'john für deine Hilfe!

Aber bist du dir sicher, dass mein Rechner sauber ist? Weil ich habe immer noch relativ komische Eigenschaften für einen sauberen PC.... Beim Systemstart bzw. dauerhaft aber ab da wird ein komplettes Gigabyte RAM direkt mal verwendet, aber für nichts! Es taucht weder im Taskmanager noch sonstwo auf (In anderen Prozess-Explorer auch nicht!) Oder auch total regelmößig Uploadströme für 5 Minuten oder länger, wo aber immer genau das selbe Diagamm ergeben.... Also die Uploadstöme könnten ja vielleicht auch irgendwas anderes sein, aber das mit dem RAM verstehe ich nicht.... Mein Rechner braucht auch jetzt nach dem Neuaufsetzen länger zum hochfahren als davor.... Was auch immer das ist, ich weiß es nicht, aber ich glaube nicht, dass das normal ist und so sein soll, man sieht ja auch nichts von dem Gigabyte, es ist einfach verwendet! Ich wäre sehr dankbar für Hilfe!

Gruß McDoofi

Wir koennen mal ggf. flasche Verweise korrigieren.


Windows Repair Tool (AIO)

• Downloade Windows repair tool
• Entpacke das Zip und starte Repair_Windows.exe
• Klicke auf Start repairs Tab dann: Start
  
  folgende Punkte auswählen
  
  Register System Files
  Repair WMI
  Repair Windows Firewall
  Remove Policies Set By Infections
  Repair Windows Updates
  Repair Important Windows Services
  Set Windows Services To Default Startup
  
  
  Auswählen: Restart System When Finished
  Dann Start Button klicken.

Leider hat sich rein gar nichts verändert.... Hier hab ich auch mal ein paar Bilder gemacht, wie es aussieht...

MfG McDoofi

Mache mal ein Screenshot vom Taskmanager, absteigend sortiert nach CPU-Auslasung.

Hier die TM-Daten

Du scheinst viele Desktop-MiniAnwendungen zu verwenden.

Da gehen auch einiges an CPU-Ressourcen und RAM drauf.

Ma alles abgeschaltet und verglichen?

Also wirklich was verändert hat sich nichts ....