Habe das FRST-Log auf dem (noch :-) infizierten Rechner und bin gerade dabei es zu posten, da ...

lebt G Data wieder und meldet mit syshost.exe ein vermutlich bösartiges Programm und schlägt die Entfernung vor. Seitdem es versucht, auch noch aktuelle Signaturen zu laden (was ja eigentlich richtig ist), ich das aber erstmal unterbinden und fertig posten wollte, kommt ich irgendwie nicht mehr ins Internet (Beim Versuch erneut ins Internet zu verbinden kommt: Fehler beim Speichern des Drahtlosprofils. Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.) Vermutlich war das zu viel aufeinmal. Würde ja gerne mal neu starten, aber das lasse ich zunächst noch.

Ich schreibe gerade vom sauberen System. Die G Data Meldung mit der Bedrohung auf dem infizierten Rechner ist ständig oben und bietet verschiedene Aktionen an. Ich würde Dir trotzdem gerne zunächst das FRST-Log posten. Soll ich G Data unsanft beenden oder was soll ich machen?

Hi Jo,
versuche GDATA die Bedrohungen beseitigen zu lassen (Quarantäne? Löschen? Was bietet er an?) und mache anschließend ein neues FRST-Log OK?

Es bietet folgende Aktionen an:

1. Immer erlauben
2. Erlauben
3. Programm anhalten
4. Programm anhalten und in Quarantäne verschieben

Welche nehme ich?

4.

4. gemacht. G Data will Neustart. A). Erst noch FRST und dann Neustart oder B). Neustart und dann FRST?

Erst Neustart und dann bitte FRST posten!

Ok, das neue FRST bekommst Du gleich. Willst Du auch das FRST von vor dem Entfernen mit G Data, was ich vorhin schon posten sollte?

Ändere den Namen vom FRST.txt vor dem "Löschen" von GDATA in "vorher.txt" um und hebe es auf. Poste mir nur das neue nach dem Löschen und dem Reboot.

Hier die nach dem "Löschen" mit G Data und Reboot erstellte

FRST.txt (Die von "vorher" hab' ich gut weggelegt)




FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-03-2014
Ran by Jörg (administrator) on BEETHOVEN on 10-03-2014 20:39:57
Running from C:\Users\Jörg\Desktop
Microsoft Windows 7 Home Premium  (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(G Data Software AG) C:\Program Files\Common Files\G Data\GDScan\GDScan.exe
() C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe
(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(G Data Software AG) C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\ProgramData\DatacardService\DCService.exe
(Deutsche Telekom AG) C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Nokia) C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
(CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE
(CANON INC.) C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE
(CANON INC.) C:\Program Files\Canon\IJ Network Scanner Selector EX\CNMNSST.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
() C:\Program Files\WISO\Steuersoftware 2013\mshaktuell.exe
(Nokia Corp.) C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Microsoft Corporation) C:\Windows\system32\PrintIsolationHost.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [370176 2010-06-17] (shbox.de)
HKLM\...\Run: [G Data AntiVirus Tray Application] - C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe [996936 2010-08-26] (G Data Software AG)
HKLM\...\Run: [GDFirewallTray] - C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe [1538120 2010-08-26] (G Data Software AG)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1348904 2008-08-14] (Synaptics, Inc.)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [DataCardMonitor] - C:\Program Files\Telekom\InternetManager_H\DataCardMonitor.exe [253952 2011-04-22] (Huawei Technologies Co., Ltd.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)
HKLM\...\Run: [Nokia Tray Application] - C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe [425984 2003-01-03] (Nokia)
HKLM\...\Run: [CanonMyPrinter] - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2567272 2011-07-19] (CANON INC.)
HKLM\...\Run: [CanonSolutionMenuEx] - C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE [1637496 2011-08-04] (CANON INC.)
HKLM\...\Run: [IJNetworkScannerSelectorEX] - C:\Program Files\Canon\IJ Network Scanner Selector EX\CNMNSST.exe [468112 2011-07-25] (CANON INC.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.)
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {391dea39-7420-11e0-85dc-001e337fa516} - F:\AutoRun.exe
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae83-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae8f-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe
Startup: C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x131F0EDEDC2BCF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
BHO: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)
DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://javadl-esd.sun.com/update/1.6.0/jinstall-6u20-windows-i586.cab
DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} hxxp://www.o2c.de/download/O2CPlayer.CAB
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)

========================== Services (Whitelisted) =================

R2 AVKProxy; C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe [1178184 2010-08-27] (G Data Software AG)
R2 AVKService; C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe [410696 2010-03-31] (G Data Software AG)
R2 AVKWCtl; C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe [1330792 2010-08-25] ()
R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] ()
R3 GDFwSvc; C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe [1607344 2010-08-25] (G Data Software AG)
R3 GDScan; C:\Program Files\Common Files\G Data\GDScan\GDScan.exe [340552 2010-08-25] (G Data Software AG)
R2 Netzmanager Service; C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [2635776 2012-07-20] (Deutsche Telekom AG)
S2 syshost32; "C:\Windows\Installer\{49DD8FF3-6331-EFC6-FD30-0817DCDEABCE}\syshost.exe" /service [X]

==================== Drivers (Whitelisted) ====================

R0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [33480 2011-01-04] (G Data Software AG)
R1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [62024 2011-01-04] (G Data Software AG)
R3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [47560 2011-01-04] (G Data Software AG)
R1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd32.sys [40904 2011-01-04] (G DATA Software AG)
R1 GRD; C:\Windows\system32\drivers\GRD.sys [29992 2011-01-04] (G Data Software)
R1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [38856 2011-01-04] (G Data Software AG)
S3 TelekomNM3; C:\Program Files\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [35040 2010-09-16] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)
U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [208896 2010-08-31] (Huawei Technologies Co., Ltd.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-03-10 20:39 - 2014-03-10 20:39 - 00008966 _____ () C:\Users\Jörg\Desktop\FRST.txt
2014-03-10 19:05 - 2014-03-10 19:05 - 00013421 _____ () C:\Users\Jörg\Desktop\2014-03-10 1st FRST.txt
2014-03-10 18:28 - 2014-03-10 18:29 - 00021343 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.zip
2014-03-10 18:28 - 2014-03-10 18:29 - 00006806 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log
2014-03-10 18:13 - 2014-03-10 19:04 - 00000000 ____D () C:\Users\Jörg\Desktop\FRST GMER
2014-03-10 18:13 - 2014-03-09 00:49 - 00251584 _____ (ESET) C:\Users\Jörg\Desktop\ESETNecursCleaner.exe
2014-03-07 22:06 - 2014-03-07 13:57 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe
2014-03-07 22:05 - 2014-03-10 20:39 - 00000000 ____D () C:\FRST
2014-03-04 15:10 - 2014-03-04 15:26 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z

==================== One Month Modified Files and Folders =======

2014-03-10 20:40 - 2014-03-10 20:39 - 00008966 _____ () C:\Users\Jörg\Desktop\FRST.txt
2014-03-10 20:39 - 2014-03-07 22:05 - 00000000 ____D () C:\FRST
2014-03-10 20:36 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-03-10 20:36 - 2009-07-14 05:39 - 00049036 _____ () C:\Windows\setupact.log
2014-03-10 20:35 - 2010-12-27 23:53 - 01802020 _____ () C:\Windows\WindowsUpdate.log
2014-03-10 20:05 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\NDF
2014-03-10 19:12 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-03-10 19:12 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-03-10 19:05 - 2014-03-10 19:05 - 00013421 _____ () C:\Users\Jörg\Desktop\2014-03-10 1st FRST.txt
2014-03-10 19:04 - 2014-03-10 18:13 - 00000000 ____D () C:\Users\Jörg\Desktop\FRST GMER
2014-03-10 18:34 - 2010-12-28 00:03 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-03-10 18:33 - 2012-02-13 20:46 - 00000000 ____D () C:\Users\Jörg\Documents\Mein Steuer-Sparbuch Heute
2014-03-10 18:29 - 2014-03-10 18:28 - 00021343 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.zip
2014-03-10 18:29 - 2014-03-10 18:28 - 00006806 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log
2014-03-09 00:49 - 2014-03-10 18:13 - 00251584 _____ (ESET) C:\Users\Jörg\Desktop\ESETNecursCleaner.exe
2014-03-07 13:57 - 2014-03-07 22:06 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe
2014-03-04 15:26 - 2014-03-04 15:10 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z
2014-03-03 15:11 - 2014-01-19 16:24 - 00000000 ____D () C:\Users\Jörg\Desktop\desk und URL 14
2014-03-02 17:57 - 2013-08-02 15:50 - 00000000 ____D () C:\test
2014-03-02 14:58 - 2010-12-28 00:00 - 00000000 ____D () C:\Users\Jörg
2014-02-28 20:10 - 2011-01-23 22:31 - 00000000 ____D () C:\Users\Jörg\AppData\Local\Microsoft Help
2014-02-28 20:10 - 2009-07-14 09:56 - 00000000 ___RD () C:\Users\Public\Recorded TV
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\wfp
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\registration
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\AppCompat
2014-02-28 20:08 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\LogFiles
2014-02-22 22:19 - 2010-12-28 13:06 - 00000000 ____D () C:\ProgramData\FreePDF

Some content of TEMP:
====================
C:\Users\Jörg\AppData\Local\Temp\2SKKKKKKK.exe
C:\Users\Jörg\AppData\Local\Temp\FileSystemView.dll
C:\Users\Jörg\AppData\Local\Temp\jre-7u40-windows-i586-iftw.exe
C:\Users\Jörg\AppData\Local\Temp\MSETUP4.EXE
C:\Users\Jörg\AppData\Local\Temp\uninstall.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\system32\winlogon.exe => MD5 is legit
C:\Windows\system32\wininit.exe => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\services.exe => MD5 is legit
C:\Windows\system32\User32.dll => MD5 is legit
C:\Windows\system32\userinit.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit
C:\Windows\system32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-03-10 00:09

==================== End Of Log ============================
         

--- --- ---

--- --- ---

--- --- ---

--- --- ---

Na Jo, sieht doch nicht so schlecht aus...

Könntest Du bitte diese Datei mit dem Editor oder dem Notepad öffnen und den Inhalt wie gewohnt posten?

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log
         

Sieht gut aus, Top Sache. Respekt :-)

Hier die ESETNecursCleaner.exe_20140310.182841.5004.log

Code: Alles auswählenAufklappen

ATTFilter

[2014.03.10 18:28:41.515] - 
[2014.03.10 18:28:41.515] -     ....................................
[2014.03.10 18:28:41.515] -   ..::::::::::::::::::....................
[2014.03.10 18:28:41.515] -   .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Necurs
[2014.03.10 18:28:41.515] -  .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 2.1.0.1
[2014.03.10 18:28:41.515] -  .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Sep 17 2013
[2014.03.10 18:28:41.515] -  .::EE:::::::::::::SS:.EE..........TT......
[2014.03.10 18:28:41.515] -   .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.
[2014.03.10 18:28:41.515] -   ..::::::::::::::::::....................    1992-2013. All rights reserved.
[2014.03.10 18:28:41.515] -     ....................................
[2014.03.10 18:28:41.515] - 
[2014.03.10 18:28:41.515] - --------------------------------------------------------------------------------
[2014.03.10 18:28:41.515] - 
[2014.03.10 18:28:41.515] - INFO: OS: 6.1.7600 SP0
[2014.03.10 18:28:41.515] - INFO: Product Type: Workstation
[2014.03.10 18:28:41.531] - INFO: WoW64: False
[2014.03.10 18:28:41.531] - INFO: Machine guid: FD8681DB-618A-40BA-A9A0-AAFDF4D62A7C 
[2014.03.10 18:28:41.531] - 
[2014.03.10 18:28:52.124] - INFO: Scanning for system infection...
[2014.03.10 18:28:52.124] - --------------------------------------------------------------------------------
[2014.03.10 18:28:52.124] - 
[2014.03.10 18:28:52.124] - INFO: Found suspicious service - 2af407cd8554d782
[2014.03.10 18:28:52.343] - INFO: modulePath - \??\C:\Windows\system32\Drivers\null.sys
[2014.03.10 18:28:52.343] - ERROR: DT09a... - 5
[2014.03.10 18:28:52.343] - INFO: Rootkit's service key - 2af407cd8554d782
[2014.03.10 18:28:52.343] - INFO: Rootkit's path - \SystemRoot\System32\Drivers\2af407cd8554d782.sys
[2014.03.10 18:28:52.374] - INFO: Win32/Necurs found
[2014.03.10 18:29:10.002] - INFO: necurs time creation: 2014-2-2 20:29:30
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-6-17 19:56:44
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-1-4 0:3:23
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-1-4 0:3:23
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2008-8-14 8:40:36
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-2-18 10:43:18
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-3-13 13:54:26
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-4-22 13:2:57
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-9-13 17:51:6
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2012-6-3 16:36:32
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-5-1 1:59:4
[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-11-1 23:29:44
[2014.03.10 18:29:11.780] - INFO: Cleaning status: 2
[2014.03.10 18:29:50.172] - 
[2014.03.10 18:29:50.172] - --------------------------------------------------------------------------------
[2014.03.10 18:29:50.172] - INFO: System is rebooting...
[2014.03.10 18:29:50.344] - --------------------------------------------------------------------------------
[2014.03.10 18:29:50.344] - INFO: Logging finished successfully...
[2014.03.10 18:29:50.344] - --------------------------------------------------------------------------------
         

Super gemacht Jo!



Stay tuned!

Wir sind noch nicht fertig....

Trotzdem schonmal DANKE !

Bin dabei ... und gespannt, wie's weiter geht ...

Schritt 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mir also in Deiner nächsten Antwort den Inhalt der Logdateien wie gewohnt in Code Tags von:

- Malwarebytes
- ESET
- checkup.txt

Hi Jürgen, MBAM läuft seit ca. 10 Min. Log kommt gleich ...

Registry-Key und -Value von syshost32 mit MBAM entfernt. Neustart.

Dazu das Log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.03.11.09

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Jörg :: BEETHOVEN [Administrator]

Schutz: Aktiviert

11.03.2014 21:56:38
mbam-log-2014-03-11 (21-56-38).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 209957
Laufzeit: 8 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOST32 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Daten: "C:\Windows\Installer\{49DD8FF3-6331-EFC6-FD30-0817DCDEABCE}\syshost.exe" /service -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)