hm ... ich bin mir ziemlich sicher, dass ich die Haken vesetzt hatte. Es kann aber sein, dass ich ESET nicht deaktiviet hatte. Vielleicht hat das Programm irgend was blockiert?
Ich habe den adwCleaner noch einmal gestartet. Haken gesetzt und ESET aus.

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v5.007 - Bericht erstellt am 15/09/2015 um 22:06:21
# Aktualisiert am 08/09/2015 von Xplode
# Datenbank : 2015-09-08.2 [Lokal]
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (x64)
# Benutzername : hal9050 - hal9050-PC
# Gestartet von : C:\Users\hal9050\Desktop\AdwCleaner_5.007.exe
# Option : L�schen
# Unterst�tzung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****


***** [ Dateien ] *****


***** [ Verkn�pfungen ] *****


***** [ Geplante Tasks ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Internetbrowser ] *****


*************************

:: Proxy Einstellungen zur�ckgesetzt
:: Winsock Einstellungen zur�ckgesetzt
:: Chrome Richtlinien gel�scht

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [746 Bytes] ##########
         

Bis morgen,
Alex

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

Tcpip\..\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}: [DhcpNameServer] 10.5.0.1
Tcpip\..\Interfaces\{93AF94CE-4083-4A64-AD5E-94C13FBCAC3E}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{B1170270-11C6-46E8-8269-687D53D4C048}: [NameServer] 193.138.219.228
EmptyTemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Nabend, hier das Log

Code: Alles auswählenAufklappen

ATTFilter

  Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:12-09-2015
durchgeführt von hal9050 (2015-09-17 18:50:11) Run:1
Gestartet von C:\Users\hal9050\Desktop
Geladene Profile: hal9050 (Verfügbare Profile: hal9050)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Tcpip\..\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}: [DhcpNameServer] 10.5.0.1
Tcpip\..\Interfaces\{93AF94CE-4083-4A64-AD5E-94C13FBCAC3E}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}: [NameServer] 193.138.219.228
Tcpip\..\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}: [DhcpNameServer] 192.168.178.1
Tcpip\..\Interfaces\{B1170270-11C6-46E8-8269-687D53D4C048}: [NameServer] 193.138.219.228
EmptyTemp:
*****************

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}\\NameServer => Wert erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{32A836E8-1154-496E-B020-0EC4B160D04F}\\DhcpNameServer => Wert erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{93AF94CE-4083-4A64-AD5E-94C13FBCAC3E}\\NameServer => Wert erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}\\NameServer => Wert erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A5F9E119-0306-4643-B6F1-5AE3636B09C0}\\DhcpNameServer => Wert erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B1170270-11C6-46E8-8269-687D53D4C048}\\NameServer => Wert erfolgreich entfernt
EmptyTemp: => 33.4 MB temporäre Dateien entfernt.


Das System musste neu gestartet werden.. 

==== Ende von Fixlog 18:50:37 ====
         

Nun scheint alles wieder zu gehen. DU BIST MEIN HELD !

Was hat dein Code bewirkt, und kann man sagen, was sich da bei mir eingenistet hatte?
Bin eigentlich immer super vorsichtig und besuche suspekte Seiten ausschließlich aus der VirtualBox. Hatte irgend wie gedacht, das sei sicher ... naja wohl falsch gedacht

Auf jeden Fall: Ganz ganz lieben Dank für die Hilfe !!!!

Gruß, Alex

Oha. Es hatte scheinbar tatsächlich etwas mit der VirtualBox zu tun. Die kann ich jetzt nämlich nicht mehr starten.

Die Meldung:
"Das COM-Objekt für VirtualBox konnte nicht erzeugt werden Die Anwendung wird nun beendet.
Details:
Callee RC: REGDB_E_CLASSNOTREG (0x80040154)"

Nicht mal die VB ist sicher ...

Das ist jetzt schon ganz schön weit hergeholt mit der Virtual Box. Oder hast du jetzt einfach mal rumgeraten, dass der Müll durch die VM reinkam? Ich halte das für Unsinn. Wenn dann wäre der Müll in der VM drin aber nicht im Wirt.

Wir haben hier auch nix von VirtualBox entfernt. Deswegen lässt sich kein Zusammenhang mit der Fehlermeldung und der Analyse/Bereinigung herstellen. Ich würde einfach mal VirtualBox neu installieren. Und auch da öfter mal neue Versionen einspielen. Du hast 4.3.30, aktuell ist 5.0.4

Jo, war geraten, weil der Fehler halt unmittelbar nach der Reinigung auftrat.
Und wenn Du als Fachmann sagst, dass Müll in der VB sich nicht auf den Wirt auswirkt, beruhigt mich das ungemein

Da muss es schon mit dem Teufel zugehen, bevor so ein Schädling aus der VM ausbricht...

Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESETl

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

So, hier die Logs:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 18.09.2015
Suchlaufzeit: 02:52
Protokolldatei: mbam-log.txt
Administrator: Ja

Version: 2.1.8.1057
Malware-Datenbank: v2015.09.18.01
Rootkit-Datenbank: v2015.08.16.01
Lizenz: Premium-Version
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Aktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: hal9050

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 348129
Abgelaufene Zeit: 6 Min., 5 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 1.008  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
ESET Smart Security 7.0   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Java 8 Update 31  
 Java version 32-bit out of Date! 
 Adobe Flash Player 18.0.0.232  
 Adobe Reader XI  
 Mozilla Firefox (40.0.3) 
````````Process Check: objlist.exe by Laurent````````  
 ESET NOD32 Antivirus egui.exe  
 ESET NOD32 Antivirus ekrn.exe  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbam.exe  
 Malwarebytes Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# end=init
# utc_time=2015-09-19 05:27:06
# local_time=2015-09-19 07:27:06 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# nod_component=V3 Build:0x30000000
Update Init
Update Download
Update Finalize
Updated modules version: 25844
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# end=updated
# utc_time=2015-09-19 05:31:27
# local_time=2015-09-19 07:31:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# nod_component=V3 Build:0x30000000
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# engine=25844
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-09-19 08:00:54
# local_time=2015-09-19 10:00:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 98730 194322704 0 0
# compatibility_mode_1='ESET Smart Security 7.0'
# compatibility_mode=8221 16777213 100 100 23871775 63268996 0 0
# scanned=403034
# found=1
# cleaned=0
# scan_time=8966
# nod_component=V3 Build:0x30000000
sh=D718984FC38898BE54FAB484429C26C3DA960238 ft=0 fh=0000000000000000 vn="Win32/RiskWare.HackAV.MQ Anwendung" ac=I fn="M:\2install\2015\ESET Internet Sekurity\Patch\Fix.rar"
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# end=init
# utc_time=2015-09-20 03:14:43
# local_time=2015-09-20 05:14:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# nod_component=V3 Build:0x30000000
Update Init
Update Download
Update Finalize
Updated modules version: 25853
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# end=updated
# utc_time=2015-09-20 03:16:01
# local_time=2015-09-20 05:16:01 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# osver=6.1.7601 NT Service Pack 1
# nod_component=V3 Build:0x30000000
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=718271b3f89dd5488637b716119c977c
# engine=25853
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-09-20 04:10:42
# local_time=2015-09-20 06:10:42 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 7989 194395292 0 0
# compatibility_mode_1='ESET Smart Security 7.0'
# compatibility_mode=8221 16777213 100 100 23947963 63341584 0 0
# scanned=238825
# found=0
# cleaned=0
# scan_time=3281
# nod_component=V3 Build:0x30000000
         

Ich habe das Problem im Übrigen etwas eingrenzen können, da es erneut aufgetreten ist.
Zuerst bekam ich eine ähnliche Fehlermeldung (nur mit der IP 46.4.24.168) beim Nutzen von TOR. Zum Glück war das in der VirtualBox und nach dem Ausschalten war alles wieder schön.

Dann habe ich auf dem PC den VPN "Mullvad" über dessen Startprogramm gestartet und siehe da, es war wieder das gleiche Problem da (diesmal auch wieder mit der IP 193.138.219.228).
Auch eine Neuinstallation des Startprogramms brachte nix. Ich konnte den Fehler zwar jedes Mal durch FRST und die FixList beheben, aber er ließ sich zu 100% reproduzieren.

Nun habe ich im Internet nach IP-Adressen für TOR-Server gesucht und bin auf die Seite
https://torstatus.blutmagie.de/
gestoßen. Auf der sind beide o.g. IP-Adressen gelistet. Der Server 193.138.219.228 soll allerdings angeblich erst seit 2 Tagen laufen, was verwundert, weil mein Problem ja schon früher angefangen hatte.

Ich habe nun keine Ahnung, ob TOR und MULLVAD die Server zurecht anwählen. Ich traue mich deshalb nicht, die Seiten in die Whitelist zu packen.
Ich habe eben an den Support von Mullvad eine Email geschrieben, das Problem kurz umrissen und nachgefragt, ob der Server 193.138.219.228 auch wirklich von ihnen ist. Ich werde über eine Antwort hier berichten.

Aber seltsam finde ich es schon, dass Malwarebytes sowohl ein Einwahlversuch von Mullvad als auch einen von TOR unterbindet.

Kann es sein, dass Malwarebytes Anonymisierungsseiten blockiert?

EDIT:
Update von Java läuft gerade.

Das musst du im MBAM-Forum erfragen.
Aber wozu nutzt du denn VPN und Tor?

Zitat:

Zitat von cosinus

Aber wozu nutzt du denn VPN und Tor?

Na ich surfe eigentlich sehr oft unter Nutzung der VirtualBox, in der Hoffnung, mir dadurch nix einzufangen.
Und da ich schon seit einiger Zeit durch diese ganze Datenschutzdebatte gehörig angepiekt bin, mache ich zumeist noch zusätzlich nen VPN an. Und wenn ich mal wieder verpeilt habe, den zu erneuern, muss eben das langsame TOR herhalten.

Ist vielleicht ein bisschen Paranoid, gebe ich ja zu Und so richtig konsequent bin ich in der Nutzung auch nicht. Aber es gibt mir ein besseres Gefühl ....

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.


Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
Combofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	MSE

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
Ghostery Erkennt und blockiert Tracker, Web Bugs, Pixel und Beacons und weitere Scripte, die das Surfverhalten ausspähen/beobachten.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo,

ich komme leider erst jetzt dazu, hier noch eine Abschlussmeldung zu geben:
Also: der Support von Mullvad hat sich gleich am Montag gemeldet und mitgeteilt, dass der besagte Server ein offizieller "public DNS server" ist. Der Server ist/war auf einer blacklist von "abuseat.org", weil über ihn Spam verteilt wurde bzw.einer der Nutzer mit dem "Conficker botnet" infiziert war.
Es soll aber keine Auswirkung auf die anderen VPN-Kunden gehabt haben.
Malwarebytes ist halt sofort auf den Zug aufgesprungen und hat wegen der blacklist von "abuse.org" den DNS-Server von Mullvad gesperrt.
Ich habe den Server nun auf die whitelist von Malwarebytes gesetzt und seither keine Probleme mehr.



So, nun bleibt mir noch, mich noch einmal ganz ganz herzlich für die tolle und schnelle Hilfe hier zu bedanken.

Liebe Grüße
Alex

PS: Muss ich eigentlich wegen der gemachten Einstellungen (in der fixlist.txt) irgend etwas rückgängig machen (über DelFix hinaus)?