Hi, ich hab folgendes Problem:

Wenn ich bei google etwas in die Suche eingebe, z.B. marmelade, dann bekomme ich bei Firefox wie gewohnt die Trefferliste angezeigt. Klicke ich dann auf den ersten Link, öffnet sich ein neues Tab und irgend eine komische Seite verlinkt mich automatisch zu eBay, google, etc. Das Google-Tab bleibt unverändert.

Bei Opera verändert sich das Layout der google-Seite und selbiges Problem tritt auf.
Desweiteren hatte ich auch bemerkt, dass mein Task-Manager blockiert war, es kam die Meldung, ein Admin hätte ihn ausgeschaltet.
Das Problem konnte ich aber beheben, da ich laut Anleitung einen bestimmten Wert gelöscht habe, der dies verursacht.

Mein Antivir hat bei einem Virenscan einen Virus angezeigt, nachdem ich den gelöscht hatte, gabs keine Veränderung. Aufgrund einiger google-Recherche kam ich dann durch dieses Forum auf das Programm "HijackThis", mit welchem ich einen weiteren Störenfried ausmachen und eliminieren konnte. Mein Problem bleibt immernoch.
In einem anderen Thread hier im Forum hatte ein Online-Antivierenprogramm Erfolg gezeigt, nämlich Panda ActiveScan. Wenn ich das Programm jedoch bemühen will, wird versucht, ein Steuerelement herunter geladen zu werden, was aber nicht funktioniert. Es wird als abgebrochen.

Hätte von Euch jemand Abhilfe für mein Problem, bzw. wüsste ein alternatives Programm, welches die selben Fähigkeiten besitzt?

Mir scheint auch, als ob mein i-net dadurch sehr langsam wird.

Auf Ratschlag eines Freundes sollte ich das Programm "Malwarebytes - Anti Malware" benutzen, aber ich stehe vor einem weiteren Problem: Ich habe versucht, Malwarebytes herunter zu laden und bei vielen Downloadlinks wurde mir der Zugriff verweigert. Ich habe es dann irgendwie doch geschafft, allerdings geschieht, wenn ich die exe Datei öffne nichts. Im Task-Manager finde ich zwar, dass sie ausgeführt wird, aber sie arbeitet nicht. Bei der CPU-Auslastung steht dann 00, beim Speicher aber 2000k

Ein weiterer Vorschlag war dann noch, Kaspersky Internet Security 2009 zu probieren und als ich dann versuchte, mehr über Kaspersky Internet Security heraus zu finden, bin auf das Programm brain.exe gestoßen, welches um Längen besser sein soll, jedoch konnte ich das auch nicht herunter laden.

Mittlerweile bin ich sehr ratlos und mache mir immer mehr Gedanken, was der Störenfried sonnst noch alles anrichtet...

Auf Wunsch kann ich mein HIghjack Protokoll posten, jedoch ist laut Auswertung nichts mehr böses darin enthalten (nach meiner Beurteilung nach jedenfalls nicht^^)

Achso, falls das noch wichtig ist: Auswirkungen auf den Offlinebetrieb habe ich bisher keine bemerkt.

Hallo BOZZ_ONLINE


Es sollte klar sein, dass die Bereinigung zeitaufwendiger ist als das Neuaufsetzen, deswegen sich bitte gleich überlegen ob man nicht doch Neuaufsetzen will. Neuaufsetzen ist außerdem sicherer als die Bereinigung, selbst ein Computer mit sauberen HijackThis Log kann stark versucht sein.
Es ist wichtig, dass du genau das machst was man dir sagt. Es sollten keine zusätzlichen Programme installiert werden, wenn man es dir nicht sagt. Beachte bitte die NUBs. Auch wenn die Symptome nach den ersten abgearbeiteten Punkten verschwinden, heißt es noch lange nicht, dass der PC wirklich sauber ist.
Deswegen abwarten bis man dir sagt, dass der PC wirklich sauber ist. Am Besten die Anleitung sich ausdrucken. Alle Programme die in der Anleitung aufgeführt werden, sind Freeware Programme. Es steht bei den meisten Programmen eine Vollversion zur Verfügung, die man bezahlen muss. Bitte nur die Freeversionen nehmen, eine Vollversion ist unnötig!
Die Anleitung sollte in genau dieser Reihenfolge abgearbeitet werden.

Wichtig:
Bitte während der Bereinigung alle externen Medien wie, USB-Sticks, Speicherkarten, externe Festplatten an den PC anschließen.

Vista User:

• Alle Programme und Tools, die angeordnet werde, mit Rechtsklick anklicken und "als Administrator ausführen"
• Bitte mitteilen ob es sich um eine 64 Bit Version handelt, da viele Programme unter dieser Version nicht laufen

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 1
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

• Windows Vista:
• Windows Vista Symbol anklicken
• In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
• Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
• Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
• Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
• Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deinstalliere bitte alle Toolbars (ICQ, Google, Askbar...) und unnötige Software wie Spybot S&D, Spyware Doctor, Trojancheck, a-squared free, Zone Alarm, COMODO, eScan und Ad-Aware etc…
Außerdem sollte alles von Google (Toolbar, Updater...) entfernt werden.
Arbeitsplatz => Software => ausgewähltes komplett entfernen
Statt Zone Alarm und COMODO sollte die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen
davor sollte die Firewall deinstalliert werden. Ist eine Antiviren Suite mit integrierter Fireall installiert, kann diese bleiben.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

CCleaner

• Downloade CCleaner und speichere die Datei auf dem Desktop
• Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
• Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
• Das angegebene Zielverzeichnis mit "weiter >" bestätigen
• Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
• Mit Doppelklick CCleaner öffnen
• Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
• "Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
• Diese Prozedur bei jedem Benutzerkonto durchführen
• Als letztes "Extras" wählen => auf " Als Textdatei speichern..." klicken => speichere die Textdatei auf dem Desktop um sie danach hier zu posten

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 4
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

In Zukunft nicht den MS Internet Explorer, sondern einen alternativen Browser wie z.B. Firefox oder Opera.
Der Internet Explorer sollte auschließlich für das Windows Update verwendet werden.
Nach der Bereinigung oder dem Neuaufsetzen sollte Firefox sicher konfiguriert werden mit NoScript

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 5
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Service Pack (SP) kann man beim CCleaner oben nachschauen. Sollte bei XP nur das SP1 installiert sein, hat die Bereinigung keinen Sinn mehr und es kann Neuaufgesetzt werden.
Sollte bei vista das SP1 fehlen hat ebenfalls keinen Sinn mehr, das System sollte auch Neuaufgesetzt werden.

Aktualisieren des Systems:
Start => Alle Programme => Windows Update
Über die benutzerdefinierte Suche fehlende Updates herunterladen und installieren. Auch den Internet Explorer aktualisieren, Version 8 ist die aktuellste.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 6
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Konfiguriere die Ordneransicht vernünftig um => Ordneransicht

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Punkt 7
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

HI, vielen Dank für deine Antwort.

Ich habe die komplette Liste durchgearbeitet und bin dabei u.a. auf ein paar kleine Schwierigkeiten gestoßen.

Beim deinstallieren konnte ich einen Ordner namens "Shizmoo" aus dem Verzeichnis Programme nicht löschen. Es handelt sich dabei um ein ICQ-Game, wobei in dem verbleibenden Ordner nur die Unistall.exe vorhanden ist.

Unter dem Punkt Software war das Spiel ebenfalls gelistet, beim entfernen hat sich das Programm "Software" aufgehängt. Nach dem beenden und neu starten des Programmes war der Eintrag "Shizmoo" weg.
Der Ordner ist aber immernoch vorhanden.

Dann bezüglich der Windwos Firewall, die war schon aktiviert, soll ich einen Haken bei "Keine Ausnahmen" setzen?

Zitat:

Report des CCleaners
Adobe Bridge 1.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS
Adobe Photoshop CS2
Adobe Reader 7.1.0 - Deutsch
Air USB Utility
ANIO Service
ANIWZCS2 Service
Anno 1701
Anti-Leech Plugin for Internet Explorer
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!DSL
Breed
CCleaner (remove only)
Counter-Strike 1.6
dBpowerAMP WMA V9 Codec
Digital Camera Driver
DivX
DivX Content Uploader
DivX Player
DivX Web Player
Dungeon Keeper 2
Favorit
Free YouTube to Mp3 Converter version 3.1
FRITZ!Box
Gadwin PrintScreen
GameSpy Arcade
Google Earth
Grand Theft Auto San Andreas
Half-Life
HaufeReader
Hexenküche 4.1
HijackThis 1.99.1
J2SE Runtime Environment 5.0 Update 5
Java 2 Runtime Environment, SE v1.4.2_06
Java(TM) 6 Update 7
Juiced
Käfer Total
KalOnlineEng
K-Lite Codec Pack 2.82 Full
Krankheitssimulator
Logitech® Camera-Treiber
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Age of Empires II
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Encarta 98 Enzyklopädie
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Moorhuhn 3
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Suite
Nix
NVIDIA Drivers
NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers
Octava SD4
OpenOffice.org Installer 1.0
Opera 9.24
PaperPort Image Printer
PCFriendly
PokerStars
Pool 'm Up
QIP 2005 Uninstall
QIP Infium 9021 Jeak-Edition
QuickTime
Realtek AC'97 Audio
Santa Claus in Trouble
ScanSoft PaperPort 11
Serious Sam: The Second Encounter
Singles2
Skype 2.5
SpeechRedist
Steam
Steuer 2004
Steuer 2005
Steuer 2006
Steuer 2007
Steuer Hilfesammlung
Steuer Hilfesammlung Version 12
Steuer Hilfesammlung Version 2
Stronghold
Tactical Ops
Tank Arena
TeamSpeak 2 RC2
The I of the Dragon
Tony Hawk's Pro Skater 2
TrackMania Nations ESWC 1.7.9
TuneUp Utilities 2007
Unreal Tournament 2004
VideoLAN VLC media player 0.8.4a
Wars & Warriors: Jeanne d'Arc
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR Archivierer

Soll ich auch die Liste der beiden anderen Benutzerkonten posten?

Das nächste Problem, welches auftrat war, dass ich nicht zum Windows-Updater kam, bzw. die Seite nicht geöffnet wurde.
Ich habe dann versucht, die Seite bei Mozilla zu googeln und den gefundenen Link zu öffnen, aber auch dies ging nicht. Mir wurde gesagt, dass es sich um einen richtigen Link handelt, allerdings kann er nicht geöffnet werden.

Ich habe Bei meinem XP Das Servicepack 3.

Ich vermute, dass ich Windwosmäßig auf dem neusten Stand bin, denn heute morgen wurde rechts unten in der Task-Leiste ein gelbes Schutzschild angezeigt, welches besagte, dass von Windwos Updates herunter geladen werden.

"NoScript" werde ich nach Bereinigung aufsetzen.

Kann ich bei den Benutzerkonten die Verknüpfung zum Internetexplorer löschen, denn mein Vater wird ihn ansonnsten immer wieder benutzen.

Zu guter Letzt noch der Report vom Navilog1:

Zitat:

Original von fixnavi.txt
Search Navipromo version 3.7.1 began on 06.02.2009 at 17:08:14,33

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2800+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Florian ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 6.38.1.45
(Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:153 Go (Free:77 Go)
D:\ (CD or DVD) - UDF - Total:3 Go (Free:0 Go)
E:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (USB)
K:\ (USB)
L:\ (USB)
M:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Florian\anwend~1" ***


*** Search folders in "C:\DOKUME~1\GNTER~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Steffi\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Steffi\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Florian\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\GNTER~1\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Steffi\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" *

Files found :

kmcek.exe found !
kmcek.dat found !
kmcek_nav.dat found !
kmcek_navps.dat found !

* Scan in "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Steffi\lokale~1\anwend~1" *



*** Search files ***


C:\WINDOWS\system32\nvs2.inf found !

*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

HKEY_CURRENT_USER\Software\Lanconfig

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" :

kmcek.exe found !
kmcek.dat found !
kmcek_nav.dat found !
kmcek_navps.dat found !

* In "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Steffi\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 06.02.2009 at 17:19:18,72 ***

Vielen vielen Dank schon mal für die Hilfe.

Das mit dem Spiel ist kein Problem.

Hauptsache du hast das SP3.


Rufe das Programm bitte erneut auf und wähle die Option 2

• Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
• Sollte der Rechner nicht neustarten, tue dies bitte manuell.
• Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
• Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
• Das Scanergebnis bitte hier posten.

Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.


Gmer

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende GMER mit "OK"

HI,

hier der zweite Bericht:

Zitat:

Navipromo Removal version 3.7.1 started on 06.02.2009 at 18:06:23,74

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2800+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Florian ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir PersonalEdition Classic Virenschutz 6.38.1.45
(Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:153 Go (Free:77 Go)
D:\ (CD or DVD) - UDF - Total:3 Go (Free:0 Go)
E:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
F:\ (USB)
G:\ (USB)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (USB)
K:\ (USB)
L:\ (USB)
M:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *



* Deletion in "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" *


kmcek.exe found !
Copy kmcek.exe done !
kmcek.exe deleted !

kmcek.dat found !
Copy kmcek.dat done !
kmcek.dat deleted !

kmcek_nav.dat found !
Copy kmcek_nav.dat done !
kmcek_nav.dat deleted !

kmcek_navps.dat found !
Copy kmcek_navps.dat done !
kmcek_navps.dat deleted !


* Deletion in "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\Steffi\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Florian\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\GNTER~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\Steffi\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\Steffi\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Florian\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\GNTER~1\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\Steffi\startm~1\progra~1" ***



*** Deleting files ***

C:\WINDOWS\system32\nvs2.inf deleted !

*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Florian\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Florian\lokale~1\anwend~1" *


* In "C:\DOKUME~1\GNTER~1\lokale~1\anwend~1" *


* In "C:\DOKUME~1\Steffi\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***



*** Cleaning stage complete on 06.02.2009 at 18:09:31,12 ***

Bei GMER habe ich allerdings Probleme.

Über deinen geposteten Link habe ich wieder das Problem, dass weder Mozilla, noch Opera die Seite öffnen kann.
Ich habe mir dann GMER gegoogelt und bei Chip.de gefunden.

Ich habe es dann runtergeladen, allerdings passierte, nachdem ich es gestartet hatte, nichts. Ich habe dann in Task-Manager geschaut und dort bei den Prozessen gesehen, dass Gmer.exe dort aufgeführt ist, allerdings mit 00 CPU-Auslastung, was für mich so viel bedeutet wie, es läuft nicht.
Selbigs hatte ich ja bei dem Programm "Malwarebytes - Anti Malware" festgestellt.

Was ist denn bezüglich der anderen Fragen aus meinem letzten Post?

NOch eine Frage: Reicht es für Gmer, wenn ich rechts unten in der Task-Leiste beim AntiVir Guard das Häkchen vom aktivieren entferne, denn ich weiß nicht, wie ich das beenden soll.

Schon mal vielen vielen Dank an dieser Stelle

Okay da ist noch was aktiv.

Ja Wenn das Häkchen weg ist dann ist der Hintergrundwächter deaktiviert.

Lassen wir Blacklight von der Leine.

HiJackThis

• Downloade HijackThis auf dem Desktop von >>hier<<
• Bennene die heruntergeladene Datei z.B. in asdf.com um. Bitte auf die Endung achten!
• Installiere HijackThis unter dem angegebenen Pfad
• Wenn du mit den Lizenzbedingungen einverstanden bist, bestätige mit "I Accept"
• Es erscheint das "Main menu"
• Klicke auf den Button "do a system scan and save a logfile"
• Es erscheint ein Logfile, kopiere alles und poste es hier
• Wenn verlangt wird, dass ein neuer HijackThis Log gepostet werden soll, dann mache erneut einen System Scan und poste das neu entstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:

• Starte den PC neu
• Drücke beim Hochfahren mehrmals die Taste [F8]
• Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
• bestätige mit der Eingabetaste

• Starte nun im abgesichertem Modus SASW
• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
• Poste nun das Log

Juhu ein Erfolgserlebnis

Wie gehts jetzt dem Computer?


Gmer

• Donwloade Gmer
• Entpacke es auf dem Desktop
• Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
• Schließe bitte alle Anwendungen, auch das Antivirusprogramm
• Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
• Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
• Beende GMER mit "OK"

Dann bitte einen Malwarebytes Scan und einen SUPERAntispyware

zu aller letzt ein neuer HijackThis Logfile

PS: ich werd mir die Logs noch später anschauen (SDFix, Combofix und HJT)

Auf jeden Fall ein großer Schritt. SDFix hat sozusagen den AUsschlag gegeben. Über Nacht habe ich noch Malwerebyte's Antimelware drüber laufen lassen, hier die Logfile:

Zitat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

10.02.2009 08:59:39
mbam-log-2009-02-10 (08-59-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 200427
Laufzeit: 2 hour(s), 13 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 29

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{f80c1d93-0d22-436e-963e-9d3156997a4e} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1e1b2879-88ff-11d3-8d96-d7acac95951a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{364b6276-c6c1-40b6-a6d7-6c48871fd707} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1678f7e1-c422-11d0-ad7d-00400515caaa} (Spyware.Comet.Cursor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8fcdf9d9-a28b-480f-8c3d-581f119a8ab8} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{056738e1-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{056738ed-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{056738ee-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{056738ee-e15c-11d6-b876-0050bf5d85c7} (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\anti-leech alie (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Anti-Leech (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSShrxx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoiqt.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSvkql.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfmm.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000001.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000002.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2BF8F105-4573-4889-8EA6-F748D57C43DF}\RP0\A0000004.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.8\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.1.9\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.1\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\al2np.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\alie.inf (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\WINDOWS\screen.scr (Trojan.Dropper) -> Quarantined and deleted successfully.

Heute Mittag lasse ich dann GMER drüber laufen und SuperAntiSpyweare und setzte das NoScript bei Firefix auf.

Das Problem mit Google ist schon mal verschwunden.

Vielen Vielen Dank schon mal =)

Wie kann ich mich deiner Meinung nach in Zukunft am besten vor solchen Angriffen schützen?