Hallo,

ich vermute, dass es mich nun auch erwischt hat. Ich bekam im August eine Email von einem Bekannten mit einer Einladung, mich auf der Seite SHTYLE.fn anzumelden. Bin dann auch drauf gegangen (sah so aus wie eine Art Facebook-Verschnitt) und hab mich dann auch brav angemeldet.

Als ich dann aber schon am ersten Tag von zig Mitgliedern, die mich zu ihren Kontakten hinzufügen wollten, bedrängt wurde, habe ich mich wieder abgemeldet.

Als ich dann meinen Bekannten darüber informierte, war dieser sehr überrascht, denn er behauptete steif und fest, mich nie eingeladen zu haben. Im Gegenteil, er hätte per Email eine Einladung von mir erhalten, woraufhin er sich auch dort angemeldet hat. Ich kann mich aber auch nicht entsinnen, ihm jemals so eine Mail geschickt zu haben (kannte die Seite vorher auch nicht).

Zunächst habe ich aber noch keine weiteren Symptome feststellen können. Erst seit ca. 2 Wochen stürzt mein Rechner beim Abspielen von Sound (bspw. auf Youtube) regelmäßig ab und der Sound kling fürchterlich verzerrt (auch schon der Windows-Willkommensgruß beim Hochfahren). Dazu braucht er ewig zum Hochfahren und ist auch sonst recht träge.

Ein Bekannter hat mir dann diese Seite empfohlen. Selbiger Bekannter hat mir auch beim Erstellen dieser ganzen Log-Dinger geholfen, denn ich muss gestehen, dass ich computertechnisch noch zu den Anfängern gehöre (habe erst letztes Jahr einen bekommen). Die Anleitung für Neulinge hätte ich im Leben nicht alleine befolgen können.

So, auf geht's:


MBAM:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2739
Windows 5.1.2600 Service Pack 3

04.09.2009 18:05:22
mbam-log-2009-09-04 (18-05-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 124081
Laufzeit: 1 hour(s), 52 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\kt_bho.KettleBho (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Partner\partner.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Partner\partner.exe (Trojan.BHO) -> Quarantined and deleted successfully.
         

LG
Limdulin

EDIT:
RSIT Logs sind im Ahang.

Hallo und

ist das ein Acer-Notebook bzw. -PC? Da ist dieser Partner-Müll nämlich manchmal vorinstalliert. Dafür hat Acer mindestens einen verdient!

Eine potentielle Datei seh ich noch. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\DRIVERS\jmcr.sys
         

Und Windows- und Programme musst Du aktualisieren, bzgl. Windows fehlt da der IE8 (auch wenn Du ihn nicht nutzt, solltest Du ihn installieren):


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.