Hallo liebe Helfer,
erstmal ein dickes lob diese Seite hat mir mehrmals in vielen dingen weitergeholfen und bin euch deshalb sehr dankbar

Leider bin ich aber an einem Punkt angelangt wo ich nicht mehr weiter weiß und ich muss dieses problem beheben weil eine hausarbeit für die uni ansteht und die zeit knapp wird.bitte bitte helft mir

Kurz zur vorgeschichte:

Ich hab ein neues Laptop gekauft,indem schon eine testversion von mcafee vorinstalliert war. Parellel hab ich mir kaspersky gekauft und auch drauf installiert (da die mcafee testversion eh schon abeglaufen war).
Nun wollte ich mcafee deinstallieren.
Plötzlich zeigt mein kaspersky die meldung,dass es sich um ein trojan.generic handelt welcher sich durch neustart installiert.
Ich habe natürlich diesen bösewicht schnell in die quarantäne verschoben. nichts desto trotz hat sich mein system neugestartet.ich wollte mcafee zuende deinstallieren und das gleiche ging nochmal von vorne los.
nach dem zweiten neustart war das programm weg.
Ich hab daraufhin den trojaner in der quarantäne gelöscht, mein system durch kaspersky scannen lassen.
resultat:kein fund.
Nach langem hin und her hab ich HijackThis laufen lassen, das logfile auf hijackthis.de auswerten lassen.
Ergebnis: kritisch anzusehen ist folgendes:

1)O4 - HKCU\..\Run: [MSFox] C:\Users\***\AppData\Local\Temp\a.exe
2) O23 - Service: 0276741252437166mcinstcleanup - - (no file)
3) O23 - Service: 0318351252438440mcinstcleanup - - (no file)

Ich habe bzgl. nr.1) auf fix checked gedrückt. Dann nochmal die datei gesucht - nirgends gefunden!
Von nr. 2) und 3) gab es keine datei, ich habe es schließlich im task manager bei dienste gefunden und sie dann deaktiviert!
Dann nochmal HijackThis laufen lassen, auf der genannten seite geprüft : alles sei in ordnung!

( Achja, habe auch vorher ein von mcafee zur verfügung gestelltes deinstallationsprogramm durchgeführt welcher alle mcafee dateien löscht. )

nochmal selber nach mcafee datein gesucht.

Dann CCleaner durchlaufen lassen.
Adware durchlaufen lassen:kein fund.

So jetzt nähern wir uns dem ende:
habe auch SUPERAntiSpyware laufen lassen:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 09/12/2009 at 01:42 AM

Application Version : 4.28.1010

Core Rules Database Version : 4095
Trace Rules Database Version: 2035

Scan type : Complete Scan
Total Scan Time : 01:56:35

Memory items scanned : 409
Memory threats detected : 0
Registry items scanned : 7710
Registry threats detected : 5
File items scanned : 115653
File threats detected : 0

Trojan.DNSChanger-Codec
HKU\***\Software\uninstall

Rogue.PC-Cleaner
HKU\***\Software\fwbd
HKU\***\Software\HolLol
HKU\***\Software\mwc
HKU\***\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#SystemCheck2 [ 3 ]

Diese dann natürlich in quarantäne gestellt.
Dann im abgesicherten modus nochmal scannen lassen : alles sei in ordnung.

Meine Fragen:
a) hab ich soweit alles richtig gemacht und ist es normal dass ich die a.exe datei nicht gefunden habe?
b) was mache ich mit den von SUPERAntiSpyware in quarantäne gestellten datein?
c)Ich habe trotz all dem das gefühl dass ich nicht normal wie vorher im internet surfen kann weil noch irgendein trojaner sein unwesen treibt. Wie kann ich die sicherheit haben, dass meine passwörter beim nächsten e-mail check nicht geklaut werden??

P.s. Habe Windows Vista (falls das hilft)

Schonmal vielen dank im voraus.

Lg
Coco

Hallo und Herzlich Willkommen!

Zitat:

Zitat von coco_20

a) hab ich soweit alles richtig gemacht und ist es normal dass ich die a.exe datei nicht gefunden habe?

eigentlich ja, obwohl mit löschen ohne es vorher zu prüfen, kann mal auch schief gehen, wenn z.B Systemdateien befallen sind! Gibt`s sowas auch nämlich...

Zitat:

Zitat von coco_20

b) was mache ich mit den von SUPERAntiSpyware in quarantäne gestellten datein?

kannst löschen

Zitat:

Zitat von coco_20

c)Ich habe trotz all dem das gefühl dass ich nicht normal wie vorher im internet surfen kann weil noch irgendein trojaner sein unwesen treibt. Wie kann ich die sicherheit haben, dass meine passwörter beim nächsten e-mail check nicht geklaut werden??

das nennt man ja "mulmiges Gefühl im Bauch " beim surfen...
Mag sein,eine komplette Neuinstallation `zu aufwändig` ist (wer macht das gerne?!), aber dies hat viele Vorteile gegenüber den üblichen `Systemreinigung`:
1.
Du kannst danach gleich von einem sauberen Windows, ohne Viren ein Image erstellen. Dazu brauchst du nur ein geeignetes Programm, wie z.B Acronis True Image
2.
Kannst Du Surfen im Web dann, ohne ständig dieses mulmige Gefühl im Bauch zu spüren und mit deinem Rechner sorglos arbeiten

was möchtest Du denn machen?

hii
erstmal danke für deine schnelle antwort!!
ich glaube auch dass eine Neuinstallation wohl das beste wäre..nur kann ich diese erst in 2 wochen durchführen und brauchte bis dahin eine notlösung um auch mein e-mail posteingang öffnen zu können (ohne dass irgendjemand mein pw klaut,da ich einige für mich sehr wichtige daten drauf habe).

Zu dem Acronis True Image : Hab ich das richtig verstanden, dass er bei einer Infektion mein system auf den stand der Neuinstallation stellt. ohne dass ich dafür windows neu installieren muss?

und kurz zurück zum problem...wenn ich den task manager öffne und auf dienste gehe dann werden mir folgende zwei genannten "service" angezeigt,die auch HijackThis entdeckte

O23 - Service: 0276741252437166mcinstcleanup - - (no file)
O23 - Service: 0318351252438440mcinstcleanup - - (no file)

ich habe sie ja deaktiviert aber woher kommen sie und wie kann es sein dass sie auf meinem pc laufen können ohne eine datei zu besitzen???

ich bin grade richtig erleichtert dass ich bis dahin alles richtig gemacht habe , vielen dank nochmal für die bestätigung

LG

Coco

Zitat:

Zitat von coco_20

Zu dem Acronis True Image : Hab ich das richtig verstanden, dass er bei einer Infektion mein system auf den stand der Neuinstallation stellt. ohne dass ich dafür windows neu installieren muss?

nöööö so ist nicht gemeint
sondern falls es wieder Probleme gibt, wenn Du ein sauberes Image hast, dauert die Installation nur wenige "Augenblicke". (Musst Du nicht extra Programme etc draufspielen)

na Ok, dann legen wir mal los:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

hallo!
hier mein aktuellestes Logfile

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:30:35, on 15.09.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Users\***\Downloads\Neuer Ordner\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Users\***\***\2\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix: 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Users\***\***\2\SASWINLO.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

--
End of file - 5946 bytes
         

und von CCleander

Code: Alles auswählenAufklappen

ATTFilter

Activation Assistant for the 2007 Microsoft Office suites	Microsoft Corporation	17.01.2008	13,5MB
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	07.08.2009	
Adobe Flash Player 9 ActiveX	Adobe Systems Incorporated	17.01.2008	
Adobe Reader 8.1.2 - Deutsch	Adobe Systems Incorporated	20.08.2008	99,7MB
Agere Systems HDA Modem	Agere Systems	11.12.2007	
Aqua Garden		02.04.2008	32,4MB
Audacity 1.2.6		08.01.2009	29,3MB
AVStation Now	Ihr Firmenname	12.12.2007	3,54MB
Business Contact Manager für Outlook 2007 SP2	Microsoft Corporation	13.09.2009	31,5MB
CCleaner (remove only)	Piriform	10.09.2009	2,70MB
DivX Web Player	DivX,Inc.	09.11.2008	2,93MB
Easy Battery Manager		17.01.2008	7,59MB
Easy Display Manager	Samsung	12.12.2007	11,2MB
Easy Network Manager 3.0	Ihr Firmenname	12.12.2007	31,0MB
Easy SpeedUp Manager		17.01.2008	3,99MB
HijackThis 2.0.2	TrendMicro	10.09.2009	0,38MB
imagine digital freedom - Samsung	Samsung Electronics Co., LTD	12.12.2007	7,50MB
Intel(R) PROSet/Wireless Software	Intel Corporation	17.01.2008	
Java(TM) 6 Update 15	Sun Microsystems, Inc.	18.11.2008	94,4MB
Java(TM) 6 Update 7	Sun Microsystems, Inc.	11.08.2008	136,2MB
KaloMa 4.72	Frank Böpple	14.06.2009	2,32MB
Kaspersky Internet Security 7.0	Kaspersky Lab	02.08.2008	19,2MB
Kaspersky Online Scanner	Kaspersky Lab	09.09.2009	1,23MB
MCE Software Encoder 1.0		17.01.2008	0,85MB
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	13.06.2009	27,8MB
Microsoft Office 2003 Web Components	Microsoft Corporation	13.08.2009	21,7MB
Microsoft Office 2007 Primary Interop Assemblies	Microsoft Corporation	13.05.2009	7,23MB
Microsoft Office Enterprise 2007	Microsoft Corporation	13.06.2009	625,0MB
Microsoft Office Professional 2007-Testversion	Microsoft Corporation	13.09.2009	770,5MB
Microsoft Office Small Business Connectivity Components	Microsoft Corporation	12.12.2007	0,15MB
Microsoft SQL Server 2005	Microsoft Corporation	07.09.2009	42,7MB
Microsoft SQL Server Native Client	Microsoft Corporation	17.03.2009	2,63MB
Microsoft SQL Server VSS Writer	Microsoft Corporation	17.03.2009	0,68MB
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	03.08.2009	0,25MB
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	12.12.2007	0,41MB
Mozilla Firefox (3.0.14)	Mozilla	14.09.2009	27,7MB
NVIDIA Drivers		17.01.2008	
Play AVStation	Ihr Firmenname	12.12.2007	85,3MB
PlayCamera		16.08.2008	327,3MB
RealPlayer	RealNetworks	04.10.2008	
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	12.12.2007	15,5MB
Registry Healer 4.5.0 uninstall	KsL Software	10.09.2009	1,83MB
Samsung Magic Doctor	Samsung Electronics Co., LTD	17.01.2008	15,4MB
Samsung Recovery Solution II	Samsung	12.12.2007	17,5MB
Samsung Update Plus	Samsung Electronics Co., LTD	19.10.2008	16,9MB
SUPERAntiSpyware Free Edition	SUPERAntiSpyware.com	10.09.2009	258,9MB
Synaptics Pointing Device Driver	Synaptics	11.12.2007	12,9MB
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)	Microsoft Corporation	13.09.2009	23,2MB
User Guide		17.01.2008	144,8MB
Vimicro UVC Camera	Vimicro Corporation	16.08.2008	2,15MB
WIDCOMM Bluetooth Software	WIDCOMM, Inc.	12.12.2007	36,2MB
Windows Live Anmelde-Assistent	Microsoft Corporation	07.03.2009	1,93MB
Windows Live installer	Microsoft Corporation	04.08.2008	1,71MB
Windows Live Messenger	Microsoft Corporation	04.08.2008	30,0MB
Windows Media Player Firefox Plugin	Microsoft Corp	09.08.2008	0,29MB
Zylom Games Player Plugin	Zylom Games	08.11.2008	1,61MB
         

Lg