Morgen Forum, ich bin neu hier und hoffe, dass mir geholfen werden kann.

Vor ca. 4 Tagen merkte ich beim Start des PCs, dass die Firewall deaktiviert war. Ich dachte mir schon "Ach du Schei*e, ich denke, ich hab mir was eingefangen!" und Scan erst einmal meinen PC komplett durch - Expertenmodus Avira Antivir Free Home Edition. Es werden 2 oder 3 Files gefunden und diese von mir gelöscht. Ich weiß auch, dass ich mir das Problem selbst zuzuschreiben habe, da ich eine relativ zwielichtige Seite besucht habe und von dort was installiert habe - schön blöd
Am nächsten Tag (bis heute) war jedesmal beim Start der Avira Guard gestoppt - Ich lies das Programm nochmal durchlaufen, ohne mir viel Hoffnung zu machen - fand auch nichts. Ich denke an meinem Virenschutz wird von einem Trojaner rumgepfuscht.
Endgültig sicher bin ich mir, seitdem aufeinmal PopUps aufgingen, auch auf Seiten, wo das eigentlich nicht so ist (Google)

Soweit ich weiß muss ich hier ja eine HiJackThis-file posten, also hier ist sie:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:25:10, on 29.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MOUSE Editor\MouseEditor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\MOUSE Editor\MouseData\Tools\MyShowMessage.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\Last.fm\LastFM.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OscarEditor] "C:\Programme\MOUSE Editor\MouseEditor.exe" Minimum
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A46012C2-0882-4B4A-B32D-918AF1086E02}: NameServer = 87.118.100.175,94.75.228.29,85.25.251.254,85.214.73.63,213.73.91.35,204.152.184.76,198.32.2.10,85.214.117.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8692 bytes
         

Hier noch meine System-Info:

Code: Alles auswählenAufklappen

ATTFilter

Betriebssystemname	Microsoft Windows XP Professional
Version	5.1.2600 Service Pack 2 Build 2600
Betriebssystemhersteller	Microsoft Corporation
Systemname	MAENNER-PC
Systemhersteller	Packard Bell NEC
Systemmodell	IMEDIA 5645
Systemtyp	X86-basierter PC
Prozessor	x86 Family 15 Model 4 Stepping 9 GenuineIntel ~3059 Mhz
Prozessor	x86 Family 15 Model 4 Stepping 9 GenuineIntel ~3059 Mhz
BIOS-Version/-Datum	Award Software International, Inc. 10f, 17.09.2005
SMBIOS-Version	2.3
Windows-Verzeichnis	C:\WINDOWS
Systemverzeichnis	C:\WINDOWS\system32
Startgerät	\Device\HarddiskVolume1
Gebietsschema	Deutschland
Hardwareabstraktionsebene	Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"
Benutzername	xyz/xyz
Zeitzone	Westeuropäische Normalzeit
Gesamter realer Speicher	1.024,00 MB
Verfügbarer realer Speicher	344,43 MB
Gesamter virtueller Speicher	2,00 GB
Verfügbarer virtueller Speicher	1,96 GB
Größe der Auslagerungsdatei	2,40 GB
Auslagerungsdatei	C:\pagefile.sys
         

Zusatzinformationen zur Hardware:

Code: Alles auswählenAufklappen

ATTFilter

Grafikkarte: NVidia GeForce 8800 GTS
Prozessor: Intel Pentium 4 CPU 3.06 GHz
         

Hoffe, mir kann noch geholfen werden

EDIT:
Ach ja, hier die Auswertung der Hijackthis-file:
Ich werde vor folgenden Sachen gewarnt:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Avira\AntiVir Desktop\sched.exe         >          	
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\antivir.*\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe        >         	
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\samsung\panelmgr\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
C:\Programme\Java\jre6\bin\jucheck.exe                 >         
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\java\jre1.5.0_02\bin\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Part of Java
         

Ich denke ich habe ein bisschen mehr als nötig gepostet, aber besser zuviel als zuwenig.


MfG TheReal48

Hallo TheReal48



Das HJT log ist soweit in Ordnung. Bitte einmal hier http://www.trojaner-board.de/69886-a...-beachten.html entlang, lesen und dann den Punkt 2 abarbeiten. Bitte alle anfallenden logs als Anhang an deine Antwort. Manche logs sind unter Umständen recht groß um sie zu posten und ich habe den Vorteil daß ich sie mir direkt im Editor ansehen kann.

Gruß

Acid

Hier sollte jetzt alles richtig sein:

Schon einmal im vorraus ^^

Also ich sehe da bis jetzt nichts auffälliges. Lass uns mal nach Rootkits suchen. Dazu werden wir GMER benötigen. Als erstes musst du ein paar Einstellungen vornehmen:

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

* Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
* Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
* Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
* Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der GMER Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

Zitat:

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Das wird mir zu heiß, ich hab fürs erste meinen PC komplett vom Internet getrennt und schreibe jetzt von meinem MAC aus...

Was ich sehr seltsam fand: obwohl ich ein Häkchen auch bei der Festplatte D gesetzt habe, taucht diese nicht im log auf. Auch scheint er nur meinen iTunes-ordner geprüft zu haben. Das werd ich nochmal machen, fürs erste die vorläufige Log-file:

EDIT: WTH, die file ist zu groß? musste die .txt datei in 2 teilen. Hoffentlich ist das noch übersichtlich

MfG TheReal48

Hallo TheReal

Zitat:

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Das ist eigentlich nur als Erinnerung gedacht daß du deine Scanner, die du ja für den GMER Scan deaktiviert hast, auch wieder einschaltest bevor du mit dem rechner wieder ins netz gehtst.

Also weiter im Text

Ein Rootkit hat sich schonmal nicht bei dir eingenistet das log ist sauber. Also müssen wir weitersuchen wer dir die Werbepopups verpasst. Mache einen Scan mit http://www.trojaner-board.de/51871-a...tispyware.html. Das log auch bitte posten.

Gruß

Acid

Hier der Log - Ich beginne wieder zu hoffen

Hallo TheReal

Also das was SAS da gefunden hat sind nur Tracking Cookies, die kannst du löschen.

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

Gruß

Acid

Bitteschön...

EDIT: Ich wollte jetzt nicht untätig rumsitzen und habe mal in Avira unter "Ereignisse" geschaut und poste mal hier die Funde seit dem Aufkommen:
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 14.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 16.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: Zugriff Verweigern
Guard: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Scanner: 18.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: löschen
Scanner: 20.10.2009 "In der Datei ZYX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.XPACK.Gen' [trojan] Ausgeführte Aktion: In Quarantäne verschieben
Guard: 27.10.2009 "In der Datei YZX wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/Crypt.PEPM.Gen' [trojan] Ausgeführte Aktion: löschen
Guard: 20.10.2009 "In der Datei xyz wurde ein Virus oder unerwünschtes Programm gefunden: 'TR/SPY.99328.11' [trojan] Ausgeführte Aktion: löschen

Genau am nächsten Tag war Avira das erste mal Deaktiviert - und wurde vom Internet abgesteckt.
Ich hoffe das hilft Dir/Mir.

MfG TheReal48

Hiess die Datei wirklich xyz (zyx / yzx) oder hast du den Namen verändert? Wie gehts dem Rechner im Moment? Bitte gib mir mal den genauen Pfad wo das Ding gefunden wurde.

Gruß

Acid

So, da bin ich wieder.
Tschuldigung, dass ich den Pfad nicht gleich drinnen hatte, Ich hatte nur meinen USB-Stick verschlampt, sodass ich nicht die Meldungen als .txt speichern und auf den MAC ziehen konnte...

Jetzt in voller länge.

Die Verfassung des PC's hat sich nicht verändert, jedesmal ist Antivir ausgeschaltet und Firewall wird als aktiv angezeigt, aber ich habe den PC fürs erste mal komplett vom Internet getrennt, sodass ich schön nahe am Ausgangspunkt bleibe.

MfG TheReal48

Hallo TheReal

Falls noch nicht geschehen deinstalliere ActionGameMaker.

Code: Alles auswählenAufklappen

ATTFilter

D:\downloads\ActionGameMaker
         

Ich denke mal das ist das was du dir runtergeladen hast, alle Dateien davon, auch die entpackten löschen.

Alle Anwendungen schließen, Ordner für temporäre Dateien bitte leeren.
Lösche nur den Inhalt der Ordner die Ordner selbst nicht löschen! Dateien die noch in Benutzung sind nicht löschbar.

* `Start => ausführen` "cleanmgr" reinschreiben (ohne ") => "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden => "Ok"
* `Start => ausführen` => "%temp%" reinschreiben (ohne ") => "Ok" - Ordnerinhalt überall markieren und löschen
* für jedes Benutzerkonto bitte durchführen
* anschließend den Papierkorb leeren

Reinige danach dein System mit dem CCleaner.

Browser schließen => "Analysiere" => "Starte CCleaner"

Klicke danach im Programm auf "Registry" => "Nach Fehlern suchen" => "Fehler beheben"

Rechner neustarten.

Mache dann einen kompletten Scan mit deinem AV Programm und poste mir anschließend das Ergebnis hier.

Gruß

Acid

Ist bereits seit 5 Tagen deinstalliert, die Dateien hab ich auch schon gelöscht und den Papierkorb geleert...

Auch der "cleanmgr" war in letzter Zeit SEHR oft in benutzung, da meine C-Platte am Überlaufen ist.

Ich führ nochmal alles aus... hoffentlich klappt es...

...

ALSO: CCleaner sagt zwar immer, dass alle Registry-fehler behoben wurden, aber folgender Schlüssel/datei bleibt IMMER vorhanden:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Die Auswertung vom AV gibts später, das dürfte nämlich noch ein weilchen dauern...

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Kannst du ignorieren, das gehört zu Antivir.

Gruß

Acid

So ein ...
Da ich Avira nicht mehr traue, hab ich mir die G-Data Antivir Testversion geholt und komplett durchlaufen lassen - auch nichts gefunden.
Trotzdem erscheinen die Pop-Ups noch...

MfG TheReal48