Hallo Zusammen,

ich wurde vor einigen Tagen von "Plagegeistern" überflutet. Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen gebracht. Aber ein Problem ist mir geblieben.. in den Temporary Internet Files ist eine Datei mit der Beschreibung http://tolule.net/? Leider läßt sich die Datei nicht löschen und mein Unlocker versagt hier auch

Ich habe bereits in Google gesucht. Dort tauchen nur amerikanische Sites auf und ich traue mich nicht mehr, diese zu öffnen, da ich beim Öffnen von diversen Internetsites automatisch auf einer anderen Seite lande, bzw. eine zweite Seite geöffnet wird mit irgendeinem Casino und Spieleschrott oder "Anti-Spyware" automatischer Scan, der mir dann den nächsten Trojaner beschert.

Ach ja, noch eine Sache. Ich bekomme ständig die Aufforderung irgendeine neue Hardware zu installieren - irgendein Audiocontroller. Weiß nicht was das soll??????

Kann mir jemand helfen?

Vielen Dank!

Hallo,

Zitat:

Mit Malwarebyte und Spyware Doctor und dem löschen von diversen Files habe ich nun meinen Rechner endlich wieder zum Laufen gebracht.

Du musst die Logs posten, wir brauchen immer die Infos, was gelöscht wurde!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Arne,

vielen Dank für deine Antwort. Leider funktionierte Spywaredoc nicht mehr. Ich habe ihn daraufhin deinstalliert. Leider wurde der Download der neuesten Version abgebrochen. Ich habe gem. Anleitung den CCleaner laufen lassen. Leider weiß ich nicht, wo ich dort das Logfile finden kann :-(

Das Logfile von Malwarebyte poste ich hier direkt, da es sehr kurz ist. Ich habe in den vergangenen 3 Tagen mehrfach Malwarebyte laufen lassen. Ferner habe ich "händisch" diverse Temp Dateien, Prefetch, Programme u. a. gelöscht. Dennoch leitet mich google teilweise einfach auf dubiose Seiten um. Ich habe auch schon versucht, einen Scan im abgesicherten Modus zu machen. Dieser ließ sich leider nicht öffnen und diese merkwürdige Datei bekomme ich auch nicht aus den Temporary Internet Files raus. Es ist das Mozilla Zeichen mit einer "wild-planlosen" Buchstabenkombination darunter - Unlocker hat auch nichts genützt.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3633
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

27.01.2010 23:48:32
mbam-log-2010-01-27 (23-48-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115264
Laufzeit: 13 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Bin dir für deine Hilfe sehr dankbar!

Viele Grüsse,
Alice

Zitat:

Datenbank Version: 3633

Du hast Malwarebytes nicht aktualisiert, aktuelle DB-Version ist 3649!

Zitat:

Ich habe in den vergangenen 3 Tagen mehrfach Malwarebyte laufen lassen

Die alten Logfiles nachreichen, sofern Funde dabei waren.
Außerdem fehlen noch die Logs von RSIT.

Hallo Arne,

sorry für meine späte Antwort. Ich war über's Wochenende nicht da.

Wie kann das sein, daß ich eine alte MBAM Version habe. Diese habe ich erst letzte Woche runtergeladen. Mein Versuch, die neue Version runterzuladen scheitert derzeit daran, daß Firefox immer wieder schließt. Auch MBAM meldet ständig Fehler, der Download von RSIT ist mir auch noch nicht gelungen :-((

Ich schicke dir hier mal die verfügbaren MBAM logfiles. Hoffentlich hilft es weiter. Ich bleibe dran und versuche RSIT weiter runterzuladen.

Wo finde ich denn die logfiles des CCleaners? (Ich glaub ich bin zu doof :-((

Viele Grüsse,
Alice

File-Upload.net - Malwarebytes

Vom CCleaner brauch ich keine Logs.
Für RSIT hab ich diesen Alternativlink => File-Upload.net - pluescheule.exe
(ist ne umbenannte Version, die rsit.exe heißt pluescheule.exe )

Malwarebytes solltest Du über die Updatefunkion im Programm selbst aktualisieren! Nur dann werden auch neue DB-Versionen installiert!

Vielen lieben Dank! Das hat nun mal funktioniert :-)

Hier der Link zum RSIT logfile:
File-Upload.net - Logfile-of-random--s-system-information-tool-1.06

Nachfolgend noch das neue Logfile von MBAM in der aktuellen Version:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3671
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

01.02.2010 11:41:15
mbam-log-2010-02-01 (11-41-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 116450
Laufzeit: 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\mghxz.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rasqervy.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfinacs.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\sdfixwcs.dll (Malware.Trace) -> Quarantined and deleted successfully.


So, und nun hoffe ich, daß die Antwort wieder durchgeht. Bei jedem Posting stürzt mir alles ab und ich bete, daß die Nachricht noch durchgeht!

Viele Grüsse,
Alice

Du hast nur ein Quickscan gemacht
Oder geht der Vollscan mit Malwarebytes nicht?

Ich versuch's weiter....:-((

Er geht schon, läuft aber nicht durch. Im Verlauf des Scan's kommt irgendwann die Nachricht, daß Malwarebytes ein Problem festgestellt hat und geschlossen werden muß.

Sobald ich einen vollständigen Scan habe, poste ich ihn.

Grüsse,
Alice

Dann machen wir das mit Malwarebytes später und zuerst nen Lauf mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

habe deine Anweisungen befolgt. Mir wurde ganz schwindlig bei der Combofix Aktion :-))

Er hat mir eine Windows Wiederherstellungskonsole runtergeladen und ich mußte ein EULA Agreement bestätigen. Nach dem letzten Neustart kam folgende Fehlermeldung:

SQL Server cannot find default instance (MSSQLSERVER)....

If you believe that your installation is corrupt or has been tampered with, uninstall then re-run setup to correct this problem.

Muß ich damit was anfangen können - ist das alles in Ordnung? :-(

Das Combofix logfile ist hier : File-Upload.net - ComboFix.txt

Es ist ein wenig lang, um es hier zu posten.

Viele Grüsse!
Alice

Zitat:

SQL Server cannot find default instance (MSSQLSERVER)....
If you believe that your installation is corrupt or has been tampered with, uninstall then re-run setup to correct this problem.
Muß ich damit was anfangen können - ist das alles in Ordnung?

Ich seh da so eigentlich keinen Sinn, dass auf Deinem Rechner ein SQL-Server installiert sein muss. Den kannst Du eigentlich deinstallieren über Systemsteuerung, Software. Falls da ne Meldung kommt, dann poste bitte welche bzw. welche Programme den unerwarteterweise doch brauchen.

Weiter gehts:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

File::
c:\windows\system32\MGHwTemp.sys
c:\dokume~1\Alice\ANWEND~1\Adobe\Update\mmcset.dat
c:\dokume~1\Alice\LOKALE~1\Temp\23756175369.nls

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=-
"mixer1"=-
"wave1"=-
"aux1"=-
"midi2"=-
"mixer2"=-
"wave2"=-
"aux2"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidloc"=-
"Locvid"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne!

Hier ist der Link zum neuen Combofix logfile: File-Upload.net - ComboFix.txt

Oh, habe vergessen, den SQL Server runterzuwerfen :-((

(Ist jetzt auch erledigt. Es kam keine Fehlermeldung. SQL Server wurde anstandslos entfernt)

Viele Grüsse,
Alice

PS: Wenn es euch hier nicht gäbe ......:-))

ok
Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Hab nochmal 'ne Frage...kann man euch auch ohne Paypal spenden. Die wollen von mir ständig 'ne vollständige Freigabe. Ich mag aber nicht. Kann man auch einfach Überweisen?

LG, Alice