Hallo,
ich habe von Viren, Malware und sonstigen Schadprogrammen keine Ahnung, so dass ich hoffe, bzw. überzeugt davon bin, dass man mir hier weiterhelfen kann.

Ich habe vorgestern eine heruntergeladene .exe ausgeführt, wobei "nichts"(also es öffnete sich nichts) passiert ist. Ich hatte die .exe vorher mit Antivir geprüft, es wurde allerdings nichts gefunden.
Gestern als ich das Notebook das erste Mal nach dieser Aktion gestartet hatte, kam direkt ein Fehler, der besagte, dass irgendetwas nicht ausgeführt werden konnte. Im Fenster tauchte rundll32.cab auf. Die genaue Fehlermeldung habe ich allerdings leider nichtmehr im Kopf, da ich mir bis zu diesem Zeitpunkt noch nichts dabei gedacht hatte.
Wenig später öffnete sich bereits das erste Internet Explorer-Fenster mit irgendwelcher Werbung (normal nutze ich Google Chrome). Dann fing ich an, nach dem Problem zu googeln und stieß unter anderem auf msa.exe, die, wie ich nach einem Blick in den Taskmanager feststellen musste, auch bei mir ausgeführt wurde. Die habe ich, da ich langsam nervös wurde, im Eifer des Gefechts einfach aus C:\Windows gelöscht.
Außerdem hatte ich das Programm LosAlamos im Autostart(also in dem Reiter Systemstart im Fenster msconfig), wovon ich nicht wusste, wie es dort hin kam. Im weiteren Eifer löschte ich auch die aus der Spalte Befehl zu LosAlamos zugehörige Datei (C:\Windows\system32\sshnas21.dll,AttachConsoleA).

Desweiteren öffnete sich ständig das Windows-Fenster, in dem ich bestätigen sollte, dass der "Adobe Flash Player Installer" ausgeführt wird. Das hatte meiner Meinung nach nichts mit meinem Handeln am Notebook zu tun, deshalb verunsicherte mich das noch mehr.

Ich habe dann heute in eurer "vorgegebenen/vorgeschlagenen" Reihenfolge den CCleaner, MalwareBytes und RSIT ausgeführt. Dabei traten verschiedene Fehlermeldungen auf:
-während des Ausführens von Malwarebytes meldete sich mein Antivir und beschwerte sich über die Dateien "C:\ProramData\Spybot - Search & Destroy\Recovery\WinFraudLoadedt.zip" und "...\WinFraudLoadedt1.zip" Erst nachdem ich die beiden Dateien in Quarantäne verschoben hatte lief Malwarebytes weiter
-während der Installation von RSIT kam eine Fehlermeldung mit dem Titel

AutoIt Error
Line-1:
Error: Variable used without being declared

Also habe ich HijackThis ohne RSIT installiert und ausgeführt.


Hier nun die LOGs:

CCleaner install.txt

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	14.02.2010		10.0.45.2
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	22.01.2010		10.0.42.34
Adobe Reader 9.3 - Deutsch	Adobe Systems Incorporated	20.01.2010	162,5MB	9.3.0
Anti-Twin (Installation 06.02.2010)	Joerg Rosenthal, Germany	05.02.2010		
Apple Application Support	Apple Inc.	05.01.2010	32,4MB	1.1.0
Apple Mobile Device Support	Apple Inc.	05.01.2010	40,4MB	2.6.0.32
Apple Software Update	Apple Inc.	05.01.2010	2,16MB	2.1.1.116
Avira AntiVir Personal - Free Antivirus	Avira GmbH	05.01.2010		
Bonjour	Apple Inc.	05.01.2010	0,49MB	1.0.106
CCleaner	Piriform	14.02.2010		2.28
DivX Plus Web Player	DivX,Inc.	22.01.2010		2.0.0
Dropbox		05.01.2010		0.7.97
Festo FluidSim 3.6	My Company, Inc.	11.01.2010		
FileAlyzer	Safer Networking Limited	14.02.2010		1.6.0.4
Free Audio CD Burner version 1.2	DVDVideoSoft Limited.	05.01.2010		
Free YouTube to MP3 Converter version 3.2	DVDVideoSoft Limited.	05.01.2010		
Google Chrome	Google Inc.	05.01.2010		4.0.249.89
ICQ6.5	ICQ	05.01.2010		6.5
IDT Audio	IDT	07.01.2010		5.10.5303.0
iTunes	Apple Inc.	14.02.2010	146,3MB	9.0.3.15
Malwarebytes' Anti-Malware	Malwarebytes Corporation	14.02.2010	7,66MB	
MATLAB R2009a	The MathWorks, Inc.	02.02.2010		7.8
Microsoft Office Professional 2010	Microsoft Corporation	07.01.2010		14.0.4536.1000
Microsoft Silverlight	Microsoft Corporation	21.01.2010	14,9MB	3.0.50106.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	04.02.2010	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	02.02.2010	0,42MB	8.0.56336
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148	Microsoft Corporation	08.01.2010	0,19MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	05.01.2010	0,58MB	9.0.30729
Microsoft Visual J# 2.0 Redistributable Package - SE	Microsoft Corporation	07.01.2010		
Microsoft WSE 3.0 Runtime	Microsoft Corp.	07.01.2010	0,92MB	3.0.5305.0
Mozilla Firefox (3.5.7)	Mozilla	05.01.2010		3.5.7 (de)
NVIDIA Drivers		24.01.2010		
Picasa 3	Google, Inc.	20.01.2010		3.1
Protect Disc License Helper 1.0.118	Protect Disc	07.01.2010		1.0.118
ProtectDisc Driver, Version 11	ProtectDisc Software GmbH	07.01.2010		11.0.0.12
Quadrax VI	Alfaline	22.01.2010		1.0
QuickTime	Apple Inc.	11.01.2010	77,3MB	7.65.17.80
RunAlyzer	Safer Networking Limited	14.02.2010		1.6.1.24
Skype™ 4.1	Skype Technologies S.A.	05.01.2010	31,1MB	4.1.179
Spybot - Search & Destroy	Safer Networking Limited	14.02.2010		1.6.2
SUPERAntiSpyware Free Edition	SUPERAntiSpyware.com	14.02.2010	28,8MB	4.33.0.1000
T-DSL Treiber		08.01.2010		
T-Online WLAN-Access Finder		08.01.2010		
TeamViewer 5	TeamViewer GmbH	05.01.2010		5.0.7572 
TIPP10 Version 2.0.3	(c) 2006-2008, Tom Thielicke	04.02.2010		
TuneUp Utilities	TuneUp Software	05.01.2010		9.0.3000.52
Uninstall 1.0.0.1		05.01.2010		
Veoh Video Compass	Veoh Networks, Inc.	22.01.2010		1.5.2
Veoh Web Player	Veoh Networks, Inc.	22.01.2010		1.1.9.1188
VLC media player 1.0.3	VideoLAN Team	22.01.2010		1.0.3
Winamp	Nullsoft, Inc	05.01.2010		5.571 
Winamp Application Detect	Nullsoft, Inc	05.01.2010	0,12MB	1.0.0.1
Winamp Toolbar		05.01.2010		
Windows XP Mode	Microsoft Corporation	28.01.2010	1.160,7MB	1.3.7600.16422
Windows-Treiberpaket - Ricoh R5U870 (UVC)  (09/04/2007 6.1006.211.0)	Ricoh	05.01.2010		09/04/2007 6.1006.211.0
WinRAR archiver		20.01.2010		
Xvid 1.2.2 final uninstall	Xvid team (Koepi)	22.01.2010		1.2
         

Malwarebytes mbam-log-2010-02-16 (19-21-20):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3741
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.02.2010 19:21:20
mbam-log-2010-02-16 (19-21-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 423278
Laufzeit: 1 hour(s), 46 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
         

Hijackthis.log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:37, on 16.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Users\Markus\Desktop\RSIT.exe
C:\Program Files\trend micro\Markus.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\Microsoft Office\Office14\URLREDIR.DLL
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Microsoft Office\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CD356C6-E673-43A5-8B8D-3954CDE14E47}: NameServer = 217.0.43.97 217.0.43.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

--
End of file - 6819 bytes
         

Ich hoffe ich habe mit meinen Lösch-Aktionen nichts versaut, ihr könnt mit den LOGs etwas anfangen(ich kann es nämlich absolut nicht) und mir weiterhelfen.

Schonmal vielen Dank im Voraus

Gruß
markus86

Hallo und

Zitat:

Ich habe vorgestern eine heruntergeladene .exe ausgeführt,

was genau hast Du von wo ausgeführt?
Bitte auch RSIT Logs erstellen und posten.

Hallo und danke für die schnelle Reaktion.
Es sollte ein Keygenerator sein. Hatte ihn vom Downloadordner aus ausgeführt. Beim installieren von RSIT trat ja der erwähnte Fehler auf. Ich hatte vergessen zu sagen/schreiben, dass die Installation beendet wurde, als ich das Fenster geschlossen hatte. Deshalb hatte ich direkt mit HijackThis geprüft.(Hatte es so verstanden, dass RSIT nur die Daten von HijackThis zusammenfasst).

Gruß

Zitat:

Es sollte ein Keygenerator sein.

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren! Kauf Dir die Software oder such nach freien Alternativen!

Vielen Dank für den Tipp mit den Passwörtern. Jedoch kann ich nicht verstehen, wieso man/du mir nicht helfen will/st. Ich kann mir nicht vorstellen, dass keiner der 54519 Benutzer (am 16.02.2010 um 22:39 Uhr) des Forums irgendwelche "Leichen im Keller hat".

Wie gesagt, trotzdem Danke

Du hast Dir fahrlässigerweise mit einem Keygen die Infektion eingehandelt, wenn ich bei jmd. Keygenz, Cracks oder so sehe, stell ich idR den Support auch ein!

Ist ja schön und gut. Kann ich aber absolut nicht verstehen. Kann mir auch nicht vorstellen, dass du komplett "kellerleichenfrei" bist.

Zitat:

Kann ich aber absolut nicht verstehen.

Warum kann man es nicht verstehen, dass der Support von manchen Prinzipien abhängig ist? Wenn Du fahrlässig handelst ist es allein Dein Fehler gewesen!

Zitat:

Kann mir auch nicht vorstellen, dass du komplett "kellerleichenfrei" bist.

Selbst wenn - mein Rechner ist nicht Gegenstand dieses Strangs