Hallo,
erstmal vielen Dank, dass es dieses Forum gibt. Es hat mir in den letzten Tagen bereits viel geholfen, als mein PC von Trojanern befallen war.
Ich glaube, dass ich mein System so langsam wieder sauber habe, traue dem Braten aber nicht und wüsste gerne, wie ich Gewissheit erlangen kann. Eine Neuinstallation, die ich sonst übers Wochenende machen würde, möchte ich nämlich vermeiden.
Das einzige, was im Augenblick nicht ganz normal läuft, ist der IE, der gerne mal selbständig irgendwelche Fenster öffnet (meist mit irgendwelchen Casino-Seiten).

Kann mir jemand helfen bei der Systemkontrolle? Danke

Gruß,
Gleumes

Hallo und

Zitat:

Ich glaube, dass ich mein System so langsam wieder sauber habe,

Poste bitte alle schon vorher erstellten Logfiles von den Tools, die Du benutzt hast.

Danach einen Vollscan mit aktuellem Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,
danke für die schnelle Antwort.
Dann mache ich mich mal an die Arbeit, wobei ich zugeben muss, dass ich in meiner Verzweiflung immer wieder Dinge wiederholt habe, teilweise auch durcheinander. Aber in der Reihenfolge der Zeitstempel habe ich folgende Logfiles:

Malwarebytes' Anti-Malware

26.04. - 14.22

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:22:42
mbam-log-2010-04-26 (14-22-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 26285
Laufzeit: 55 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{a9722a0d-365f-47d2-b70b-37d046316d99} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\woryugjxwujbp (Adware.Adrotator) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\ffxShot.dll (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\woryugjxwujbp.exe (Adware.Adrotator) -> Quarantined and deleted successfully.


26.04. - 14.37

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 14:37:39
mbam-log-2010-04-26 (14-37-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


26.04. - 15.05

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 15:05:51
mbam-log-2010-04-26 (15-05-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138753
Laufzeit: 13 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 8
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adhlpr.adhlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4153c57d-8773-4e67-d02c-c789e2344593} (Adware.AdRotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751908aa-98ce-48e9-92ca-c0b42a19412c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ezlife (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxzpocsssbsmbnlgt (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ave.exe" /START "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0 (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife (Adware.EzLife) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0 (Adware.EzLife) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions (Adware.SmartAds) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\nsFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Programme\Smart-Ads-Solutions\SmartAds\1.5.2.0\uninstall.exe (Adware.SmartAds) -> Quarantined and deleted successfully.
C:\Programme\ezLife\ezLife\1.5.2.0\uninstall.exe (Adware.EzLife) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\keqipwpvtteqknp.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\qmqwjknu.dll (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\arecwonsxm.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.



26.04. - 17.56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 17:56:55
mbam-log-2010-04-26 (17-56-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 258460
Laufzeit: 2 Stunde(n), 11 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qzaib7kitk (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\newupdate1142c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Aduroa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\228.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\stp942c5.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zx89xka.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\stp942c5[1].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NBVZYED7\newupdate1142C[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.


26.04. - 17-56

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2010 18:16:30
mbam-log-2010-04-26 (18-16-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143175
Laufzeit: 12 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


[Fortsetzung folgt...]

weiter gehts...

Malwarebytes' Anti-Malware

27.04. - 18.16

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.04.2010 18:16:38
mbam-log-2010-04-27 (18-16-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143420
Laufzeit: 15 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


28.04.2010

14.35 Uhr - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1298
Time Elapsed:00:05:05
Objects Scanned:50718
Threats Found:82

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@adtech.de/, 7-1622
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/pm/muenchen-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/ing-diba/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@fastclick.net/, 7-1402
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066386531/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@heias.com/, 7-1865
Tracking Cookies - Removed, Cookies, Cookie:***@atdmt.com/, 7-1543
Tracking Cookies - Removed, Cookies, Cookie:***@com.com/, 7-9
Tracking Cookies - Removed, Cookies, Cookie:***@nl.sitestat.com/vvk/kvk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@livejasmin.com/, 7-1946
Tracking Cookies - Removed, Cookies, Cookie:***@advertising.com/, 7-13
Tracking Cookies - Removed, Cookies, Cookie:***@cybermonitor.com/, 7-1767
Tracking Cookies - Removed, Cookies, Cookie:***@statse.webtrendslive.com/, 7-1547
Tracking Cookies - Removed, Cookies, Cookie:***@smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@apmebf.com/, 7-1646
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1053935835/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/sport1-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@adverserve.net/, 7-1628
Tracking Cookies - Removed, Cookies, Cookie:***@msnportal.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@freenet.de/, 7-1
Tracking Cookies - Removed, Cookies, Cookie:***@mediaplex.com/, 7-1564
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/karstadt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@quantserve.com/, 7-2075
Tracking Cookies - Removed, Cookies, Cookie:***@doubleclick.net/, 7-1380
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/karstadt-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1036361766/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/brother-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@loc1.hitsprocessor.com/, 7-1871
Tracking Cookies - Removed, Cookies, Cookie:***@audiag.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@med-update.com/, 7-1773
Tracking Cookies - Removed, Cookies, Cookie:***@burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/brother/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/pcwelt/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@cdn5.specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@www.windowsmedia.com/, 7-2231
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@ad.yieldmanager.com/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@edge.ru4.com/, 7-12
Tracking Cookies - Removed, Cookies, Cookie:***@xiti.com/, 7-2259
Tracking Cookies - Removed, Cookies, Cookie:***@ww251.smartadserver.com/, 7-1611
Tracking Cookies - Removed, Cookies, Cookie:***@tradedoubler.com/, 7-2158
Tracking Cookies - Removed, Cookies, Cookie:***@m1.webstats.motigo.com/, 7-1853
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/frankfurt/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@statcounter.com/, 7-1545
Tracking Cookies - Removed, Cookies, Cookie:***@m.webtrends.com/, 7-2222
Tracking Cookies - Removed, Cookies, Cookie:***@guj.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/sport1/tvdsf-de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1066681220/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@axelspringer.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@specificclick.net/, 7-1522
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/stuttgart/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.intel.com/, 7-1904
Tracking Cookies - Removed, Cookies, Cookie:***@fl01.ct2.comclick.com/, 7-1741
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/idgcom-de/tecchannel/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@www.fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@int.sitestat.com/panasonic/de/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@imagevenue.advertserve.com/, 7-1630
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1068954949/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1065319315/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@vogelservices.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@imrworldwide.com/cgi-bin, 7-1508
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/is24/is24/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@bluestreak.com/, 7-1558
Tracking Cookies - Removed, Cookies, Cookie:***@fixya.com/, 7-2261
Tracking Cookies - Removed, Cookies, Cookie:***@casino.com/, 7-232
Tracking Cookies - Removed, Cookies, Cookie:***@revsci.net/, 7-1559
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/dihk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@daimlerag.122.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@www.googleadservices.com/pagead/conversion/1047815728/, 7-1856
Tracking Cookies - Removed, Cookies, Cookie:***@content.yieldmanager.com/ak/, 7-1540
Tracking Cookies - Removed, Cookies, Cookie:***@autoscout24.112.2o7.net/, 7-10
Tracking Cookies - Removed, Cookies, Cookie:***@de.sitestat.com/hk/, 7-1811
Tracking Cookies - Removed, Cookies, Cookie:***@suitesmart.com/, 7-2126
Trojan.Win32/Agent - Quarantined, File, C:\WINDOWS\system32\reader_s.exe, 4-11490
Unwanted.Smart_PC - Removed, Registry Key, HKEY_CURRENT_USER\Software\Smart PC Solutions, 4-22135
Trojan.Win32/Agent - Removed, Registry Key, HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect, 4-22392
Trojan.Win32/Agent - Removed, Registry Value, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Value=reader_s, 4-26065


15.54 Uhr - Malwarebytes' Anti Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4037

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.04.2010 15:54:18
mbam-log-2010-04-28 (15-54-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143170
Laufzeit: 12 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.


[Fortsetzung folgt...]

weiter gehts...

29.04.2010

11.57 - IObit Security 360

IObit Security 360

OS:Windows XP
Version:1.4.1.11
Define Version:1417
Time Elapsed:00:05:09
Objects Scanned:50876
Threats Found:2

|Name|Type|Description|ID|
Tracking Cookies - Removed, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Removed, Cookies, Cookie:***@tribalfusion.com/, 7-8


15.15 - Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4050

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.04.2010 15:15:59
mbam-log-2010-04-29 (15-15-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 261479
Laufzeit: 2 Stunde(n), 4 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2280ae27-f753-f8e4-3367-f7a3825e8359} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\37ef7ae6.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\cxno.tmp\svchost.exe (Adware.Agent) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jyxf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\keqipwpvtteqknp.dll (Adware.IEhlpr) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\zt2u3kx.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\gmfrxpgv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\cxlqe.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C2NEZRN\kkemu[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPB94E3W\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\your[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\oriqbjdp[1].htm (Trojan.Ertfor) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D3DMKG9M\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WONP83SA\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\g1ty80xf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.


15.25 - Trojan Remover

siehe Anhang


17.36 - IObit Security 360

IObit Security 360

Betriebssystem:Windows XP
Version:1.4.1.11
Definitionsversion:1417
Zeit:01:57:54
Überprüfte Objekte:171774
Gefundene Bedrohungen:3

|Name|Typ|Beschreibung|ID|
Tracking Cookies - Entfernt, Cookies, Cookie:***@www.burstnet.com/, 7-1698
Tracking Cookies - Entfernt, Cookies, Cookie:***@tribalfusion.com/, 7-8
180 Solutions.nCase - unter Quarantäne gestellt, File, C:\WINDOWS\SoftwareDistribution\Download\c268348752498f57ff1128ae6a23c4f1\wgatray.exe, 9-56760


21.04 - Hitman Pro

siehe screenshot im Anhang


Das war's... DANKE schon jetzt!

Die Logs von den beiden Scans poste ich sobald sie fertig sind.

Post Du noch das OTL Log?

So, hier das aktuelle Anti-Malware-Log. Sieht ja schonmal nicht so schlecht aus...

OTL-Log kommt später am Abend.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.04.2010 19:02:09
mbam-log-2010-04-30 (19-02-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 269855
Laufzeit: 1 Stunde(n), 57 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier dann doch schon die OTL-Logs:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Außerdem musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2010.04.29 11:59:00 | 000,096,704 | ---- | M] () -- C:\WINDOWS\System32\d248596c.exe
[2010.04.29 11:58:28 | 000,050,994 | ---- | M] () -- C:\WINDOWS\System32\sfqmhigpwfyyhivfy.exe
[2010.04.27 14:00:36 | 000,381,952 | ---- | M] () -- C:\WINDOWS\System32\jxufwpfetnryeysi.dll.vir
[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\UJ0QRjYY
[2010.04.26 12:43:33 | 000,012,468 | -HS- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UJ0QRjYY
[2010.04.26 12:12:04 | 000,075,056 | ---- | M] () -- D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

gesagt getan. Allerdings kam während des Fix die Nachricht, dass das System herunterfährt weil ein DCOM-Server Prozessstart unerwartet beendet wurde. Beim Runterfahren hing er sich auf. Nach Reset fing mein Antivir an zu piepen: TR/Crypt.ZPACK.Gen in hpcmpmgr.exe.
Habe dann das Script in OTL ausgeführt, Log anbei.

Was nun?

Ok. Dann mach mal nen Durchgang mit CF bitte:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin.
CCleaner hab ich durchlaufen lassen.
Combofix habe ich gestartet. Nach Feststellung von Rootkitaktivitäten wurde das System neu gestartet und hängt dort nun seit einiger Zeit. Combofix zeigt blaues Fenster mit dem Text "Combofix wird vorbereitet, um ausgeführt zu werden". Ab und zu (etwa alle 5 Minuten) kommt der Windows-Startbildschirm, an dem ich Nutzer auswählen kann. Dann bliebt es wieder beim Combofix fenster.
Ist das normal?

Habe Combofix nun fertiggestellt. Logfile anbei. Leider funkte mir immer wieder mein AntiVirGuard dazwischen, der mir auch nach Beendigung von ComFix immer noch TR/Crypt.ZPACK.Gen meldet.
Danke für Eure weitere Hilfe!

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe
d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat
c:\windows\Fonts\0FRBaD.com
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Schön, dass Du wieder da bist ;-)

Hier das Logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\Fonts\0FRBaD.com" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\wSRbTt0y.exe" deleted successfully.
File "d:\dokumente und einstellungen\All Users\Anwendungsdaten\LInVEmqDD.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




Die backup-Datei aus Deinem Schritt 8 habe ich nicht... Lediglich eine 0FRBaD.exe, die ebenfalls den bekannten AntiVir-Fund aufweist.