Hallo Community Undzwar habe ich mir eben für Msn das Plug in Msn discovery installiert und seit dem ich es hab,macht Mircosoft Security Alert immer einen aufstand und sagt das mein Msn verseucht wäre.Ich hab danach dieses sogenannte Programm Msn disocvery deinstalliert und mein Pc neugestartet.
Und nun sagt mit Mircosoft security Alert zu jedem Programm was ich starten will das es ein Virus sei.Ich konnte Firefox eben nur öffnen indem ich es als Admin gestartet hab.

Hier meine Logfile´s villt ist ja auch wirklich was drann.Weil Avira Anti virus meldet sich nicht.
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:23, on 22.09.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Users\KinG-SeKo\AppData\Roaming\hotfix.exe
C:\Windows\explorer.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Users\KinG-SeKo\AppData\Local\temp\Glg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Emsisoft Anti-Malware\a2wizard.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\KING-S~1\AppData\Local\Temp\Glh.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\Emsisoft Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Metropolis] rundll32.exe C:\Users\KING-S~1\AppData\Local\Temp\sshnas21.dll,GetHandle
O4 - HKCU\..\Run: [SMH2B46TDP] C:\Users\KING-S~1\AppData\Local\Temp\Glg.exe
O4 - HKCU\..\Run: [3FWHZQA3LT] C:\Users\KING-S~1\AppData\Local\Temp\Glh.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h..p://w.w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device -   - C:\Windows\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 5978 bytes
         

--- --- ---
Mfg


EDIT: Ich habe folgenden Beitrag gefunden

http://www.trojaner-board.de/89781-m...entfernen.html

Hab die Anleitung befolgt.Ssieht so aus als wäre alles im Grünen bereich.Ich scanne nochmal mit A squared zur Sicherheit.Trotzdem Danke das ich euch das Angeschaut habt .

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ich wollte die Datein anhängen ,aber mein Firefox ist immer abgekratzt , als ich den Hochladen knopf gedrückt hab.



Danke für eure Mühe

EDIT:Hat doch geklappt hab Anti mawarebytes + die Otl datei + die Extra datei in einem .txt gemacht und hab es hochgeladen und es hat geklappt.

Hast Du davor schon Durchgänge mit Malwarebytes gemacht?

Ja,mehrmals mit mit Malwarebytes der hat auch einige Dinge gefunden.
Hat sie aber gelöscht,nachdem Neustart kamen sie wieder

dann habe ich einen Vollscan ausgeführt und diesen Logfile hier hin gepostet.

Aber ich füge hier mal den ersten Log durch den ich mit Malwarebytes durchgeführt hab.

00:08:48 ... DETECTION C:\Users\...\AppData\Local\temp\0.9687907700679728.exe Trojan.Dropper QUARANTINE
00:08:48 ... DETECTION C:\Users\...\AppData\Local\temp\0.9478339895786649.exe Trojan.Dropper QUARANTINE
12:31:32 .. MESSAGE Protection started successfully
20:54:52 ... MESSAGE Protection started successfully


Die ... ersetzen nur meinen Benutzernamen .

Mfg

Dann musst Du logischerweise auch alle Logs posten und nicht nur das wo nichts mehr gefunden wurde!

Das ist ja das Logfile,wo was gefunden wurde bei den anderen Scans wurde nix mehr gefunden, also wäre es unsinnig die auch zu Posten oder? Wenn nix gefunden wurde? Aber wenn sie das möchten mache ich das trotzdem.Ich habe ausserdem noch die Logfiles von a squared ,wenn das weiter helfen sollte.

Mfg

Hat malwarebytes nun etwas gefunden? Ja oder nein? Oder hast Du das Programm mit einem anderen verwechselt? Im allersten Log von Dir hat Malwarebytes nichts (mehr) angezeigt, da es aber fast immer was findet, frage ich auch immer nach, ob davor schon Scans mit Malwarebytes gemacht wurden. Dann krieg ich von Dir diese Antwort:

Zitat:

Ja,mehrmals mit mit Malwarebytes der hat auch einige Dinge gefunden.

Ich weise darauf hin, dass Du dann auch alle Logs von Malwarebytes posten muss, dann bekomm ich von Dir diese Antwort:

Zitat:

Das ist ja das Logfile,wo was gefunden wurde bei den anderen Scans wurde nix mehr gefunden

und als Log bekomm ich nur was von A-Squared.

Bekommst Du da jetzt sämtliche Programmnamen durcheinander oder was ist da los?

OHh Cosinus,

tatsächlich habe ich es verwechselt

Es tut mir wirklich leid. Das war richtig von mir

Hier alle von Malwarebytes

Und nocheinmal sorry ,wegen der Sache

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..network.proxy.backup.ftp: "217.17.241.245"
FF - prefs.js..network.proxy.backup.ftp_port: 80
FF - prefs.js..network.proxy.backup.gopher: "217.17.241.245"
FF - prefs.js..network.proxy.backup.gopher_port: 80
FF - prefs.js..network.proxy.backup.socks: "217.17.241.245"
FF - prefs.js..network.proxy.backup.socks_port: 80
FF - prefs.js..network.proxy.backup.ssl: "217.17.241.245"
FF - prefs.js..network.proxy.backup.ssl_port: 80
FF - prefs.js..network.proxy.ftp: "221.12.147.80"
FF - prefs.js..network.proxy.ftp_port: 808
FF - prefs.js..network.proxy.gopher: "221.12.147.80"
FF - prefs.js..network.proxy.gopher_port: 808
FF - prefs.js..network.proxy.http: "221.12.147.80"
FF - prefs.js..network.proxy.http_port: 808
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 221.12.147.80"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "221.12.147.80"
FF - prefs.js..network.proxy.socks_port: 808
FF - prefs.js..network.proxy.ssl: "221.12.147.80"
FF - prefs.js..network.proxy.ssl_port: 808
O33 - MountPoints2\{e8d4ab17-d36b-11de-9c20-0014850dfa5c}\Shell - "" = AutoRun
O33 - MountPoints2\{e8d4ab17-d36b-11de-9c20-0014850dfa5c}\Shell\AutoRun\command - "" = H:\autorun.exe -- File not found
O33 - MountPoints2\{e8d4ab17-d36b-11de-9c20-0014850dfa5c}\Shell\setup\command - "" = H:\setup.exe -- File not found
[2010.09.24 22:40:04 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Roaming\UAs
[2010.09.24 22:38:28 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Local\{5DF53AE0-2043-454A-92DF-F44069951D0D}
[2010.09.24 22:36:37 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Roaming\5005
[2010.09.24 22:36:24 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Roaming\xmldm
[2010.09.24 22:36:23 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Roaming\cock
[2010.09.22 12:48:13 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server
[2010.09.22 12:47:40 | 000,000,000 | ---D | C] -- C:\Users\\AppData\Roaming\F71FA3A1EAF94F33C841636AB9FAC37B
[2010.09.24 22:38:28 | 000,000,120 | ---- | M] () -- C:\Users\\AppData\Local\Nqikewuxiqe.dat
[2010.09.24 22:38:28 | 000,000,000 | ---- | M] () -- C:\Users\\AppData\Local\Ddune.bin
[2010.05.13 01:08:33 | 000,000,088 | RHS- | C] () -- C:\ProgramData\DC23F7E04C.sys
[2010.03.17 22:58:48 | 000,000,041 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010.09.24 22:36:37 | 000,000,000 | ---D | M] -- C:\Users\\AppData\Roaming\5005
[2010.09.24 22:36:23 | 000,000,000 | ---D | M] -- C:\Users\\AppData\Roaming\cock
[2010.07.25 17:15:38 | 000,000,000 | ---D | M] -- C:\Users\AppData\Roaming\Dedo
[2010.09.22 13:09:17 | 000,000,000 | ---D | M] -- C:\Users\\AppData\Roaming\F71FA3A1EAF94F33C841636AB9FAC37B
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:CB0AACC9
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Danke Cosinus...

Hab ich gemacht mein Rechner wollte dann auch Neustarten, was er auch getahn hat , aber nachdem Neustart hatte ich einen Bluescreen 2 mal.
Danach wurde ich gefragt , ob ich die Systemwiederherstellung nutzen will , was ich bejaht habe sozusagen.Er hat 20 min irgendwas gemacht ,aber das hat mir zu lange gedauert , dann habe ich es abbrechen wollen , aber das wollte mein rechner nicht .Dann habe ich es komplett aus gemacht und an und jetzt ist der gestartet als ob nix wäre Und Cosinus wie kriege ich denn das Logfile von Otl ,weiss nicht wie ich das kriege ?

Mfg

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Die Datei wurde empfangen stande jetzt da.

Mfg

Edit: Du hast die falsche Datei gezippt!!! Ich wollte den Ordner C:\_OTL und nicht die OTL.exe!! Die OTL.exe kann ich mir auch selbst runterladen, ohne dass Du es vorher hochlädst!

Ohhh auch das tut mir leid ,natürlich mein Fehler Ich lade jetzt das richtige hoch.

Combofix hat auch so ziemlich vieles gelöscht , aber kannst du dir ja selbst anschauen...

Und die Zip datei wurde empfangen.

Mfg