Hallo zusammen,

meine Neffen bekamen gestern beim surfen auf meinem PC plötzlich Warnmeldungen von AntiVir, daß angeblich die o.g. Malware gefunden wurde. Lt. AntiVir wurde verhindert, daß dieses Programm sich ausführen konnte. Die betroffenen Datein wurden in die Quarantäne geschoben und entfernt.

Ich habe anschliessend nochmals AntiVir, Anti-Malware, Ad-Aware und SUPERAntiSpyware laufen lassen, keine neuen Funde. Die Ergebnisse habe ich beigefügt, ebenso das Ergebnis des OTL-Laufes.

Könnte sich das bitte jemand ansehen und mir sagen, ob noch irgendwo eine mögliche Gefahrenquelle zu erkennen ist (um die Gefahrenquelle "Neffen" habe ich mich schon gekümmert... )?

Vielen Dank vorab!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Hallo,

ja da sind noch ein paar vorhanden aus den letzten Läufen. Habe diese dem Post hier beigefügt.

Mal eine Frage abseits des Geschehens: ich wollte Online Armor Free installieren und nach erfolgtem Scan die Firewall wieder deinstallieren. Die Option zum deinstallieren habe ich nicht gefunden, konnte lediglich die Firewall von Online Armor abschalten. Aber seitdem ich das Programm nutzte, ist mir andauernd das Betriebssystem abgestürzt (Win7 64 Home) mit der Fehlermeldung "Page Fault in Nonpaged Area". Nach der Deinstallation lief wieder alles normal.

Gibt es bekannte Probleme zwischen dem Win7-64 und Online Armor?

Zitat:

Gibt es bekannte Probleme zwischen dem Win7-64 und Online Armor?

Weiß ich nicht. Von PFW-Geschichten lass ich eh immer die Finger, mit der Windows-Firewall ist man besser dran.

Ne, die Windows-Firewall würde ich auch nicht abstellen. Bin nur über einen Beitrag aus diesem Forum auf das Programm aufmerksam geworden, da es neben der Firewall auch aktiv im Hintergrund prüft, ob sich Programme plötzlich anders verhalten und Keylogger aktiv sind - dachte das wäre ne super Ergänzung zu AntiVir.

Was installierst du dir eigentlich diese Toolbars?
Sind die gewollt oder passt du bei Programmsetups nicht auf, was diese noch alles mitinstallieren? Du solltest IMMER die benutzerdefinierte Variante bei Programmsetups wählen und etwaige Mitbringsel die sich v.a. in der Form von Toolbars äußern deaktivieren!!


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2007.07.05 03:00:44 | 000,000,000 | R--D | M] - E:\Autorun -- [ UDF ]
O32 - AutoRun File - [2007.06.11 05:25:04 | 000,263,744 | R--- | M] (Firaxis Games) - E:\autorun.exe -- [ UDF ]
O32 - AutoRun File - [2007.06.28 19:34:01 | 000,006,299 | R--- | M] () - E:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\Shell\AutoRun\command - "" = E:\autorun.exe -- [2007.06.11 05:25:04 | 000,263,744 | R--- | M] (Firaxis Games)
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hi,

welche Toolbars genau meintest Du? Die von Opera oder von Win7?

Ich habe das ganze über OTL laufen lassen, folgendes Ergebnis wurde nach Neustart angezeigt:

All processes killed
========== OTL ==========
File not found.
File move failed. E:\autorun.exe scheduled to be moved on reboot.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11160c7e-4fb6-11df-b14b-806e6f6e6963}\ not found.
File move failed. E:\autorun.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: MB
->Temp folder emptied: 7434009 bytes
->Temporary Internet Files folder emptied: 8566540 bytes
->Java cache emptied: 536 bytes
->Opera cache emptied: 11618238 bytes
->Flash cache emptied: 58380 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1739208 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 28,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01092011_204233

Files\Folders moved on Reboot...
File move failed. E:\autorun.exe scheduled to be moved on reboot.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
C:\Users\MB\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Google- und Yahoo-Toolbar. naja es gibt schlimmer Sorten und es gibt Rechner auf dem wesentlich mehr Toolbars drauf sind

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi,

danke für die Antwort, habe soweit alles ausgeführt, Ergebnis habe ich beigefügt. Auffällig war, daß mehrmals gemeldet wurde, daß das Programm PEV.cfxxe nicht mehr ordnungsgemäß ausgeführt werden könne - Meldung kam ein paar mal, später nicht mehr und ComboFix kam zum Ende mit Log-Datei.

Aber wegen der Toolbars: verstehen tue ich es nicht, ich nutze beim browsen nur Opera und da sehe ich keine? Oder sind das evtl. Überbleibsel als ich noch den IE8 benutzt hatte?

Danke für die Hilfe!

Zitat:

Aber wegen der Toolbars: verstehen tue ich es nicht, ich nutze beim browsen nur Opera und da sehe ich keine? Oder sind das evtl. Überbleibsel als ich noch den IE8 benutzt hatte?

Warum fixierst du dich da so auf Opera?! Toolbars kommen nachträglich ins System rein und sind so nötig wie ein Kropf! Die werden meist durch Unachtsamkeit installiert durch Setup von irgendwelcher Free- oder Shareware. Deswegen sollte man immer genau Acht geben, wenn man ein Setup ausführt und dort immer das benutzerdefinierte Setup wählen, wo Toolbar etc dransteht den Haken wegnehmen!

Die Toolbars deinstalliert man über den entsprechenden Eintrag in der Systemsteuerung, Programme und Funktionen (bzw. Software bei Windows XP)

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi,

ach sowas meintest Du. Ok, habe mit der Systemsteuerung einige Toolbars lokalisiert und geschreddert - wobei ich mich nicht erinnern kann, die gewollt installiert zu haben. Egal, werde da künftig aufpassen.

GMER hat leider nichts gebracht, aber das andere Programm lief erfolgreich und hat seine txt-Datei erstellt. Hab diese als Anhang beigefügt.

Schon mal danke für die ganze Mühe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi,

alles klar, habe ich eben gemacht, Logs sind in der Anlage.

Vielen Dank!

Keine Funde, Rechner wieder paletti?

Hi,

ja alles scheint völlig normal zu laufen - vielen Dank für die Hilfe!