Hallo,
zu allererst, ich bin Laie.

Beim surfen bekam ich plötzlich diverse Fehlermeldungen und das "Tool" namens "Memory Optimizer" erschien auf dem Desktop und öffnete sich als Programm. Die Symptome und das Layout sind identisch wie im Thema zur "My Disk" Malware.

Ich habe dann erst mit Avira Antivirus versucht zu scannen und der verschob 2 Dateien in Quarantäne (Java/Agent.FK und Wb7u31OSX.exe)

Dann stieß ich per Suchmaschiene auf dieses Forum und habe den Schritten zur Entfernung von My Disk (wegen der Parallelen zu meinem Problem) so weit es ging Folge geleistet.

Zuerst also rkill -> log dazu im Anhang
Dann mit Antimalwarebytes ausführlich gescannt, fand 6 Objekte und der "entfernen"-button verschob diese wohl auch in Quarantäne -> log auch im Anhang
Nach dem Neustart nochmal Quick-Scan gemacht und ergab keine weiteren Treffer.

Da auf dem Desktop immer noch das Symbol von Memory Optimizer war (allerdings als nicht-mehr-zu-öffnende-datei) habe ich nochmal Antimalwarebytes geöffnet und die 6 Quarantänedateien per Löschen-Button gelöscht. Das hat an der Sache aber nichts geändert, also hab ich das desktopsymbol einfach manuell gelöscht.
Ich hoffe ich hab mit diesen letzten aktionen jetzt nichts gravierend falsches getan ?!

Gut, nun habe ich OTL geladen und den Scan ausgeführt. In euren Anleitungen steht, er soll 2 log dateien ausspucken, bei mir kam nur eine. Diese ist nun auch im Anhang.

Ich würde jetzt gerne Wissen, wie ich weiter vorgehen soll bzw. ob ihr daran erkennen könnt, ob immernoch Dateien befallen/beschädigt oder sonst eine Gefährdung noch besteht.

Vielen Dank im voraus

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
Poste auch alle Logs von AntiVir.

Hallo,

im Anhang:

- der Avira log vor der ganzen rkill & Malwarebytes Aktion, wo es bereits einige Dateien gefunden hatte

- der Quickscan von Malwarebytes nach der Löschaktion, wo er keine Funde mehr anzeigt


Hoffe das hilft weiter

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{0cd6c0d1-853d-11df-8b20-406186ca613d}\Shell - "" = AutoRun
O33 - MountPoints2\{0cd6c0d1-853d-11df-8b20-406186ca613d}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{ee9bfa1c-9359-11df-94d2-406186ca613d}\Shell - "" = AutoRun
O33 - MountPoints2\{ee9bfa1c-9359-11df-94d2-406186ca613d}\Shell\AutoRun\command - "" = E:\Setup.exe
[2011.01.17 21:57:06 | 000,000,536 | ---- | M] () -- C:\ProgramData\Wb7u31OSX
[2011.01.17 21:47:23 | 000,000,272 | ---- | M] () -- C:\ProgramData\~Wb7u31OSX
[2011.01.17 21:47:23 | 000,000,152 | ---- | M] () -- C:\ProgramData\~Wb7u31OSXr
:Files
c:\programdata\urifhpdjxdolgxi.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Habe den Fix mit OTL so ausgeführt wie beschrieben. Er verlangte einen Neustart, ich bestätigte. Dann kam die Meldung explorer.exe schließe sich nicht und verhindere den Neustart. Ob ich den Neustart erwzingen möchte. Ich bestätigte, dann allerdings hing er im Herunterfahren-Bildschirm. Nach gefühlten 10 Minuten habe ich per Reset Knopf neugestartet.
Hat das etwas zu bedeuten?

Log File von OTL öffnete sich nach dem Neustart und ist im Anhang

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok
CCleaner ausgeführt wie beschrieben und Combofix ausgeführt wie beschrieben

Log Datei im Anhang

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hier die 2 Logs

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Und mal so als Tipp: Man kann auch mehrere Logs in eine ZIP-Datei packen!

Vollst. Malwarebytes Scan ergab keine weiteren Treffer.
Ist das dann noch nötig, das andere Tool zu benutzen?

Generelle Frage: Bleibt Malwarebytes besser auf dem PC oder soll ich die ganzen Sachen wieder deinstallieren?

Vielen vielen Dank an dieser Stelle schonmal für die schnelle und nette Hilfe



Hier der Log


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5546

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.01.2011 17:19:35
mbam-log-2011-01-18 (17-19-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 317978
Laufzeit: 30 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ja SUPERAntiSpyware bitte auch ausführen. Dann sehen wir weiter.

Hallo,
Scan mit SUPERAntiSpyware ergab wieder Treffer und zwar folgendes.


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/19/2011 at 05:20 PM

Application Version : 4.48.1000

Core Rules Database Version : 6232
Trace Rules Database Version: 4044

Scan type : Complete Scan
Total Scan Time : 01:07:19

Memory items scanned : 611
Memory threats detected : 0
Registry items scanned : 13991
Registry threats detected : 0
File items scanned : 167956
File threats detected : 7

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.creative-serving[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[3].txt

Trojan.Dropper/Storm
C:\WINDOWS\SYSTEM32\FSVK.EXE.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ONE.DE REMOTE SUPPORT.LNK

Zwei Überreste und Cookies.
Noch probleme oder weitere Funde oder Rechner wieder ok?

Hi,
habe nun noch einmal gescannt und bekam folgendes.
Die Cookies stellen ja keine Bedrohung da oder?


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/21/2011 at 04:52 PM

Application Version : 4.48.1000

Core Rules Database Version : 6239
Trace Rules Database Version: 4051

Scan type : Complete Scan
Total Scan Time : 01:26:20

Memory items scanned : 565
Memory threats detected : 0
Registry items scanned : 14000
Registry threats detected : 0
File items scanned : 168047
File threats detected : 6

Adware.Tracking Cookie
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[2].txt
C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[3].txt
www.naiadsystems.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\7AFB89K4 ]