Hallo Boardgemeinde!
Vorweg, ich bin nicht so Computerversiert daher habe ich auch ein neues Thema aufgemacht.
Sicherlich gibt es mein Problem schon öfter, aber ihr weißt ja ausdrücklich darauf hin, dass man nicht die Schritte anderer ausführen sollte wenn man keine Ahnung davon hat.

Mein Problem sieht so aus, dass meine Browser iexplorer und firefox bei googlesuchen auf falsche Seiten weiter leiten. Zudem sind das teilweise verseuchte Seiten und irgendetwas in Java versucht zu starten oder ich bekomm die Meldung seite kann nicht geladen werden.
Weiter beinhalten auch die Wörter einer Googlesuche falsche Buchstaben.

Bitte helft mir, ich muss mit dem PC arbeiten und flipp noch aus!

Was ich schon mal gemacht habe, ich hab das Programm Malwarebytes installiert und durchlaufen lassen. 27 Funde!!!

Hier die Log-Datei:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5718

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

9.2.2011 14:25:46
mbam-log-2011-02-09 (14-25-46).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 307592
Laufzeit: 9 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 2
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\4RBPZMXX4S (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wedozob (Trojan.Vundo) -> Value: wedozob -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\skhfushjflw (Trojan.SpyEyes) -> Delete on reboot.

Infizierte Dateien:
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.12459960647091628.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\skhfushjflw\skhfushjflw.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\config\systemprofile\anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.06544850273892222.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.19530603356664122.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.25013795425715135.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.7814940355952322.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.7868292881543703.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.8042639364986461.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.8353553438219138.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.8873914285870673.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\abpzlw.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\skhfushjflw\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.


Nach dem Durchlauf habe ich wie in der Anleitung beschrieben, alle Funde ausgewählt, gelöscht und den Rechner neu gestartet.

Halt aber leider nichts gebracht.

Jetzt war ich leider zu spät um mein Thema noch zu editieren.

Mir ist noch eingefallen, ich hab den PandaCloudAntivirus noch durchlaufen lassen.

Mein Standart Virus Programm ist das Microsoft Security Essentials.

Den Bericht von PandaCloudAntivirus seht ihr im Anhang. Bei Microsoft Security Essentials weis ich nicht wie ich einen Bericht oder Log-Datei sehen kann.

Gleich vorweg, Ihr werdet in diesem Bericht sehen, dass ich mir ein Programm zum umwandeln von Pdf-Dateien in dwg-Dateien inkl. Crack runtergeladen hab.

Diese Programm ist vollständig inkl. Crack von meinem PC gelöscht.

Ich möchte ja das mann mir hilft und ich keine Regeln verletze.

Nebenbei, hat eh nicht funktioniert.

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Cosinus, erstmal danke dass du mir hilfst!!!

Ich hab Malwarebytes aktualisiert, einen Vollscan gemacht (Log siehe unten), alle Funde entfernt und den PC neu gestartet.

Ältere Logs gibt es nicht. Nur den im Eröffnungsschreiben dieses Threads und jetzt diesen hier.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5735

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.2.2011 06:43:33
mbam-log-2011-02-11 (06-43-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 418532
Laufzeit: 1 Stunde(n), 26 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\skhfushjflw.exe (Trojan.SpyEyes) -> Value: skhfushjflw.exe -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\xxx\anwendungsdaten\Sun\Java\deployment\cache\6.0\1\59e9ac1-66a22cb1 (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\anwendungsdaten\Sun\Java\deployment\cache\6.0\1\59e9ac1-73765008 (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.12553773922699774.exe (Trojan.Zbot.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\jar_cache4798079410530303231.tmp (Trojan.Zbot.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\jar_cache2199946553876710992.tmp (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\xxx\lokale einstellungen\Temp\0.6380163799523471.exe (Trojan.Dropper) -> Quarantined and deleted successfully.



Log-files von OTL folgen noch.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo,

hier die Logfils von OTL im Anhang.

Zitat:

Diese Programm ist vollständig inkl. Crack von meinem PC gelöscht.

Danke für diese ehrliche Aussage. Da du auch gleich von dir aus das Teil gelöscht hast, gibt es noch weitere Hilfe.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2006.04.27 07:06:00 | 000,000,524 | ---- | M] () - V:\Autodesk-Registrierung  -Aktivierungen  AutoCAD  700-51219907.txt -- [ NTFS ]
O33 - MountPoints2\{90374762-d2d1-11de-bed7-0015f2c51af8}\Shell\AutoRun\command - "" = E:\Menu.exe
O33 - MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\Shell - "" = AutoRun
O33 - MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\Shell\AutoRun\command - "" = E:\loaderw.exe
O33 - MountPoints2\{f057742c-c454-11de-beca-0015f2c51af8}\Shell\AutoRun\command - "" = E:\Menu.exe
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D1B5B4F1
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hier die Log-File nach dem Fixen:

All processes killed
========== OTL ==========
V:\Autodesk-Registrierung -Aktivierungen AutoCAD 700-51219907.txt moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90374762-d2d1-11de-bed7-0015f2c51af8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{90374762-d2d1-11de-bed7-0015f2c51af8}\ not found.
File E:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d00d07a8-61d7-11dc-bc50-0015f2c51af8}\ not found.
File E:\loaderw.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f057742c-c454-11de-beca-0015f2c51af8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f057742c-c454-11de-beca-0015f2c51af8}\ not found.
File E:\Menu.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D1B5B4F1 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 16553192 bytes
->Temporary Internet Files folder emptied: 6926890 bytes
->Flash cache emptied: 348 bytes

User: Administrator.xxx
->Temp folder emptied: 399875 bytes
->Temporary Internet Files folder emptied: 1459303 bytes
->Flash cache emptied: 348 bytes

User: administrator.xxx.000
->Temp folder emptied: 1481 bytes
->Temporary Internet Files folder emptied: 1105800 bytes
->FireFox cache emptied: 5653819 bytes
->Flash cache emptied: 434 bytes

User: All Users

User: xxx
->Temp folder emptied: 1702 bytes
->Temporary Internet Files folder emptied: 82054 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 82054 bytes

User: xxx
->Temp folder emptied: 99357998 bytes
->Temporary Internet Files folder emptied: 737574 bytes
->FireFox cache emptied: 11047030 bytes
->Flash cache emptied: 604 bytes

User: xxx
->Temp folder emptied: 40408865 bytes
->Temporary Internet Files folder emptied: 88448392 bytes
->Flash cache emptied: 642 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 3445761 bytes

User: NetworkService
->Temp folder emptied: 1512596 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: pc2
->Temp folder emptied: 839875 bytes
->Temporary Internet Files folder emptied: 11452751 bytes
->Java cache emptied: 510113 bytes
->Flash cache emptied: 405 bytes

User: xxx
->Temp folder emptied: 678919908 bytes
->Temporary Internet Files folder emptied: 236999401 bytes
->Java cache emptied: 2032214 bytes
->FireFox cache emptied: 83283914 bytes
->Flash cache emptied: 6790 bytes

User: xxx
->Temp folder emptied: 2539361110 bytes
->Temporary Internet Files folder emptied: 326466906 bytes
->Java cache emptied: 7479472 bytes
->FireFox cache emptied: 117048333 bytes
->Flash cache emptied: 66664 bytes

User: xxx

User: xxx
->Temp folder emptied: 5402402 bytes
->Temporary Internet Files folder emptied: 6380146 bytes
->Flash cache emptied: 562 bytes

User: sekretariat
->Temp folder emptied: 62070776 bytes
->Temporary Internet Files folder emptied: 138468249 bytes
->Java cache emptied: 1181867 bytes
->FireFox cache emptied: 88443046 bytes
->Flash cache emptied: 733 bytes

User: xxx
->Temp folder emptied: 213725870 bytes
->Temporary Internet Files folder emptied: 14755336 bytes
->Java cache emptied: 835825 bytes
->Flash cache emptied: 6313 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 93025146 bytes
RecycleBin emptied: 15901474 bytes

Total Files Cleaned = 4.696,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02152011_074925

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_7e0.dat not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Sorry, jetzt muss ich mal kurz nachfragen bevor ich was falsch mach.

Also erst den CCleaner downloaden und ausführen und danach combofix.

Hab ich das so richtig verstanden?

Grüße

Ja so ist richtig.