Hallo Trojaner-Board,

bei allen allgemeinen Anwendungen läuft mein Computer schnell und ohne Störungen – nur mein Norton macht mir das Leben schwer.
In den letzten beiden (aktiven) Tagen hat er jeweils die Bedrohung Bloodhound.MalPE gemeldet.

11.2.: Datei: c:\system volume information\_restore{08a5f15b-d5f0-d5f0-4d17-893d-8b358608dcf6}\rp1539\a0163393.dll
14.2.: Datei: c:\system volume information\_restore{08a5f15b-d5f0-d5f0-4d17-893d-8b358608dcf6}\rp1540\a0163431.exe

Laut Norton wurden diese Dateien jeweils isoliert – es ist kein weiteres Eingreifen erforderlich... Trotzdem finde ich es seltsam, dass so kurz hintereinander die gleiche Bedrohung gemeldet wird. Ist dieser Bloodhound nun weg, oder versteckt der sich noch irgendwo?

Zumal mein Norton seit kurzem eh seltsam ist, sich ab und an abschaltet, weshalb ich vor kurzem Antivir zusätzlich installiert habe. (Antivir hat ebenfalls ordentlich den Befall gemeldet – dort heiß er Trash.Gen). Sollte dies eine ungute Idee gewesen sein, kann ich dieses zusätzliche Virenprogramm aber auch gerne sofort wieder deinstallieren.

Malewarebytes habe ich bereits mehrmals über den Rechner laufen lassen. Beim ersten Mal wurde Malware gefunden und entfernt, danach waren alle Scans ohne Fund. Ein Komplett-Scan hat lediglich den Smart-Surfer als Maleware in Quarantäne verschoben.
Die Quickscan-Ergebnisse vom 10.2. und 14.2. habe ich unten angehängt, ebenso die beiden aktuellen OTL Dateien.

Für einen fachkundigen Rat wäre ich sehr dankbar !

Gruß
Markus

avira oder norton runter bitte.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Erstmal herzlichen Dank, dass Du Dich meiner annimmst!

Antivir habe ich über die Systemsteuerung entfernt - ich hoffe, das war ausreichend.

OTL habe ich nochmal scannen lassen.
Beide Ergebnisse als zip im Anhang.

sieht gut aus, will aber noch was prüfen.
1. sagst du ja, dein norton spinnt manchmal. hast du die lizenzdaten zur hand? ich würde dann gern mal folgendes probieren.
lad dir die neueste version von der homepage.
deinstaliere norto, neustart.
nutze den norton remover:
Download und Ausführung des Norton-Entfernungsprogramms
neustart
instaliere norton.
2.
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Nachdem der Norton angefangen hatte zu spinnen, habe ich ihn bereits einmal entfernt und dann neu über die Symantec Seite geladen - ohne Verbesserung. Dies war allerdings vor der Entdeckung von Malewarebites. Daher kann ich es gerne nochmal versuchen.

Momentan habe ich Norton Internet Security 2011 - meine ursprünglicher 2010 Version wurde automatisch upgedatet.
Wenn ich die von Dir empfohlene Reihenfolge beachte - erst runterladen, dann entfernen, so bietet mir Symantec nun wieder die 2010 Version an.
Soll ich die trotzdem nehmen - und anschließend auf den Update warten?

Und noch eine Frage: was ist das für eine seltsame Meldung in der OTL Extras Datei, dass die automatischen Live-Updates nicht gestartet werden? Ist das auch der Norton (hier kommt nämlich nie eine Fehlermeldung) oder sind das die Windows Updates die blockiert werden?

ja das mit den updates sieht nach norton überrest aus, deswegen möchte ich ne saubere neu instalation versuchen.
ok dann deinstaliere mal zuerst und dann lad runter bitte.

Norton über Removal Tool entfernt - nach dem Neustart wurde ich direkt auf die Symatec-Internet-Seite geleitet und habe dort Norton Internet Security 2011 runtergeladen.
Seltsamer Weise mußte ich keine Registrierungsnummer eingeben, das Programm wußte alles von alleine...
Nur leider besteht der Norton-Fehler weiterhin: erst führt Norton Aufgaben im Hintergrund zu - dann schaltet er sich ab. Nach Neustart des Computers ist er wieder da.
Norton 2010 habe ich mittlerweile auch runtergeladen - aber natürlich nicht installiert. Ich könnte also nochmal entfernen und versuchen die runtergeladene Datei zu installieren, statt direkt übers Internet zu gehen.


Jedenfalls ist hier erstmal die Liste aus dem CCleaner:


7-Zip 9.11 beta notwendig
924PLC32 Dell 1.0.0 unbekannt
ABBYY FineReader6.0 SprintABBYY Software House6.00.1395.41612 unbekannt
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 10.2.152.26 notwendig
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.85.3 notwendig
Adobe Reader 9 - Deutsch Adobe Systems Incorporated 9.0.0 notwendig
Adobe Shockwave Player Adobe Systems, Inc. 11 notwendig
Amazon MP3-Downloader 1.0.9 notwendig
ANNO 1404 Ubisoft 1.02.0000 notwendig
ANNO 1404 - Venedig Ubisoft 2.0.5008.0 notwendig
Apple Application Support Apple Inc. 1.4.1 notwendig
Apple Mobile Device Support Apple Inc. 3.3.0.69 notwendig
Apple Software Update Apple Inc. 2.1.1.116 notwendig
ARTEuro Dell 1.00.0000 unbekannt
ATI - Dienstprogramm zur Deinstallation der Software 6.14.10.1022 notwendig
ATI Catalyst Control Center 2.009.0721.1106 notwendig
ATI Display Driver 8.593.100.2-090721a-085695C-ATI notwendig
ATI Systemsteuerung 6.14.10.5160 notwendig
AtlantisQuest Ihr Firmenname 1.00.0000 notwendig
Audible Download Manager Audible, Inc. 6.6.0.12 notwendig
AVM FRITZ! notwendig
Azteca Media Contact LLC 1.0 notwendig
Black Mirror SE Digital Tainment Pool notwendig
Bonjour Apple Inc. 2.0.3.0 unbekannt
CAESAR IV Tilted Mill Entertainment 1.2 notwendig
capella reader 6.0 capella software GmbH 6.0.11.0 unnötig
CCleaner Piriform 3.03 notwendig
Citybuilders - C4 - Lambadia 1.0.0 1.0.0 unnötig
Citybuilders - C4 - Riva Lutetia 1.0.0 1.0.0 unnötig
CSXML Editor 1.2 1.2.1 1.2.1 unbekannt
Dell CinePlayer Dell 3.0 unbekannt
Dell Driver Reset Tool Dell Inc. 1.02.0000 notwendig
Dell Photo AIO Printer 924 unbekannt
Dell System Restore Ihr Firmenname 2.00.0000 notwendig
DER ERSTE KAISER: Aufstieg des Reichs der Mitte notwendig
dm Fotowelt notwendig
Dracula 3 Microids notwendig
Eldorado Purplehills 1.00.0000 notwendig
ElsterFormular Landesfinanzdirektion Thüringen 11.5.1.4843 unbekannt
ElsterFormular 2005/2006 Steuerverwaltung des Bundes und der Länder 7.1.0.1 unnötig
ElsterFormular 2006/2007 Steuerverwaltung des Bundes und der Länder 8.1.0.0 unnötig
ElsterFormular 2007/2008 Steuerverwaltung des Bundes und der Länder 9.3.0.0 unnötig
ElsterFormular 2008/2009 Steuerverwaltung des Bundes und der Länder 10.2.1.0 notwendig
Firebird SQL Server - MAGIX Edition (D) MAGIX AG 2.0.0.1 unbekannt
Free M4a to MP3 Converter 6.2 ManiacTools.com notwendig
Geheimakte Tunguska Deep Silver 1.03.02 notwendig
getPlus(R) for Adobe NOS Microsystems Ltd. 1.5.2.29 unbekannt
Google Toolbar for Internet Explorer Google Inc. unnötig
High Definition Audio Driver Package - KB835221 Microsoft Corporation 20040219.000000 unbekannt
hp LaserJet 1000 notwendig
Intel(R) PRO Network Connections Drivers unbekannt
Intel(R) PROSet for Wired Connections Dell 9.20.0000 unbekannt
iTunes Apple Inc. 10.1.1.4 notwendig
Java 2 Runtime Environment, SE v1.4.2_03 Sun Microsystems, Inc. 1.4.2_03 unbekannt
Java(TM) 6 Update 13 Sun Microsystems, Inc. 6.0.130 unbekannt
Jewel Master - Cradle Of Rome cerasus.media GmbH notwendig
Lexmark 2300 Series notwendig
Macrogaming SweetIM 2.1 Macrogaming LTD. 2.1.0025 unbekannt
MAGIX Foto Manager 2007 (D) MAGIX AG 4.0.0.109 notwendig
MAGIX Fotos auf CD & DVD 6 (D) MAGIX AG 6.0.0.25 notwendig
MAGIX Goya burnR (D) MAGIX AG 1.3.0.7 notwendig
MAGIX Music Manager 2006 (D) MAGIX AG 7.2.0.133 unnötig
MAGIX Online Druck Service (D) MAGIX AG 2.3.2.0 unnötig
Mahjongg - Ancient Mayas cerasus.media GmbH notwendig
Malwarebytes' Anti-Malware Malwarebytes Corporation notwendig
Microsoft .NET Framework 1.1 unbekannt
Microsoft .NET Framework 1.1 German Language Pack Microsoft 1.1.4322 unbekannt
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729 notwendig
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729 notwendig
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation unbekannt
Microsoft Office Home and Student 2007 Microsoft Corporation 12.0.6425.1000 notwendig
Microsoft Silverlight Microsoft Corporation 4.0.51204.0 unbekannt
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 8.0.50727.4053
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 9.0.30729 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 unbekannt
Microsoft Word 2000 SR-1 Microsoft Corporation 9.00.3821 notwendig
Microsoft Works 7.0 Microsoft Corporation 07.02.0702 notwendig
Microsoft Zoo Tycoon notwendig
Miniwettbewerb - C4 - Abu Dejum 1.0.0 1.0.0 unnötig
Miniwettbewerb - C4 - Clesssennfeltum 1.1.0 1.1.0 unnötig
Miniwettbewerb - C4 - Lofelia 1.0.0 1.0.0 unnötig
Miniwettbewerb - C4 - Ornium Imperator 1.0.0 1.0.0 unnötig
Miniwettbewerb - C4 - Patria 1.0.0 1.0.0 unnötig
Miniwettbewerb - C4 - Salamanca 1.0.0 1.0.0 unnötig
Miniwettbewerb - C4 - Veganum 1.0.0 1.0.0 unnötig
MobileMe Control Panel Apple Inc. 3.1.5.0 unbekannt
Move Media Player Move Networks unbekannt
Mozilla Firefox (3.6.13) Mozilla 3.6.13 (de) notwendig
MSXML 4.0 SP2 (KB927978) Microsoft Corporation 4.20.9841.0 notwendig
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0 notwendig
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0 notwendig
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0 notwendig
MSXML 6 Service Pack 2 (KB973686) Microsoft Corporation 6.20.2003.0 notwendig
My Way Search Assistant MyWay 1.0.1 unbekannt
MySQL Connector/ODBC 3.51 MySQL AB 3.51.12 unbekannt
Myst IV - Revelation notwendig 1
Myst Masterpiece Edition notwendig
Norton Internet Security Symantec Corporation 18.5.0.125 notwendigNotepad++
Quicken 2004 Lexware 11.00.0000 notwendigQuickTime Apple Inc. 7.69.80.9 notwendig
RealPlayer RealNetworks unbekannt
Rechenmeister3 3.5 Heike Diehsner 3.5 notwendig
Roxio DLA Roxio 5.2.0 unbekannt
Roxio MyDVD LE Roxio 6.1.6 unbekannt
Roxio RecordNow Audio Roxio 2.0.4 unbekannt
Roxio RecordNow Copy Roxio 2.0.4 unbekannt
Roxio RecordNow Data Roxio 2.0.4 unbekannt
Safari Apple Inc. 5.33.19.4 notwendig
Schatz der Azteken notwendig
softonic-de3 Toolbar softonic-de3 5.7.1.1 unbekannt
Sonic Update Manager Sonic Solutions 3.0.0 unbekannt
SweetIM For Internet Explorer 3.0b Macrogaming LTD. 3.00.0022 unbekannt
Symantec Technical Support Web Controls Symantec Corporation 3.5.3 notwendig
Teachmaster 4.3 (nur Entfernen) notwendig
TomTom HOME 2.7.2.1825 TomTom 2.7.2.1825 notwendig
TomTom HOME Visual Studio Merge Modules TomTom International B.V. 1.0.2 notwendig
Ulead Photo Explorer 8.0 SE Basic Ulead Systems, Inc. 8.0 notwendig
Ulead Photo Express 5 SE Ulead Systems 5.0 notwendig
VoiceOver Kit Apple Inc. 1.40.128.0 unbekannt
WEB.DE IE7 Browser Update WEB.DE notwendig
WEB.DE SmartSurfer AutoUpdate 4.1.0.3 unnötig
Windows Installer 3.1 (KB893803) Microsoft Corporation unbekannt
Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 notwendig
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514notwendig

hast du das removal tool genutzt?
hört sich nicht so an.
versuchs noch mal falls ich recht hab.

Für die Entfernung des Norton habe ich das offizielle Removal-Tool und die Anleitung von dieser Seite verwendet:

hxxp://de.norton.com/support/kb/web_view.jsp?wv_type=public_web&docurl=20100831035530DE&ln=de_DE


Lediglich Antivir habe ich über die Systemsteuerung entfernt.

Allerdings habe ich nicht das Removal-Tool auf das Dein Link hinweist verwendet, da dieses angeblich nur für Versionen 2008 und älter gedacht ist. War das der Fehler?

ich kann die url gar nicht aufrufen, ist da auch nen removal tool gelistet? falls nicht nimm einfach das von meinem link, eig sollte es immer das aktuellste geben

Das die Adresse so wie sie da steht nicht aufrufbar ist, liegt daran, dass aus mir schleierhaften Gründen der Anfang http in hxxp umgewandelt wurde (ich hatte angenommen, das wäre Absicht des Trojaner-Forums...)
Ändert man die beiden x in t und kopiert die Zeile in das Adressfeld, läßt sich die Seite aufrufen.

Ich habe das andere Tool runtergeladen und beide miteinander verglichen: es handelt sich um die identische Datei (Version 2011.0.0.15).
An einer fehlerhaften Deinstallation kann es also nicht liegen - zumindest finde ich kein offizielles Tool, das besser arbeitet.

Bleibt die Frage, ob eine Neuinstallation über die gekaufte CD bzw. die runtergeladen Version 2010 der Installation der 2011 Version übers Internet vorzuziehen ist.

Kannst Du mit der CCleaner Liste was anfangen?
Zumindest der MY Way Search Assistent erscheint mir recht suspekt, da er für die Funde bei Malewarebites mit verantwortlich war. Kann ich den löschen?

das ist mir klar und hatte ich gemacht.
eig solltest du die neuste version nehmen. also von der homepage..
deinstaliere
3DMark06


Adobe Reader 9
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Bonjour
capella reader
Citybuilders beide
Dell CinePlayer
Dell Photo
ElsterFormular alle unnötigen bzw das unbekannte auch
Firebird SQL Server
Google Toolbar
beide java versionen, neuestes drauf:
Java SE Downloads
deinstaliere
Macrogaming
Miniwettbewerb alle

Move Media Player
My Way Search Assistant
MySQL Connector/
RealPlayer
Roxio alle
softonic
SweetIM
VoiceOver
WEB.DE auf das solltest du verzichten und lieber die origina browser nutzen, beide also weg.
berienige mit dem CCleaner dateien + registry.
versuche norton vllt noch mal zu deinstalieren und zu instalieren.

Hallo Markusg,

es hat ein wenig gedauert, bis ich alles abgearbeitet habe...

Adobe und Java habe ich deinstalliert und die neuesten Versionen installiert.
Alle anderen von Dir empfohlenen Programme habe ich gelöscht, außer:

3DMark06 - konnte ich beim besten Willen nicht finden
Move Media Player - brauche ich vermutlich doch

capella reader
SweetIM - diese beiden lassen sich über die Systemsteuerung nicht entfernen. Weißt Du vielleicht einen anderen Weg?

CCleaner ist gelaufen und hat jede Menge unnützes Zeug entfernt - vielen Dank für diese sehr hilfreiche Anleitung.
Lediglich die Registry habe ich nicht angetastet, da davon in Eurer Anleitung dringend abgeraten wird.

Soweit - sogut. Mal sehen, ob der Norton ob dieser vielen Verbesserungen sich zu einem völlständigen Systemscan überreden läßt...

Jedenfalls schon mal vielen Dank für Deine Unterstützung!

Gruß
Markus

versuchs mal mit revo:
http://www.hijackthis-forum.de/tipps...installer.html
damit kannst den schmarn sicher deinstalieren.

Habe den Revo Uninstaller installiert und am capella reader ausprobiert - Revo Uninstaller meldet 53 Registry Einträge der er gerne löschen möchte...

Da habe ich lieber abgebrochen...

Kann ich das wirklich gefahrlos ausführen - oder laufe ich Gefahr dabei einen hirnamputierten Computer zu erhalten?
Die fettgedruckten Löschkandidaten sind allesamt nur Zahlenkombinationen in verschiedenen Ordnern - sagt mir leider gar nichts.

... beim Löschversuch von SwettIM werden 109 Registry Einträge gemeldet - ist das normal? Oder lösche ich da alles mögliche andere auch mit. Vielleicht die Windows uninstall Leichen die sich in großer Zahl im C:Windows Ordner finden? Die sind im Explorer alle blau gedruckt und beginnen alle mit $NtUninstallKB88....