1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://eu.ask.com?o=15780&l=dis
[2010.09.28 23:39:14 | 000,002,333 | ---- | M] () -- C:\Users\Timo\AppData\Roaming\Mozilla\Firefox\Profiles\ob9h2uln.default\searchplugins\askcom.xml
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [1999.08.31 05:52:00 | 000,598,016 | R--- | M] (MAX DESIGN) - F:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1999.08.31 05:52:00 | 000,000,766 | R--- | M] () - F:\Autorun.ico -- [ CDFS ]
O32 - AutoRun File - [2001.09.06 01:04:00 | 000,000,283 | R--- | M] () - F:\Autorun.inf -- [ CDFS ]
O33 - MountPoints2\{085f78fb-6b57-11e0-9495-001dba24bb8b}\Shell - "" = AutoRun
O33 - MountPoints2\{085f78fb-6b57-11e0-9495-001dba24bb8b}\Shell\AutoRun\command - "" = G:\Startme.exe
O33 - MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\Shell\Acrobat\command - "" = F:\.\ar500deu.exe -- [2001.09.06 01:04:00 | 009,124,984 | R--- | M] ()
O33 - MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Autorun.exe -- [1999.08.31 05:52:00 | 000,598,016 | R--- | M] (MAX DESIGN)
O33 - MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\Shell\DirectX\command - "" = F:\.\DirectX\dxsetup.exe -- [2001.10.16 12:24:46 | 000,140,288 | R--- | M] ()
O33 - MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\Shell\Setup\command - "" = F:\.\Setup.exe -- [2002.12.02 15:33:00 | 000,107,512 | R--- | M] ()
O33 - MountPoints2\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\Shell - "" = AutoRun
O33 - MountPoints2\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O33 - MountPoints2\{dda96fd3-fbd3-11df-a565-001dba24bb8b}\Shell\AutoRun\command - "" = G:\wd_windows_tools\WDEULA.exe

:Commands
[purity]
[emptytemp]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

3.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

Mein Rechner läuft eigentlich ohne Probleme, daher frage ich mich ist das wirklich alles nötig, denn ich habe das Gefühl, dass es keinen Virus auf meinem Rechner hat.

Letztlich ist es deine Entscheidung!

:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\ob9h2uln.default\searchplugins\askcom.xml moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{0BF43445-2F28-4351-9252-17FE6E806AA0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BF43445-2F28-4351-9252-17FE6E806AA0}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
C:\autoexec.bat moved successfully.
File move failed. F:\Autorun.exe scheduled to be moved on reboot.
File move failed. F:\Autorun.ico scheduled to be moved on reboot.
File move failed. F:\Autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{085f78fb-6b57-11e0-9495-001dba24bb8b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{085f78fb-6b57-11e0-9495-001dba24bb8b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{085f78fb-6b57-11e0-9495-001dba24bb8b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{085f78fb-6b57-11e0-9495-001dba24bb8b}\ not found.
File G:\Startme.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
File move failed. F:\.\ar500deu.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
File move failed. F:\Autorun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
File move failed. F:\.\DirectX\dxsetup.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6d3612f7-f856-11df-9c3f-806e6f6e6963}\ not found.
File move failed. F:\.\Setup.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ced634c9-1cce-11e0-8b7f-001dba24bb8b}\ not found.
File H:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dda96fd3-fbd3-11df-a565-001dba24bb8b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dda96fd3-fbd3-11df-a565-001dba24bb8b}\ not found.
File G:\wd_windows_tools\WDEULA.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: x
->Temp folder emptied: 183950 bytes
->Temporary Internet Files folder emptied: 422461 bytes
->Java cache emptied: 17951146 bytes
->FireFox cache emptied: 70394170 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 3394 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 85.00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05042011_123817

Files\Folders moved on Reboot...
File move failed. F:\Autorun.exe scheduled to be moved on reboot.
File move failed. F:\Autorun.ico scheduled to be moved on reboot.
File move failed. F:\Autorun.inf scheduled to be moved on reboot.
File move failed. F:\.\ar500deu.exe scheduled to be moved on reboot.
File move failed. F:\.\DirectX\dxsetup.exe scheduled to be moved on reboot.
File move failed. F:\.\Setup.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Muss ich denn noch viel machen oder sind das die letzten Schritte?

2. und 3. noch, dann sind wir fertig:-> http://www.trojaner-board.de/98578-msn-verschickt-spam.html#post652623

Hier das Ergebniss von Schritt Nummer 2:
:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/05/2011 at 00:36 AM

Application Version : 4.51.1000

Core Rules Database Version : 6990
Trace Rules Database Version: 4802

Scan type       : Complete Scan
Total Scan Time : 00:48:58

Memory items scanned      : 879
Memory threats detected   : 0
Registry items scanned    : 10564
Registry threats detected : 0
File items scanned        : 33140
File threats detected     : 3

Adware.Tracking Cookie
	banner.electronic-arts.de [ C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\ob9h2uln.default\cookies.sqlite ]
	.eaeacom.112.2o7.net [ C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\ob9h2uln.default\cookies.sqlite ]
	.doubleclick.net [ C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\ob9h2uln.default\cookies.sqlite ]
         

Hier noch das von Nummer 3:
:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=474d75048fe7fe45831725d530c7f873
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-05 12:46:48
# local_time=2011-05-05 02:46:48 (+0100, Mitteleuropäische Sommerzeit)
# country="xx"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=3587 16777214 85 75 6503193 123538662 0 0
# compatibility_mode=5892 16776573 100 100 126235 142082004 0 0
# compatibility_mode=8192 67108863 100 0 137 137 0 0
# scanned=139207
# found=0
# cleaned=0
# scan_time=7132
         

Okay was jetzt?
Ist das Problem jetzt gelöst?

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:

Code: Alles auswählenAufklappen

ATTFilter

CCleaner
         

für weitere Verwendung empfehlenswert

2.
wenn alles gut verlaufen ist und dein System läuft stabil, mache folgendes:
Erstelle manuell einen Wiederherstellungspunkt: Aktivieren und Deaktivieren der Systemwiederherstellung

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Lesestoff Nr.1:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Software immer auf dem neuesten Stand halten!:
  ALLE auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)
  Die fünf häufigsten Passwort-Fehler[/b[
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  Du hast die Wahl!, welche zusätzlichen Komponenten noch installiert werden sollen? -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars oder eventuell noch andere extra angebotene Programme möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Webseiten ohne Gültiges Impressum nicht besuchen
• Lizenzkosten sparen? - Vorsicht bei Dateien/Programmen aus nicht vertrauenswürdigen Quellen! - "full Keygen, Crack, Serial, Warez, keygenerators" etc.
  Sind immer verseucht mit diverse Malware/Schadprogramme/Code, es gibt keine seite wo Viren frei ist. (Man sollte nicht absitlich der Teufel holen) Eine weitere höchst unsichere Quelle ist das File-Sharing der sog. (Musik-)Tauschbörsen.
  ► Ausserdem machst Du dich damit strafbar!
• Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!
  Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !!

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen - Die auf dem Speichermedium gesicherten Daten sollten auch mit einbezogen werden!
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

Lesestoff Nr.2:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:

• Löschen der temporären Dateien in Windows
• Verlauf, Cache und Cookies: Spuren beseitigen nach dem Surfen
• hier nachlesen und hier microsoft.com
• Wenn dein System reibungslos läuft, kannst zeitweise die alte Wiederherstellungspunkte entfernen: -> Alle Systemwiederherstellungspunkte bis auf den Letzten löschen
• Oft den PC zu optimieren nütz wenig, der braucht jetzt eine Radikalkur (nach ca. 3-4 jahren, aber hängt von der Häufigkeit der Nutzung bzw Belastung ab): Anleitung: Neuaufsetzen des Systems + Absicherung
• Staub, Fingerabdrücke, Handschweiß – PC und Peripherie sehen mit der Zeit ganz schön eklig aus, ausserdem laut, reagiert langsam und wird schnell heiß:
  -> verschmutzte PCs sauber machen
  -> Frühjahrsputz für den PC: Tipps zur Reinigung und Entrümpelung

wünsch Dir alles Gute

Zitat:

- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )

Heisst das mein Rechner ist infiziert?

Und noch eine Frage, ich soll jetzt also einfach mein System regelmässig Onlinescannen?
Und dann ist die Sache eigentlich wieder in Ordnung und ich verschicke keine solchen Mails mehr und es ist kein Virus mehr auf meinem Computer?

Zitat:

Zitat von glamp95

Und noch eine Frage, ich soll jetzt also einfach mein System regelmässig Onlinescannen?

ja 1x im Monat reicht schon aus, oder bei Bedarf
ansonsten es muss alles im grünen Bereich sein!

Dann Danke ich Ihnen viel mal für die Hilfe und hofe, dass ich jetzt keinen Spam mehr versende.
Gruss
glamp95

Lass dein System in der nächste Zeit noch unter Beobachtung! Ausserdem zeitweise um dein E-Mail-Programm mehr kümmern, z.B Start-> Ordner-> "alle Ordner Komprimieren" ausführen

gruß
Cf