Hallo,

ich habe mir in letzter Zeit einige Malwares eingefangen wie zum Beispiel Windows Recovery und seine Kollegen. Dank den ausführlichen Beschreibungen in Forum konnte ich sie auch immer beseitigen. Besten dank nochmal.

Ich habe jetzt folgendes Problem. Da ich den Internetexplorer nicht mehr sicher fand habe ich ihn deinstalliert und nutze jetzt Google Chrome.

Beim Neustarten des Pc öffnen sich Meldungen: Scriptfehler... diese Seite kann nicht angezeit werden.. Außerdem spielen sich Audiodatein selbstständig ab wie wenn man eine Internetseite besucht. Ich habe das Gefühl, dass sich Programme selbstständig mit dem Internet verbinden.

Gerade eben öffnete sich ein Fenster: Sie haben einen I-Pod gewonnen... bla bla.. Es sind Fenster welche von Internetexplorer kommen, obwohl ich ihn deinstalliert habe.

Ich denke ich bin noch infiziert, vielleicht könnt Ihr ja was aus den Logs herauslesen.

Besten Dank im vorraus.

Zitat:

Da ich den Internetexplorer nicht mehr sicher fand habe ich ihn deinstalliert

Den IE kann man so nicht deinstallieren, da er ein fester Bestandteil von Windows ist.

Zitat:

Internet Explorer 6.0.2900.2180

Unsicher ist und bleibt es, wenn man den IE auch bei Nichtbenutzung nicht aktualisiert! Der IE muss immer so aktuell wie möglich sein, da er eine Kernkomponente von Windows ist!


Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

ich poste jetzt mal alle Malwarebyte Logs seitdem ich im April von den ersten Malwares infiziert wurde.

Danke für die Hilfe

Bitte ZoneAlarm deinstallieren, das Teil ist kontraproduktives Schlangenöl. Verwende die Windows-Firewall.

Mach danach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
[2011.04.11 20:51:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pOi09000gOmAf09000
[2011.05.08 07:45:29 | 000,000,344 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18079524
[2011.04.18 09:51:37 | 000,000,120 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18145076
[2011.04.18 09:51:26 | 000,000,160 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18145076r
[2011.04.18 09:50:13 | 000,000,336 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18145076
[2010.12.12 13:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Gutscheinmieze
[2010.12.12 13:10:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PriceGong
[2010.11.12 18:35:03 | 000,000,000 | -HSD | M] -- C:\found.000
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

ich hab OTL ausgeführt. Hier sind die Logs dazu.



All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
C:\Programme\ConduitEngine\ConduitEngine.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-88AD-48514E463B27}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pOi09000gOmAf09000\ not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18079524 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18145076 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18145076r moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18145076 moved successfully.
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Gutscheinmieze folder moved successfully.
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PriceGong\Data folder moved successfully.
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\PriceGong folder moved successfully.
C:\found.000\dir0000.chk\snapshot\Repository\FS folder moved successfully.
C:\found.000\dir0000.chk\snapshot\Repository folder moved successfully.
C:\found.000\dir0000.chk\snapshot folder moved successfully.
C:\found.000\dir0000.chk folder moved successfully.
C:\found.000 folder moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Markus
->Temp folder emptied: 6342918 bytes
->Temporary Internet Files folder emptied: 7927536 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 17145495 bytes
->Flash cache emptied: 620 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 141848 bytes
RecycleBin emptied: 1045 bytes

Total Files Cleaned = 30,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 05112011_160049

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

ZoneAlarm hast du entfernt?

Ja hab ich,

noch bevor ich den Fix mit OTL ausgeführt habe.
Ich habe jetzt keine Meldungen mehr vom Internetexplorer mehr gekriegt. Ist das Problem jetzt erledigt? Und was war es denn?

Danke Arne

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

das Tool lässt sich nicht starten. Ich habe es auf den Desktop geladen aber es startet nicht.

Ich hab es auch versucht von der Kaspersky Seite zu laden. Jedoch startet es mit diesem download auch nicht.

Hallo Arne,

Es kommt weiterhin die Meldung, dass der Internetexplorer einen Scriptfehler festgestellt hat. Es wurde versucht eine Seite anzuzeigen. Den Link will ich nicht Posten damit sich niemand anstecken kann.

Das Kasperky Tool lässt sich immernoch nicht starten.

Soweit erstmal von mir.

Grüße

Dann bitte jetzt CF ausführen, den tdsskiller probieren wir danach nochmal.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,


ich hab das Combofix ausgeführt. Hier ist der log dazu.

Combofix hat Rootkitaktivität festgestellt und beseitigt.

Jetzt lässt sich auch das Kaspersky Tool ausführen. Es wurde keine Rootskits vom Kaspersky Tool gefunden.

Grüße, Markus

Hast du den TDSSkiller so eingestellt wie oben angegeben? Sieht nicht danach aus, bitte prüfen. Ausführen und beide Haken setzen!

Hallo Arne,

hier nochmal ein Log vom TDS Killer.

Grüße

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes