Zitat:

Infizierte Kopie von c:\windows\system32\kernel32.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\winsxs\x86_microsoft-windows-kernel32_31bf3856ad364e35_6.0.6000.16820_none_91c20a8f593529ed\kernel32.dll wurde wiederhergestellt

Offensichtlich konnte CF die schädlich manipulierte Systemdatei wiederherstellen.

Zitat:

AV: G Data InternetSecurity 2011 *Disabled/Updated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}
FW: G Data Personal Firewall *Disabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}

Bitte GDATA deinstallieren, Suites sind fette unnütze Systembremsen.

Ist ja nicht mein eigenes Laptop. Werde den Tipp aber auf jeden Fall weitergeben.
Darf ich Deinen Zeilen entnehmen, dass das Laptop wieder benutzt werden kann?

Nein ich wollte noch weitermachen, dazu wär es aber besser, wenn GDATA vorher runterfliegt.

Zu früh gefreut. Geht weitermachen auch wenn ich GData nur deaktiviere? Ich erreiche meine Bekannten im Moment nicht und das Laptop wird dringend für die Schule benötigt.

Deinstallier es einfach, es gibt bessere Alternativen...sag ihm es musste sein. Und für die Schule benötigt man kein GDATA IS

Ich versteh' ja was Du sagen willst ... aber ich möchte mich doch gern erst absprechen. Kannst Du mir trotzdem schon Anweisungen geben, wie ich danach weiter machen soll. Du kannst mir ruhig mehrere Schritte auf einmal nennen. Dann habe ich heute Abend was zu tun. Ich habe zugesagt, dass das Laptop morgen wieder zur Verfügung steht. Meinst Du, das könnte klappen?

Kann ich nicht versprechen. Ich würde auch lieber erst dann weitermachen, wenn die IS runter ist, die kann bei den kommenden Tools nämlich sehr stören.

OK, dann werde ich Gdata deinstallieren. Kannst Du mir trotzdem schon die nächsten Schritte nennen, damit ich nachher weitermachen kann ... für den Fall, dass Du später offline bist. Wäre sehr nett.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Gmer hat sich leider 2 x verabschiedet; beim 1. Mal mit Windows Fehlermeldung, beim 2. Mal mit BlueScreen

Osam Log und MBRCheck im Anhang.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich melde mich schon mal mit den Logs von Mbam und Super. Bei Mbam keine Funde, bei Super Tracking Cookies, die ich entfernt habe und Trojaner-Funde, die ich jedoch für Fehlalarme halte.

Den Online-Scanner konnte ich bislang noch nicht nutzen, da er beim Aktualisieren dauernd fragt, ob ein Proxy benutzt wird. Das ist aber nicht der Fall. Hast Du eine Idee, was da los ist? Ich versuche es weiter ...


Mbam:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6743

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

01.06.2011 14:36:52
mbam-log-2011-06-01 (14-36-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 290039
Laufzeit: 40 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Super:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/01/2011 at 04:23 PM

Application Version : 4.53.1000

Core Rules Database Version : 7174
Trace Rules Database Version: 4986

Scan type : Complete Scan
Total Scan Time : 01:40:38

Memory items scanned : 588
Memory threats detected : 0
Registry items scanned : 9969
Registry threats detected : 0
File items scanned : 141192
File threats detected : 36

Trojan.Downloader-Gen/A
C:\PROGRAM FILES\CLICK & LEARN DIDI 360°\MEDIA\A.EXE

Adware.Tracking Cookie
cdn.insights.gravity.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
cdn1.static.pornhub.phncdn.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
cdn4.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
cdn5.specificclick.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
collegeboyporn.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
core.insightexpressai.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
hostedgalleries.adult.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
ia.media-imdb.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
media.ign.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
media.kyte.tv [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
media.vagosex.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
movies.privategayporn.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
multimedia.gsb.bund.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
onlybestsex.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
pornme.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
s0.2mdn.net [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
secure-us.imrworldwide.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
static.sunporno.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
vidii.hardsextube.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.3d-sexgames.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.adultrental.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.ardmediathek.de [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.naiadsystems.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.oneclicktube.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.pornomovies.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.pornoprinzen.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.sexkiste.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
www.sunporno.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]
wwwstatic.megaporn.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\8CNUWX4K ]

Trojan.Agent/Gen-Koobface[Bonkers]
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\ACTPASS.EXE
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\GCSEFRENCH.PHP5-DATEIEN\GEROND.EXE
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\GCSEFRENCH.PHP5-DATEIEN\INDIR.EXE
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\GCSEFRENCH.PHP5-DATEIEN\PART.EXE
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\GCSEFRENCH.PHP5-DATEIEN\PASCOMP.EXE
C:\USERS\***\DOCUMENTS\SCHULE\FRANCAIS\GCSEFRENCH.PHP5-DATEIEN\PRESENT.EXE

Nachdem der Online-Scanner sich doch noch bequemt hat, hier die fehlende Log-Datei. Hab ich das richtig gemacht, merkwürdiger Inhalt? Auf jeden Fall hat der Online-Scanner nichts gefunden ...

Log:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=12
esets_scanner_update returned -1 esets_gle=12
esets_scanner_update returned -1 esets_gle=12

Wenn der nichts gefunden hat ist das ok. SASW hat nur Cookies und Fehlalarme produziert.
Rechner wieder im Lot?

Ob der Laptop wieder i. O. ist, wollte ich eigentlich gerne von Dir wissen. Ich bemerke nichts Auffälliges mehr. Aber ich hatte mich ja schon öfter zu früh gefreut. Wenn ich Dein Ok bekomme, dann freut sich eine Schülerin ganz doll und ich auch, weil ich nicht mehr ständig auf das Ende von Scans warten muss.
Hast Du sonst noch Tipps für mich?