Trojaner-Board - Redirect Google

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Redirect Google (https://www.trojaner-board.de/126223-redirect-google.html)

Die Logs bitte in CODE-Tags :kloppen:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

OK, weiter geht es. Ich hoffe, dass ich das mit den Codes nun hinbekomme. Sorry für die Mühe.

Grüße
Ben

Code:

# AdwCleaner v2.006 - Datei am 01/11/2012 um 20:23:35 erstellt

# Aktualisiert am 30/10/2012 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : tine-babs - TINE-BABS-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\tine-babs\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software

Schlüssel Gelöscht : HKCU\Software\Softonic
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v16.0.2 (de)
 

Profilname : default 

Datei : C:\Users\tine-babs\AppData\Roaming\Mozilla\Firefox\Profiles\wm9ogart.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1756 octets] - [27/10/2012 16:52:32]

AdwCleaner[S1].txt - [1496 octets] - [27/10/2012 17:01:03]

AdwCleaner[R2].txt - [1022 octets] - [27/10/2012 17:30:37]

AdwCleaner[S2].txt - [1085 octets] - [27/10/2012 17:31:06]

AdwCleaner[R3].txt - [1241 octets] - [01/11/2012 11:47:17]

AdwCleaner[S3].txt - [1174 octets] - [01/11/2012 20:23:35]
 

########## EOF - C:\AdwCleaner[S3].txt - [1234 octets] ##########

Ok, tritt das Redirect Problem noch auf?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix Logfile:

Code:

ComboFix 12-11-03.02 - tine-babs 03.11.2012  17:47:36.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3069.1687 [GMT 1:00]

ausgeführt von:: c:\users\tine-babs\Desktop\ComboFix.exe

AV: Norton Internet Security CBE *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}

FW: Norton Internet Security CBE *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}

SP: Norton Internet Security CBE *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\tine-babs\AppData\Roaming\diskraidp.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-10-03 bis 2012-11-03  ))))))))))))))))))))))))))))))

.

.

2012-11-03 16:55 . 2012-11-03 16:55        --------        d-----w-        c:\users\tine-babs\AppData\Local\temp

2012-11-03 16:55 . 2012-11-03 16:55        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-10-29 18:15 . 2012-10-29 18:15        --------        d-----w-        C:\_OTL

2012-10-28 16:17 . 2012-10-28 16:17        --------        d-----w-        c:\users\tine-babs\AppData\Local\CrashDumps

2012-10-28 12:08 . 2012-10-28 12:08        --------        d-----w-        c:\users\tine-babs\AppData\Roaming\LavasoftStatistics

2012-10-28 12:07 . 2012-10-28 12:08        --------        d-----w-        c:\users\tine-babs\AppData\Roaming\Ad-Aware Antivirus

2012-10-28 11:12 . 2012-10-28 11:12        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-10-28 11:12 . 2012-10-28 11:12        696760        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-10-28 09:36 . 2012-10-28 09:36        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-10-28 09:36 . 2012-09-29 18:54        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-10-27 15:54 . 2012-10-27 15:54        110080        ----a-r-        c:\users\tine-babs\AppData\Roaming\Microsoft\Installer\{DDABC667-56B3-4122-82B0-2F5782EA2F9A}\IconF7A21AF7.exe

2012-10-27 15:54 . 2012-10-27 15:54        110080        ----a-r-        c:\users\tine-babs\AppData\Roaming\Microsoft\Installer\{DDABC667-56B3-4122-82B0-2F5782EA2F9A}\IconD7F16134.exe

2012-10-27 15:54 . 2012-10-27 15:54        110080        ----a-r-        c:\users\tine-babs\AppData\Roaming\Microsoft\Installer\{DDABC667-56B3-4122-82B0-2F5782EA2F9A}\IconCF33A0CE.exe

2012-10-27 15:54 . 2012-10-27 15:55        --------        d-----w-        C:\sh4ldr

2012-10-27 15:54 . 2012-10-27 15:54        --------        d-----w-        c:\program files\Enigma Software Group

2012-10-27 15:54 . 2012-10-27 15:54        --------        d-----w-        c:\windows\DDABC66756B3412282B02F5782EA2F9A.TMP

2012-10-27 15:54 . 2012-10-27 15:54        --------        d-----w-        c:\program files\Common Files\Wise Installation Wizard

2012-10-27 07:01 . 2012-10-12 05:34        86528        ----a-w-        c:\windows\system32\pdfcmon.dll

2012-10-27 07:01 . 2012-05-05 09:54        662288        ----a-w-        c:\windows\system32\MSCOMCT2.OCX

2012-10-27 07:01 . 2012-05-05 09:54        137000        ----a-w-        c:\windows\system32\MSMAPI32.OCX

2012-10-27 07:01 . 1998-07-06 16:56        125712        ----a-w-        c:\windows\system32\VB6DE.DLL

2012-10-27 07:01 . 1998-07-06 16:55        158208        ----a-w-        c:\windows\system32\MSCMCDE.DLL

2012-10-27 07:01 . 1998-07-06 16:55        64512        ----a-w-        c:\windows\system32\MSCC2DE.DLL

2012-10-27 07:01 . 2012-05-05 09:54        23552        ----a-w-        c:\windows\system32\MSMPIDE.DLL

2012-10-26 15:17 . 2012-10-26 15:17        44240        ----a-w-        c:\windows\system32\drivers\fsbts.sys

2012-10-24 15:43 . 2012-10-24 16:02        --------        d-----w-        c:\program files\Common Files\Symantec Shared

2012-10-24 15:43 . 2012-10-24 15:43        --------        d-----w-        c:\program files\Symantec

2012-10-24 15:43 . 2012-10-24 15:43        142496        ----a-w-        c:\windows\system32\drivers\SYMEVENT.SYS

2012-10-24 15:41 . 2012-10-26 15:08        --------        d-----w-        c:\windows\system32\drivers\NIS

2012-10-24 15:41 . 2012-10-24 15:41        --------        d-----w-        c:\program files\Norton Internet Security CBE

2012-10-24 15:41 . 2012-10-24 15:44        --------        d-----w-        c:\programdata\Norton

2012-10-24 15:30 . 2012-10-24 15:30        --------        d-----w-        c:\program files\NortonInstaller

2012-10-24 04:12 . 2012-10-24 15:19        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2012-10-24 04:12 . 2012-10-24 15:25        --------        d-----w-        c:\program files\Spybot - Search & Destroy

2012-10-23 19:57 . 2012-10-24 15:25        --------        d-----w-        c:\programdata\AVAST Software

2012-10-23 19:57 . 2012-10-23 19:57        --------        d-----w-        c:\program files\AVAST Software

2012-10-23 19:23 . 2012-10-23 19:23        --------        d-----w-        c:\users\tine-babs\AppData\Roaming\IObit

2012-10-23 19:23 . 2012-10-23 19:23        --------        d-----w-        c:\program files\IObit

2012-10-23 19:05 . 2012-10-23 19:05        --------        d-----w-        c:\windows\Sun

2012-10-23 18:10 . 2012-10-23 18:10        --------        d-----w-        c:\users\tine-babs\AppData\Roaming\Malwarebytes

2012-10-23 18:10 . 2012-10-23 18:10        --------        d-----w-        c:\programdata\Malwarebytes

2012-10-23 16:50 . 2012-10-17 00:32        6918632        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{DE531E43-8402-4228-98BF-C03C53998DE0}\mpengine.dll

2012-10-10 14:44 . 2012-06-02 00:02        985088        ----a-w-        c:\windows\system32\crypt32.dll

2012-10-10 14:44 . 2012-06-02 00:02        98304        ----a-w-        c:\windows\system32\cryptnet.dll

2012-10-10 14:44 . 2012-06-02 00:02        133120        ----a-w-        c:\windows\system32\cryptsvc.dll

2012-10-10 14:44 . 2012-08-24 15:53        172544        ----a-w-        c:\windows\system32\wintrust.dll

2012-10-10 14:44 . 2012-09-13 13:28        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-10-10 14:44 . 2012-08-29 11:27        3602816        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-10-10 14:44 . 2012-08-29 11:27        3550080        ----a-w-        c:\windows\system32\ntoskrnl.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-09-24 21:16 . 2012-07-22 09:33        821736        ----a-w-        c:\windows\system32\npDeployJava1.dll

2012-09-24 21:16 . 2010-06-21 20:22        746984        ----a-w-        c:\windows\system32\deployJava1.dll

2012-08-24 06:59 . 2012-09-24 16:03        1800704        ----a-w-        c:\windows\system32\jscript9.dll

2012-08-24 06:51 . 2012-09-24 16:03        1129472        ----a-w-        c:\windows\system32\wininet.dll

2012-08-24 06:51 . 2012-09-24 16:03        1427968        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-08-24 06:47 . 2012-09-24 16:03        142848        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-08-24 06:47 . 2012-09-24 16:04        420864        ----a-w-        c:\windows\system32\vbscript.dll

2012-08-24 06:43 . 2012-09-24 16:04        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2009-05-13 21:55 . 2012-10-27 07:21        1044480        ----a-w-        c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-13 21:55 . 2012-10-27 07:21        200704        ----a-w-        c:\program files\mozilla firefox\plugins\ssldivx.dll

2012-10-27 07:21 . 2012-10-27 07:21        261600        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-07-04 95576]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 4489216]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]

"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-4-24 723760]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"NoHotStart"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-07-18 08:53        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2}]

2010-02-16 17:02        114688        ----a-w-        c:\program files\PixiePack Codec Pack\InstallerHelper.exe

.

Inhalt des "geplante Tasks" Ordners

.

2012-11-03 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-28 11:12]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\tine-babs\AppData\Roaming\Mozilla\Firefox\Profiles\wm9ogart.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - ExtSQL: 2012-10-24 17:44; {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}; c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\coFFPlgn

FF - ExtSQL: 2012-10-24 17:55; {BBDA0591-3099-440a-AA10-41764D9DB4DB}; c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\IPSFFPlgn

FF - ExtSQL: !HIDDEN! 2009-07-04 15:05; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-Wqrabaulm - c:\users\tine-babs\AppData\Roaming\diskraidp.dll

HKLM-Run-NPSStartup - (no file)

AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe

AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe

AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe

AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe

AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe

AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe

AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe

AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe

AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe

AddRemove-21_Searsburg - c:\program files\Samsung\USB Drivers\21_Searsburg\Uninstall.exe

AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-11-03 17:56

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NIS]

"ImagePath"="\"c:\program files\Norton Internet Security CBE\Engine\20.2.0.19\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files\Norton Internet Security CBE\Engine\20.2.0.19\diMaster.dll\" /prefetch:1"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(5496)

c:\windows\system32\btmmhook.dll

.

Zeit der Fertigstellung: 2012-11-03  17:59:22

ComboFix-quarantined-files.txt  2012-11-03 16:59

.

Vor Suchlauf: 14 Verzeichnis(se), 72.849.997.824 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 72.588.312.576 Bytes frei

.

- - End Of File - - 0464C2900D4897162CB9747CD2211C27

--- --- ---

Code:

c:\users\tine-babs\AppData\Roaming\diskraidp.dll

Hm tatsächlich, die Datei hab ich übersehen :dummguck:
Redirect-Problem gelöst?

Es scheint zu funktionieren!

Vielen lieben Dank für die Mühe!

:dankeschoen:

Ist der Rechner nun wieder "safe"?

Können wir uns erkenntlich zeigen?

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.03.07
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

tine-babs :: TINE-BABS-PC [Administrator]
 

03.11.2012 20:17:02

mbam-log-2012-11-03 (20-17-02).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 325145

Laufzeit: 1 Stunde(n), 24 Minute(n), 54 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=0200201ebc16094fb81471fd18d3d98b

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-11-03 10:47:55

# local_time=2012-11-03 11:47:55 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=2304 16777215 100 0 0 0 0 0

# compatibility_mode=5892 16776638 100 100 707150 189509056 0 0

# compatibility_mode=8192 67108863 100 0 4170 4170 0 0

# scanned=144412

# found=3

# cleaned=0

# scan_time=6547

C:\Qoobox\Quarantine\C\Users\tine-babs\AppData\Roaming\diskraidp.dll.vir        a variant of Win32/Ponmocup.EX trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\tine-babs\Desktop\Neuer Ordner\SoftonicDownloader_fuer_kaspersky-tdsskiller.exe        a variant of Win32/SoftonicDownloader.E application (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\10292012_191546\C_$Recycle.bin\S-1-5-21-2573171665-3109848833-337894169-1003\$RFDP372.exe        a variant of Win32/SoftonicDownloader.E application (unable to clean)        00000000000000000000000000000000        I

Code:

C:\Users\tine-babs\Desktop\Neuer Ordner\SoftonicDownloader

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller oder von Filepony aber nicht von solchen Toolbarklitschen wie Softonic!

Die anderen Funde von ESET beziehen sich nur auf Quarantäneordner, kannst du ignorieren.

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Danke für den Hinweis mit Softonic. Die Toolbar installiere ich nie. Zukünftig werde ich aber dort nicht mehr runterladen.

Also nun gibt es keine Probleme mehr. Natürlich werden wir sehr aufmerksam sein in nächster Zukunft.

Was war denn nun das Problem? Habe das noch nicht verstanden, zumal Norton mir ja überhaupt kein Problem gemeldet hat (warum eigentlich nicht?). Ist es denn dann empfehlenswert Norton noch laufen zu lassen?

Nochmals vielen lieben Dank für die tolle Unterstützung! :daumenhoc
Wir dürfen wir uns erkenntlich zeigen?

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.