Programme weg- Nachbesserung: alle Logfiles; ESET <-> AntiVir
 

Hallo Trojaner-Board,

hoffentlich ist es kein Verstoß, wenn ich für die jetzt ergatterten Logfiles einen neuen Thread eröffne. Vor ein paar Stunden hatte ich den ersten Anlauf nur mit Malwarebytes genommen http://www.trojaner-board.de/131017-...arebytes.html.

Ein Großteil meiner Programme ist über Nacht verschwunden, sind weder im Explorer noch in der Systemsteuerung/Software zu sehen.
Einige Tage zuvor war Internetzugriff deutlich langsamer geworden, die Maus bewegte sich nur noch abgehackt und "eierte" um die Links herum. AntiVir und OnlineVirenscanner (Bitdefender) haben nichts gefunden.

Hier die unter Schweiß gesammelten Logfiles (danke für die lebensrettende Anleitung):


Malwarebytes

Bei der angehakten Datei habe ich auf "Entfernen" geklickt.

DeFogger_disable.log


OTL.txt
OTL Logfile:
--- --- ---

[/CODE]

Extras.txt

OTL Logfile:
--- --- ---

[/CODE]

gmer.log

ESET Online Scanner wollte ich auch noch starten, wie im Thread http://www.trojaner-board.de/114910-...schwunden.html gelesen. Aber ich konnte AntiVir nicht deaktivieren :confused:
Obwohl im Kontrollcenter der Echtzeitscanner auf "Aus" stand, blieb der Schirm offen und ESIT wies immer wieder auf AntiVir hin. Soll ich ESIT besser erstmal deinstallieren?

Vielleicht könnt Ihr mit den vorhandenen Logfiles ja auch schon was anfangen. Lässt sich daraus evt. ersehen, ob der USB-Stick (E:\) infiziert ist? Und wenn ja, habe ich meinen HauptPC dann auch noch angesteckt? ... wird mir bei dem Gedanken noch ein paar Grade schlechter...


Übrigens: hat DeFogger irgendwas "disabled"? Ohne Anweisung soll ich ja nichts unternehmen.

Für Eure Mühe schonmal herzlichen Dank im Voraus!

clak

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo DerJazzer,

danke für die Info, ich freu mich auf Deine Hilfe und übe mich dafür gerne in Geduld! (muss ich sowieso lernen :pfeiff:)

Gruß
clak

Hallo und :hallo:
Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (Posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr bootet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.


Schritt 2

Downloade bitte Grinler's unhide.exe auf deinen Desktop.
Starte das Tool mit Doppelklick.

Wenn es seine Arbeit getan hat, wird eine Nachricht mit Done aufpoppen.
Es wird auch eine Logfile, Unhide.txt erstellen. Poste diese bitte hier.


Schritt 3

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Bitte poste in deiner nächsten Antwort

• Unhide.txt
• Combofix.txt

Hallo Christoph,

1) CCleaner deinstalliert

2) Unhide.exe

Vor Schritt 3) noch ein paar Fragen:
- gestern konnte ich AntiVir nicht deaktivieren bei Versuch mit ESET; Combofix trotzdem laufen lassen?
- sollte ich auch die FireWall deaktivieren bzw. das WLAN?
- USB-Stick (E:\) war bei unhide nicht angeschlossen, vor Combofix nachholen?

Gruß
claudia

Hi Claudia

Bitte Avira wie folgt deaktivieren:

Rechtsklick auf das Taskleisten-Symbol unten rechts --> Haken bei "Echtzeitscanner aktivieren" entfernen.
Es kann sein, dass Combofix dir trotzdem anzeigt, dass Avira noch aktiv sei. Dies ist aber bekannt und du kannst die Meldung ignorieren.

Den USB-Stick brauchst du nicht anschließen und die Firewall musst du auch nicht deaktivieren.
WLAN bitte an lassen, da Combofix eventuell darauf zugreifen muss.

Hi Christoph,

heute ließ sich AntiVir auf normalem Weg deaktivieren, damit hat sich diese Frage von selbst erledigt.

Hier der Log von Combofix


Combofix Logfile:
--- --- ---



Was kannst Du daraus erkennen? Bin gespannt auf die nächten Schritte.

Gruß
claudia

Hi Claudia

das Log sieht gut aus, jetzt müssen wir nochmal kontrollieren:

Bitte bei allen Scans deinen USB-Stick einstecken!


Schritt 1


Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3

Starte bitte die OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.


Bitte poste in deiner nächsten Antwort

• Malwarebytes-Log
• Eset-Log
• OTL.txt & Extras.txt

Hi Christoph,

scheint nicht mein Tag zu sein. Gerade hatte ich den letzten Logfile drin, zack war InternetExplorer weg und alle Einträge ebenfalls (Ich will meinen Fire Fox zurück!!!)

Also nochmal von vorne:

Malwarebytes
ESET
OTL.txt
OTL Logfile:
--- --- ---


Extras.txt
OTL Logfile:
--- --- ---


Bevor mir wieder alles abhaut, schicke ich meine Frage lieber separat hinterher.

Gruß
claudia

Hi Christoph,

hier die angekündigten Fragen, die ich während der tagfüllenden Aktion gesammelt habe:

1) Während ESET lief, ist irgendwann eigenmächtig der AntiVir-Schirm aufgegangen??

2) ESET bietet am Schluss Deinstallation an. Warum soll das nicht benutzt werden (hab's nach Deiner Anleitung gemacht)?

3) Alle Icon auf dem Desktop sind markiert, war früher nicht. Hat das was zu bedeuten?

4) Die verschwundenen Programme sind bis jetzt nicht wieder aufgetaucht. Bleiben die weg?

5) Sollte ich mir nochmal was einfangen und das Netbook neu aufsetzen: wie kriege ich XP denn aufs Netbook ohne DVD-Laufwerk?

Ich lass es mal bei dieser kleinen Auswahl. Sorry Christoph, leider gibt's in meinem Kopf derzeit wohl ausschließlich fette Fragezeichen...

LG
claudia

Hi Claudia

die Logs sind sauber.

Ich werde jetzt versuchen soweit wie möglich deine Fragen zu beantworten, allerdings muss ich zu den Frage 3) und 4) mal meine Kollegen hier um Rat fragen, hab bitte noch ein wenig Geduld. Ich melde mich dann sobald es etwas Neues gibt :)

Das geschieht manchmal, ist so eine Art Selbstschutz von Avira. Lass dich davon nicht beunruhigen, soweit ich das sehe hatte das keine negativen Auswirkungen.
Diese Art der Deinstallation geht natürlich auch, ist letztendlich dir überlassen, ob und auf welche Art und Weise du ESET deinstallierst.
Soweit ich weiß hat der EeePC eine Recovery-Funktion, mit der du das Netbook auf den Auslieferungszustand zurücksetzen kannst. Siehe auch hier. Ansonsten müsstest du dir ein externes DVD-Laufwerk und eine WinXP-DVD besorgen und das Netbook so neu aufsetzen.

Jetzt hab ich noch ein paar Fragen:
Mach mal bitte einen Screenshot und hänge ihn hier an.

• Sind die Programmordner unter C:\Programme noch vorhanden?
• Ist die Festplattenbelegung noch dieselbe oder ist da Platz freigeworden, seitdem die Programme verschwunden sind?
• Mach mal bitte einen Screenshot von Systemsteuerung --> Programme deinstallieren und hänge ihn hier an.
  
  Mache bitte zusätzlich Folgendes:
  Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.
  
  Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
  
  Code:

  ---

  @ECHO OFF
FOR /F "tokens=2* delims=        " %%A IN ('REG QUERY "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion" /v ProgramFilesDir') DO SET Proggis=%%B
ECHO Programmordner=%Proggis% > "%Userprofile%\Desktop\look.txt"
pause

  ---

  • Wähle Datei --> Speichern unter
  • Dateiname: Programs.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.
    
    Es sollte nun ungefähr so aussehen: http://larusso.trojaner-board.de/Images/bat.jpg
  • Starte die Programs.bat.
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Es wird eine look.txt auf deinem Desktop erstellt. Bitte poste mir den Inhalt (sollte nur eine Zeile sein) in deiner nächsten Antwort.


Bitte poste in deiner nächsten Antwort

• Screenshot vom Desktop
• Screenshot vom Programmfenster in der Systemsteuerung
• Antwort auf meine Fragen
• look.txt

Hi Jazzer Christoph,

erstmal fettes Kompliment und Dank, dass Du selbst sonntags den ver(w)irrten Schäfchen zu Hilfe eilst!

Dein Urteil zu den Logs klingt positiv, will trotzdem nicht recht zu dem merkwürdigen Gebaren meines Netbooks passen.

Der Reihe nach zu meinen/Deinen Fragen/Aufträgen:

ad 3) gilt nur für den Admin-Desktop, beim eingeschränkten Konto ist alles ok.
s. Screenshots Anhang admin-desk.jpg, online-desk.jpg

ad 4) Dafür spricht wohl einiges. Mein selbst angelegter Programmordner ist völlig leergefegt, unter C:\Programme herrscht bis auf manche traurigen Reste ebenfalls Kahlschlag. Wenigstens im Startmenü kann ich noch sehen, was mal da war - immerhin eine kleine Freude.
Screenshot s. Anhang c-programme

In Systemsteuerung -> Software ist nur pain.net hängengeblieben, obwohl die .exe weg ist. Dafür irritiert mich, dass xampp mit 720MB eingetragen ist. Ich dachte, das wird dringt nicht ins Innerste.
Hier musste ich 2 Screenshots machen, um die -abgeschmolzene- Liste zu zeigen. Hätt's gerne hübscher ausgeschnitten, bin aber an Paint gescheitert.
Screenshots s, Anhang programme-1.gif und programme-2.gif

Hier noch die look.txt
Ob auf der Festplatte Platz freigeworden ist, kann ich Dir beim besten Willen nicht beantworten, da ich nicht weiß, wieviel vorher belegt war.

Und wieder eine Frage:
Im Online-Konto bin ich die MySearch-Bar im IE losgeworden, im Admin-Konto hält sie sich verbissen...
In einem der vielen Logs habe ich gesehen, dass sie sich u.a. auch in Firefox (hat sich ja erstmal erledigt), aber auch in xampp eingenistet hat. Sollte ich Xampp deinstallieren?

Dank für Deine Mühe und Geduld!
Hoffe, dass die Anhänge mitkommen und freue mich auf Deine nächste Meldung.

LG
claudia

Hi Claudia,

bin erstmal wieder da. Wir kümmern uns erstmal um deine Toolbar und die Desktopicons. Dann habe ich noch ein paar Fragen bezüglich der verschwundenen Programme.

Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3

Windows XP: Start --> Systemsteuerung --> Leistung und Wartung --> System --> Erweitert --> bei Systemleistung "Einstellungen" --> Haken bei "Durchsichtigen Hintergrund für Symbolunterschriften auf dem Desktop" setzen --> "Übernehmen"

Sind die Desktopsymbole jetzt immernoch blau unterlegt?


Schritt 4

Jetzt meine Fragen:

Sind die Programme in beiden Konten verschwunden?
Wo liegt der und was genau war da vorher drin?Bitte lasse dir mal alle Dateien anzeigen:

Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Entferne den Haken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Alle Dateien und Ordner anzeigen

Drücke auf Übernehmen und OK

Ergibt sich dadurch eine Änderung?
Funktionieren die Programme nach Aufruf über das Startmenü denn oder gibt Windows dir einen Fehler aus?

Siehst du die Programme unter Start --> Alle Programme? Wenn ja, kannst du sie öffnen?

Hast du schonmal nach den Programmen, die fehlen, gesucht (und welche Programme waren das?)? ;)


Bitte poste in deiner nächsten Antwort

• AdwCleaner[S1].txt
• JRT.txt
• Antwort auf meine Fragen

Und wieder mal der Antwortversuch von 1 Stunde weg :killpc:
Also nochmal

Hi Christoph,
willkommen zurück!

Hier die beiden Logfiles:

1. und 2.
3.
Hat gedauert, bis ich den richtigen Eintrag gefunden hatte, weil mein Startmenü anders aussieht. Hat geklappt, die blauen Hintergründe sind weg :daumenhoc

4.

Mein eigener Ordner liegt auf C:\, direkt unter "Programme". Sicher kann ich sagen, dass 7Zip drin war.

Alle Dateien waren und sind so eingestellt, wie von Dir vorgegeben, keine neuen Einträge erschienen.

Nein, weder über Start > alle Programme, noch per Doppelklick auf Verknüpfung im Explorer startet was. "Fehlende Verknüpfung" wird moniert. Über Startmenü-Aufruf könnte ich per "Durchsuchen" den neuen Pfad eingeben, über Explorer wird mir angeboten, die Verknüpfung zu löschen.
Suche innerhalb des Netbooks hat nichts gebracht. Vermutlich werde ich dann wieder im Netz auf Suche gehen dürfen.

Welche Programme weg sind? U.a. Firefox, FileZilla, IrfanView, Weaverslave und einige andere mehr. Schlimmer ist, sie alle wieder so einzurichten, wie es war. Bin kein Profi und brauche ewig. Fürchte ich richtig, dass es aber darauf hinauslaufen wird?

LG
claudia

Nachtrag: Programme bleiben sowohl im Admin- wie in Online-Konto verschwunden,

H

Mach bitte Folgendes:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

• Wähle Datei --> Speichern unter
• Dateiname: Search.bat
• Dateityp: Wähle Alle Dateien (*.*)
• Speichere die Datei auf deinem Desktop.
  
  Es sollte nun ungefähr so aussehen: http://larusso.trojaner-board.de/Images/bat.jpg
• Starte die Search.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Poste mir bitte den Inhalt der look.txt

Mach bitte zusätzlich mal Folgendes:

Downloade bitte Show Hidden auf deinen Desktop.
Starte das Tool mit Doppelklick.

Wenn es seine Arbeit getan hat, wird sich ein Textdokument offenen. Bitte poste mir den Inhalt hier.

Hi Christoph,

vorab die look.txt:

ShowHidden ist in Arbeit.

Verständnisfrage: ist mein Netbook denn inzwischen Malware frei? Es schleicht und kriecht zähflüssig. War zwischendurch mal besser.

Bis gleich!
Gruß
claudia

Weiter geht's.

Welche "4 hidden items" hat er denn gefunden, kannst Du das erkennen?
Mir ist in der ganzen Datei kein Hinweis auf die verschwundenen Programme aufgefallen.

Gruß
claudia

Hi
Ja, da war von Anfang an gar nicht viel Bedrohliches drauf...
Die Zahl bezieht sich auf alle versteckten Objekte, die es auf deiner D: Platte gefunden hat. Deine verschwundenen Programme waren aber nicht dabei...


Bitte mache nochmal das, was hier steht, schreibe in die Datei aber anstatt von %Programfiles% den gesamten Pfad zu dem von dir erstellten Programmordners (die Anführungszeichen bitte stehen lassen, den Pfad also zwischen die Anführungszeichen setzen).


Erstelle bitte dann nochmal ein neues OTL-Log.

Hi Christoph,

hier die beiden Logfiles. Extras.txt wurde diesmal nicht erstellt, ist das richtig?

Zwei Fragen:
1. Wenn nichts "Bedrohliches" drauf war, was hat dann meine Programme verschluckt??? und ist ggf, für den Schleichgang verantwortlich?

2. Mein Desktop ist derart voll, dass ich keinen Überblick mehr habe. Was kann ich davon löschen oder wenigstens in anderen Ordner schieben?

Erfolgsmeldung:
MySearch ist inzwischen aus beiden Konten verschwunden - danke! :applaus:

LG
claudia

Hi Claudia

Das kann ich dir ehrlichgesagt nicht sagen, du scheinst laut meiner Recherche aber nicht die Einzige zu sein, bei der Programme auf Nimmerwiedersehen verschwinden.

Darum kümmern wir uns jetzt:

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 2

Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Jetzt sollte wieder etwas Platz auf deinem Desktop sein ;)

Ich möchte jetzt noch einen letzten Versuch starten, die verschwundenen Programme doch noch aufzuspüren. Stell dich aber bitte gedanklich schonmal auf ein Neuinstallieren der Programme ein :(

So, los geht's:

Schritt 3

Scan mit SystemLook

Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  :filefind
*firefox*
*filezilla*
*irfanview*
*weaverslave*

:folderfind
*firefox*
*Mozilla*
*filezilla*
*irfanview*
*weaverslave*

  ---

  ]
• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Komisch ist, dass z. B. der Firefox verschwunden scheint, aber im OTL-Log dennoch (zumindest seine Registry-Einträge) angezeigt werden....

Gruß

Hi Christoph,

alles erledigt.

zu 1.
Combofix wollte eine neue Version laden, habe ich verneint.

2. Aufräummeldung v. Delfix
zu 3.

Und ein paar Fragen / Infos:

zu 2.
übrig sind auf den Desktop show-hidden.exe, gmer.exe und jetzt systemlook.exe, dazu die 3 Batch-Dateien sowie diverse Logfiles und Screenshots. Letztere kann ich vermutlich einfach löschen. Muss ich bei den .exes was beachten?

zu 3.
nein, kein einziges Programm ist wieder aufgetaucht - auch Firefox nicht :heulen:
MalwareBytes liegt noch in C:\Programme. Sollte ich das drauf lassen?

Dann würde mich noch interessieren, auf welchem Weg ich mir MySearch eingefangen habe? Will ich nicht wiederholen.

LG
claudia

Hi

Systemlook hat auch nur noch Verknüpfungen gefunden, die auf die Programme verweisen (aber jetzt ins Leere verweisen). Ich möchte mit deinem Einverständnis jetzt nicht weiter graben und möchte dich bitten, die Programme, die dir fehlen, neu zu installieren. Wo die Programme hin sind weiß ich nicht und kann es mir auch nicht erklären.

Kannst du alles bedenkenlos löschen.

Dazu poste ich dir am Ende noch ein paar Tipps :)

Adware wie MySearch kommen meistens mit eigentlich harmlosen Installern als Bundle, d. h. sie werden (manchmal ohne eindeutige Zustimmung des Users) bei der Installation des enthaltenen Programms mitinstalliert. Schützen kannst du sich dagegen nur, wenn du wenn möglich die Benutzerdefinierte Installationsmethode wählst und Toolbars etc. im Installationsfenster abwählst. Weihterhin solltest du deine Programme nur bei vertrauenswürdigen Quellen (also z. B. Filepony, aber KEIN Softonic usw.) und/oder dem Hersteller herunterladen, um das Risiko, dass Adware "mitgeliefert" wird, zu minimieren.


So, dann bringen wir die (noch vorhandenen) Programme auf deinem PC noch auf den neusten Stand und dann sind wir "schon" fertig ;)


Schritt 1

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 17 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

schneller Plugin-Test: PluginCheck


Schritt 2

• Deinstalliere bitte deine aktuelle Version vom Adobe FlashPlayer
  Start--> Systemsteuerung--> Software--> Adobe Flashplayer (Activex)
  und lade dir die neue Version von Hier herunter-
  Entferne den Haken für den McAfee SecurityScan bzw. Google Chrome.

Schritt 3

VLC-Update:

• Lade dir die neuste Version des VLC von Hier herunter und installiere sie.
• Wenn der Installationsassistent fragt, ob er die alte Version deinstallieren soll, lasse dies bitte zu.

Schritt 4

Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher, dass die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und dass diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demand Scan Tool, welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java, Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart außerdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese schaden deinem System mehr als sie helfen. Hier ein paar (englische) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
• Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z. B. deinFoto.jpg.exe oder (aus aktuellem Anlass) angebliche Rechnungen im ZIP- oder Exe-Format

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, sodass ich diesen Thread aus meinen Abos löschen kann.

Hi Christoph,

Deine vielen Hinweise und Anleitungen haben mich schwer in Atem gehalten und einige neue Fragen aufgeworfen.

Schritt 1. Java
die jxpiinstall.exe habe ich nirgends entdeckt. Unter dem Link wurde jre7u17-windows-i586.exe angeboten. Bis auf den Ordner hab ich

keine Eingriffsmöglichkeiten gesehen, lief alles "eigenmächtig". Die gewohnte Frage nach Ask-Toolbar tauchte nicht auf.
Alles andere nach Deinen Vorgaben erledigt.

Schritt 2. Adobe Flash Player
keine benutzerdefinierte Installationsmöglichkeit gesehen. Im ersten Anlauf wurde Google mit installiert, hab ich abgebrochen und beim nächsten Download weggehakt.

Schritt 3. VLC-Player
mitten in Installation tauchte ein DOS-Fenster auf und schien auf Eingabe zu warten. Nach Fensterwechsel lief's anstandslos zuende.

Schritt 4.
Ich bin ein ziemlich vorsichtiger/ängstlicher PC-Nutzer. Bei den diversen Neuinstallationen war's dennoch teilweise mühsam, den richtigen
Downloadlink zwischen all den fetten Buttons und Aufforderungen zu finden - auch auf filepony (die Startseite ließ sich bisher nie aufrufen, lädt und lädt und bricht dann ab). Deine Direktlinks haben funktioniert.

*Aktualität >> verstanden
*Anti Viren Schutz >> verstanden
* zusätzlicher Schutz >> MalwareBytes ok. WinPatrol hat mich bei Neuinstallation der Programme gerade mächtig überfordert, kann ich

darauf verzichten?
* sicheres Browsen >> ist SpywareBlaster die bessere Alternative zu Spybot Search&Destroy? Die beiden anderen Tools müssen wg.

Überforderung erstmal zurückstehen
* alternative Browser >> Firefox ist seit Jahren mein Standardbrowser (sofern er nicht abhanden kommt), AdBlock Plus und NoScript

hab ich jetzt dabei
* Performance >> TFC statt Datenträgerbereinung?? Was ist mit Defragmentierung? Anderes Tool als Win Bordmittel? Ich nutze Defraggler auf meinem ArbeitsPC.
* Don'ts >> habe ich bisher zu beherzigen versucht, scheint nicht immer geklappt zu haben ;-)

Neuinstallation der Programme - Fragen/Probleme
1. Firefox >> hat im AdminKonto direkt Webdeveloper und FireBug an Bord (wie vorher), im OnlineKonto nicht - warum?
2. FileZilla >> erkennt ältere Version, bietet Übernahme d. Daten/Einstellungen an. Leider sind keine Serverdaten mehr vorhanden.
3. Inkscape >> moniert, dass ursprüngliche Installation vom OnlineKonto erfolgte. Nach Wechsel mit vorübergehenden Adminrechten hat's fehlerfrei geklappt.
4. Paint.Net >> WinPatrol fragt nach Zustimmung f. Flash Player Updater, hoffe "Yes" war ok. Am Ende erscheint die Meldung "schwerwiegender Fehler bei Installation". Unter Systemsteuerung > Software findet sich ein Eintrag, allerdings lässt sich das Programm
nicht starten. Unter C:\Programme\Bild&Grafik\Paint.Net gibt's 'ne Reihe Einträge, aber keine .exe-Datei. Wie kann ich das Programm wieder installieren??

Soviel zu meinen aktuellen Rückkehrversuchen zur gewohnten Einrichtung. Tut mir leid, dass ich Dich noch immer beanspruchen muss.

Hoffentlich kommen nicht noch mehr Überraschungen hinterher.

LG
Claudia

Doch, geht schon wieder los. Maus lässt sich hier (jetzt Firefox) kaum steuern, Touchpad und Pfeiltasten dito.

Die Probleme mit Maus & Co scheinen im erweiterten Antwortfenster so krass zu sein.

Hi Claudia

dito :p
Ist auch ok.
:daumenhoc
:daumenhoc
Das DoS-Fenster ist normal. Finde ich auch etwas unglücklich gelöst, da es einige User verunsichern kann und bisweilen zu skurrilen Aktionen führt...
Filepony ist seit heute morgen down, warum auch immer. Zur Not die Programme per Google suchen und dann von der Herstellerseite oder von chip.de herunterladen.
:daumenhoc
Ja, kannst du, wenn es dir lieber ist. Das sind ja alles nur Empfehlungen, keine Befehle ;)
Auf jeden Fall. Spybot ist nicht mehr auf dem Stand der Zeit und kann bei unsachgemäßer Handhabung vieles verkomplizieren. Zumindest WOT würde ich aber noch installieren. Sollte eigentlich schnell gehen und zu verstehen gibt's da auch nicht viel (Ampel-System ;) )
:daumenhoc
Generell sind die Windows-Boardmittel immer zu empfehlen (bei denen kann man sich sicher sein dass sie wissen was sie tun), allerding sind externe Tool meist "schöner anzuschauen", wenn du verstehst was ich meine ;) TFC kannst du zusätzlich dazu benutzen, seine Suchbereiche weichen etwas ab. Zur Defragmentierung kannst du das Windows-Boardmittel benutzen, der Defraggler ist aber auch ok. Allerdings ist eine Defragmentierung meiner Meinung nach (wenn überhaupt) nicht so häufig nötig, dass man ein extra Tool dafür benötigt.
Trotzdem weiter so :daumenhoc
Anscheinend waren die Konfigurationsdateien noch im Firefox-Profil des Admin-Kontos vorhanden, im Online-Konto aber nicht. Um sowas (und generell Probleme mit Firefox und seinen Profilen und Konfigurationen) vorzubeugen, empfehle ich dir MozBackup, mit dem du dein Firefox Profi, Lesezeichen, Addons, Plugins, History etc. extern sichern und notfalls wiederherstellen kannst.
Ich kenne leider das Programm nicht, kann dir daher nicht weiterhelfen...
:daumenhoc
Deinstalliere bitte zuerst alles, was von deinem fehlgeschlagenen Installationsversuch übrig ist. Notfalls mit dem Revo Uninstaller:
Software mit Revo Uninstaller deinstallieren

Downloade Dir bitte den Revo Uninstaller

• Doppelklicke auf die revosetup.exe.
• Installiere das Tool in den vorgegebenen Pfad.
• Doppelklicke auf das Revo Uninstall Icon.
• Suche Dir nun folgende Software aus der Code-Box.
  
  Code:

  ---

  Paint.Net

  ---

  Klicke darauf und bestätige mit Ja.
• Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
• Das Tool wird nun nach allen Einträgen auf dem Rechner suchen. Klick auf weiter
• Klicke auf den Markiere alle Button und klicke auf löschen und bestätige mit Ja.

Bebilderte Anleitung

Starte den Rechner neu auf.

Jetzt bitte alles deaktivieren, was im Hintergrund läuft und eine Installation stören könnte. Also dein Antivirenprogramm, WinPatrol etc. Versuche jetzt erneut das Programm zu installieren.

Kein Problem, dafür bin ich hier ;)
Das kann viele Ursachen haben, vielleicht war deine Internetverbindung auch grade nur etwas gefordert (wegen Updates etc.). Würde ich aber jetzt nicht als ein von Malware verursachtes Problem auslegen.

Gruß

Hi Christoph,

erstmal die Erfolgsmeldung: Paint.Net ist installiert, trotz einer Fehlermeldung während der Deinstallation. :daumenhoc

Richtige Freude stellt sich trotzdem nicht ein. Mein ehemals so flottes Netbook hakt und schleicht an allen Ecken und Enden.
Aus reiner Not bin ich über IE eingewählt. In Firefox habe ich keine Chance, in dieses Fenster zu schreiben :headbang:
Andere Programme laufen nicht -außer Hintergundwächtern, WLAN-Verbindung wird als "hervorragend" angegeben.
Dafür braucht der IE ätzend lange, um irgendwelche Seiten zu laden, während normales Surfen mit Firefox problemlos funktioniert...

Angesichts von 4 Wochen gemeinsamer Fehlersuche und Bereingungsaktion wäre Neuinstallation wohl der schnellere Weg gewesen. Wenn ich wüsste, wie ich das Netbook ohne DVD-Laufwerk neu aufsetzen kann! Ich habe zwar die alte Recovery-CD, aber weder ein externes Laufwerk noch 'ne Vorstellung, was ich damit anfangen soll...:confused:

Fällt Dir dazu nochwas ein oder muss ich mit diesen Einschränkungen einfach leben? Damit wird mein Netbook wohl künftig ein beschauliches Rentnerdasein führen.

Wenn Du auch keine Idee dazu hast, können wir dieses Thema abschließen. Die wichtigsten Programme habe ich wieder installiert und "freue" mich schon, sie alle wieder zu konfigurieren.

Danke für Deine Mühe und Geduld und Hut ab für den Einsatz neben Deinem Studium!

LG
claudia

Hi Claudia

:daumenhoc

Die Tatsache, dass beide Browser betroffen sind, schließt ein browser-spezifisches Problem schonmal aus. Es könnte an einem eingestellten Proxy liegen (obwohl davon nichts in den Logs zu sehen war). Kontrollieren bitte mal deine Proxy-Einstellungen. Außerdem kannst du versuchen deine Cookies etc. zu löschen, denn die können in großen Mengen auch Geschwindigkeitseinbußen verursachen. Das geht z. B. mit dem CCleaner. Bitte aber jegliche Registry-"Bereinigung", ob mit dem CCleaner oder anderen Programmen, unterlassen! Zerstörst du die Registry, zerstörst du Windows.
Ansonsten kannst du noch folgende Anleitung abarbeiten: http://www.trojaner-board.de/71631-p...samer-tun.html

Vielleicht hat dein Netbook eine Recovery-Funktion (es ist doch ein ASUS eeePC, oder?). Dann könntest du es über F9 auf die Werkseinstellungen zurücksetzen, siehe hier und hier. Ansonsten kannst du dir auch ein externes Laufwerk besorgen oder kaufen. Das könntest du ja auch weiter verwenden und es ist mit knapp 25€ für die Einsatzmöglichkeiten auch relativ günstig (z.B. von einem Internet-Versandhändler). Damit könntest du dann von der Recovery-CD booten.

Gruß

Hallo Christoph,

vielen Dank für die vielen nützlichen Links, die Du mir zusammengestellt hast. Der zu den Proxy-Einstellungen hat bei nicht funktioniert, alle anderen habe ich mir angesehen. Wird aber dauern, bis ich den - für mich extrem stressbesetzten - Kraftakt der Rücksetzung in Angriff nehme. Eine Überfrachtung des Netbooks schließe ich aus.

Dein Mitstreiter Cosinus hat sich meiner Frage bezüglich meines betagten Arbeits-PCs angenommen (Trojanerfund), obwohl ich derzeit für derartige Widrigkeiten so gar keine Zeit und Nerv habe.

Dir danke ich ganz herzlich für Deine lange, hilfreiche Begleitung in Sachen Netbook. Schädlingsfrei hab' ich's mit Deiner Unterstützung, die wichtigsten Programme sind auch wieder drauf, Einrichtung muss noch etwas warten. Dauert bei mir halt länger als Computer-Cracks sich vorstellen können...
Ich denke, wir können den Thread damit schließen. Bei unerwarteten Hürden wäre ein neues Thema wohl auch richtiger.

LG und toi, toi, toi sowohl für Studium als auch für Deine Ausbildung hier im Board.

claudia

Danke sehr :)

Froh dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.