Trojaner-Board - Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7 (https://www.trojaner-board.de/150675-windows-defender-problem-beim-entfernen-trojan-win32-necurs-a-trojan-winnt-necurs-a-windows-7-a.html)

Habe das FRST-Log auf dem (noch :-) infizierten Rechner und bin gerade dabei es zu posten, da ...

lebt G Data wieder und meldet mit syshost.exe ein vermutlich bösartiges Programm und schlägt die Entfernung vor. Seitdem es versucht, auch noch aktuelle Signaturen zu laden (was ja eigentlich richtig ist), ich das aber erstmal unterbinden und fertig posten wollte, kommt ich irgendwie nicht mehr ins Internet (Beim Versuch erneut ins Internet zu verbinden kommt: Fehler beim Speichern des Drahtlosprofils. Die Gruppe oder Ressource haben für diesen Vorgang nicht den richtigen Zustand.) Vermutlich war das zu viel aufeinmal. Würde ja gerne mal neu starten, aber das lasse ich zunächst noch.

Ich schreibe gerade vom sauberen System. Die G Data Meldung mit der Bedrohung auf dem infizierten Rechner ist ständig oben und bietet verschiedene Aktionen an. Ich würde Dir trotzdem gerne zunächst das FRST-Log posten. Soll ich G Data unsanft beenden oder was soll ich machen?

Hi Jo,
versuche GDATA die Bedrohungen beseitigen zu lassen (Quarantäne? Löschen? Was bietet er an?) und mache anschließend ein neues FRST-Log OK? ;)

Es bietet folgende Aktionen an:

1. Immer erlauben
2. Erlauben
3. Programm anhalten
4. Programm anhalten und in Quarantäne verschieben

Welche nehme ich?

4. gemacht. G Data will Neustart. A). Erst noch FRST und dann Neustart oder B). Neustart und dann FRST?

:daumenhoc

Erst Neustart und dann bitte FRST posten! :)

Ok, das neue FRST bekommst Du gleich. Willst Du auch das FRST von vor dem Entfernen mit G Data, was ich vorhin schon posten sollte?

Ändere den Namen vom FRST.txt vor dem "Löschen" von GDATA in "vorher.txt" um und hebe es auf. Poste mir nur das neue nach dem Löschen und dem Reboot. ;)

Hier die nach dem "Löschen" mit G Data und Reboot erstellte

FRST.txt (Die von "vorher" hab' ich gut weggelegt)

FRST Logfile:

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-03-2014

Ran by Jörg (administrator) on BEETHOVEN on 10-03-2014 20:39:57

Running from C:\Users\Jörg\Desktop

Microsoft Windows 7 Home Premium  (X86) OS Language: German Standard

Internet Explorer Version 8

Boot Mode: Normal
 
 
 

==================== Processes (Whitelisted) =================
 

(G Data Software AG) C:\Program Files\Common Files\G Data\GDScan\GDScan.exe

() C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe

(AMD) C:\Windows\system32\atiesrxx.exe

(AMD) C:\Windows\system32\atieclxx.exe

(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

(G Data Software AG) C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe

(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe

(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe

() C:\ProgramData\DatacardService\DCService.exe

(Deutsche Telekom AG) C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe

(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe

(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe

(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe

(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe

(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe

(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe

(Nokia) C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe

(CANON INC.) C:\Program Files\Canon\MyPrinter\BJMYPRT.EXE

(CANON INC.) C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE

(CANON INC.) C:\Program Files\Canon\IJ Network Scanner Selector EX\CNMNSST.exe

(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe

() C:\Program Files\WISO\Steuersoftware 2013\mshaktuell.exe

(Nokia Corp.) C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe

(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE

(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe

(Microsoft Corporation) C:\Windows\system32\PrintIsolationHost.exe
 
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [370176 2010-06-17] (shbox.de)

HKLM\...\Run: [G Data AntiVirus Tray Application] - C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe [996936 2010-08-26] (G Data Software AG)

HKLM\...\Run: [GDFirewallTray] - C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe [1538120 2010-08-26] (G Data Software AG)

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1348904 2008-08-14] (Synaptics, Inc.)

HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)

HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)

HKLM\...\Run: [DataCardMonitor] - C:\Program Files\Telekom\InternetManager_H\DataCardMonitor.exe [253952 2011-04-22] (Huawei Technologies Co., Ltd.)

HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)

HKLM\...\Run: [Nokia Tray Application] - C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe [425984 2003-01-03] (Nokia)

HKLM\...\Run: [CanonMyPrinter] - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2567272 2011-07-19] (CANON INC.)

HKLM\...\Run: [CanonSolutionMenuEx] - C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE [1637496 2011-08-04] (CANON INC.)

HKLM\...\Run: [IJNetworkScannerSelectorEX] - C:\Program Files\Canon\IJ Network Scanner Selector EX\CNMNSST.exe [468112 2011-07-25] (CANON INC.)

HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)

HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.)

HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {391dea39-7420-11e0-85dc-001e337fa516} - F:\AutoRun.exe

HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae83-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe

HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae8f-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe

Startup: C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk

ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
 

==================== Internet (Whitelisted) ====================
 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x131F0EDEDC2BCF01

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

BHO: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)

BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)

BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)

Toolbar: HKLM - G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)

DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://javadl-esd.sun.com/update/1.6.0/jinstall-6u20-windows-i586.cab

DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} hxxp://www.o2c.de/download/O2CPlayer.CAB

DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
 

========================== Services (Whitelisted) =================
 

R2 AVKProxy; C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe [1178184 2010-08-27] (G Data Software AG)

R2 AVKService; C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe [410696 2010-03-31] (G Data Software AG)

R2 AVKWCtl; C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe [1330792 2010-08-25] ()

R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] ()

R3 GDFwSvc; C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe [1607344 2010-08-25] (G Data Software AG)

R3 GDScan; C:\Program Files\Common Files\G Data\GDScan\GDScan.exe [340552 2010-08-25] (G Data Software AG)

R2 Netzmanager Service; C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [2635776 2012-07-20] (Deutsche Telekom AG)

S2 syshost32; "C:\Windows\Installer\{49DD8FF3-6331-EFC6-FD30-0817DCDEABCE}\syshost.exe" /service [X]
 

==================== Drivers (Whitelisted) ====================
 

R0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [33480 2011-01-04] (G Data Software AG)

R1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [62024 2011-01-04] (G Data Software AG)

R3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [47560 2011-01-04] (G Data Software AG)

R1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd32.sys [40904 2011-01-04] (G DATA Software AG)

R1 GRD; C:\Windows\system32\drivers\GRD.sys [29992 2011-01-04] (G Data Software)

R1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [38856 2011-01-04] (G Data Software AG)

S3 TelekomNM3; C:\Program Files\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [35040 2010-09-16] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)

U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [208896 2010-08-31] (Huawei Technologies Co., Ltd.)
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2014-03-10 20:39 - 2014-03-10 20:39 - 00008966 _____ () C:\Users\Jörg\Desktop\FRST.txt

2014-03-10 19:05 - 2014-03-10 19:05 - 00013421 _____ () C:\Users\Jörg\Desktop\2014-03-10 1st FRST.txt

2014-03-10 18:28 - 2014-03-10 18:29 - 00021343 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.zip

2014-03-10 18:28 - 2014-03-10 18:29 - 00006806 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log

2014-03-10 18:13 - 2014-03-10 19:04 - 00000000 ____D () C:\Users\Jörg\Desktop\FRST GMER

2014-03-10 18:13 - 2014-03-09 00:49 - 00251584 _____ (ESET) C:\Users\Jörg\Desktop\ESETNecursCleaner.exe

2014-03-07 22:06 - 2014-03-07 13:57 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe

2014-03-07 22:05 - 2014-03-10 20:39 - 00000000 ____D () C:\FRST

2014-03-04 15:10 - 2014-03-04 15:26 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z
 

==================== One Month Modified Files and Folders =======
 

2014-03-10 20:40 - 2014-03-10 20:39 - 00008966 _____ () C:\Users\Jörg\Desktop\FRST.txt

2014-03-10 20:39 - 2014-03-07 22:05 - 00000000 ____D () C:\FRST

2014-03-10 20:36 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT

2014-03-10 20:36 - 2009-07-14 05:39 - 00049036 _____ () C:\Windows\setupact.log

2014-03-10 20:35 - 2010-12-27 23:53 - 01802020 _____ () C:\Windows\WindowsUpdate.log

2014-03-10 20:05 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\NDF

2014-03-10 19:12 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2014-03-10 19:12 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2014-03-10 19:05 - 2014-03-10 19:05 - 00013421 _____ () C:\Users\Jörg\Desktop\2014-03-10 1st FRST.txt

2014-03-10 19:04 - 2014-03-10 18:13 - 00000000 ____D () C:\Users\Jörg\Desktop\FRST GMER

2014-03-10 18:34 - 2010-12-28 00:03 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI

2014-03-10 18:33 - 2012-02-13 20:46 - 00000000 ____D () C:\Users\Jörg\Documents\Mein Steuer-Sparbuch Heute

2014-03-10 18:29 - 2014-03-10 18:28 - 00021343 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.zip

2014-03-10 18:29 - 2014-03-10 18:28 - 00006806 _____ () C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log

2014-03-09 00:49 - 2014-03-10 18:13 - 00251584 _____ (ESET) C:\Users\Jörg\Desktop\ESETNecursCleaner.exe

2014-03-07 13:57 - 2014-03-07 22:06 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe

2014-03-04 15:26 - 2014-03-04 15:10 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z

2014-03-03 15:11 - 2014-01-19 16:24 - 00000000 ____D () C:\Users\Jörg\Desktop\desk und URL 14

2014-03-02 17:57 - 2013-08-02 15:50 - 00000000 ____D () C:\test

2014-03-02 14:58 - 2010-12-28 00:00 - 00000000 ____D () C:\Users\Jörg

2014-02-28 20:10 - 2011-01-23 22:31 - 00000000 ____D () C:\Users\Jörg\AppData\Local\Microsoft Help

2014-02-28 20:10 - 2009-07-14 09:56 - 00000000 ___RD () C:\Users\Public\Recorded TV

2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\wfp

2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\registration

2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\AppCompat

2014-02-28 20:08 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\LogFiles

2014-02-22 22:19 - 2010-12-28 13:06 - 00000000 ____D () C:\ProgramData\FreePDF
 

Some content of TEMP:

====================

C:\Users\Jörg\AppData\Local\Temp\2SKKKKKKK.exe

C:\Users\Jörg\AppData\Local\Temp\FileSystemView.dll

C:\Users\Jörg\AppData\Local\Temp\jre-7u40-windows-i586-iftw.exe

C:\Users\Jörg\AppData\Local\Temp\MSETUP4.EXE

C:\Users\Jörg\AppData\Local\Temp\uninstall.exe
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\system32\winlogon.exe => MD5 is legit

C:\Windows\system32\wininit.exe => MD5 is legit

C:\Windows\system32\svchost.exe => MD5 is legit

C:\Windows\system32\services.exe => MD5 is legit

C:\Windows\system32\User32.dll => MD5 is legit

C:\Windows\system32\userinit.exe => MD5 is legit

C:\Windows\system32\rpcss.dll => MD5 is legit

C:\Windows\system32\Drivers\volsnap.sys => MD5 is legit
 
 

LastRegBack: 2014-03-10 00:09
 

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

--- --- ---

:daumenhoc

Na Jo, sieht doch nicht so schlecht aus... ;)

Könntest Du bitte diese Datei mit dem Editor oder dem Notepad öffnen und den Inhalt wie gewohnt posten?

Code:

C:\Users\Jörg\Desktop\ESETNecursCleaner.exe_20140310.182841.5004.log

Sieht gut aus, Top Sache. Respekt :-)

Hier die ESETNecursCleaner.exe_20140310.182841.5004.log

Code:

[2014.03.10 18:28:41.515] - 

[2014.03.10 18:28:41.515] -     ....................................

[2014.03.10 18:28:41.515] -   ..::::::::::::::::::....................

[2014.03.10 18:28:41.515] -   .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT..    Win32/Necurs

[2014.03.10 18:28:41.515] -  .::EE::::EE:SS:::::::.EE....EE....TT......   Version: 2.1.0.1

[2014.03.10 18:28:41.515] -  .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT......   Built: Sep 17 2013

[2014.03.10 18:28:41.515] -  .::EE:::::::::::::SS:.EE..........TT......

[2014.03.10 18:28:41.515] -   .::EEEEEE:::SSSSSS::..EEEEEE.....TT.....    Copyright (c) ESET, spol. s r.o.

[2014.03.10 18:28:41.515] -   ..::::::::::::::::::....................    1992-2013. All rights reserved.

[2014.03.10 18:28:41.515] -     ....................................

[2014.03.10 18:28:41.515] - 

[2014.03.10 18:28:41.515] - --------------------------------------------------------------------------------

[2014.03.10 18:28:41.515] - 

[2014.03.10 18:28:41.515] - INFO: OS: 6.1.7600 SP0

[2014.03.10 18:28:41.515] - INFO: Product Type: Workstation

[2014.03.10 18:28:41.531] - INFO: WoW64: False

[2014.03.10 18:28:41.531] - INFO: Machine guid: FD8681DB-618A-40BA-A9A0-AAFDF4D62A7C 

[2014.03.10 18:28:41.531] - 

[2014.03.10 18:28:52.124] - INFO: Scanning for system infection...

[2014.03.10 18:28:52.124] - --------------------------------------------------------------------------------

[2014.03.10 18:28:52.124] - 

[2014.03.10 18:28:52.124] - INFO: Found suspicious service - 2af407cd8554d782

[2014.03.10 18:28:52.343] - INFO: modulePath - \??\C:\Windows\system32\Drivers\null.sys

[2014.03.10 18:28:52.343] - ERROR: DT09a... - 5

[2014.03.10 18:28:52.343] - INFO: Rootkit's service key - 2af407cd8554d782

[2014.03.10 18:28:52.343] - INFO: Rootkit's path - \SystemRoot\System32\Drivers\2af407cd8554d782.sys

[2014.03.10 18:28:52.374] - INFO: Win32/Necurs found

[2014.03.10 18:29:10.002] - INFO: necurs time creation: 2014-2-2 20:29:30

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-6-17 19:56:44

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-1-4 0:3:23

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-1-4 0:3:23

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2008-8-14 8:40:36

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-2-18 10:43:18

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2010-3-13 13:54:26

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2011-4-22 13:2:57

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-9-13 17:51:6

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2012-6-3 16:36:32

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-5-1 1:59:4

[2014.03.10 18:29:10.002] - INFO: autorun app time creation: 2013-11-1 23:29:44

[2014.03.10 18:29:11.780] - INFO: Cleaning status: 2

[2014.03.10 18:29:50.172] - 

[2014.03.10 18:29:50.172] - --------------------------------------------------------------------------------

[2014.03.10 18:29:50.172] - INFO: System is rebooting...

[2014.03.10 18:29:50.344] - --------------------------------------------------------------------------------

[2014.03.10 18:29:50.344] - INFO: Logging finished successfully...

[2014.03.10 18:29:50.344] - --------------------------------------------------------------------------------

Super gemacht Jo! :abklatsch:

:daumenhoc

Stay tuned! ;)

Wir sind noch nicht fertig.... ;)

:daumenhoc:daumenhoc:daumenhoc

Trotzdem schonmal DANKE !

Bin dabei ... und gespannt, wie's weiter geht ...

Schritt 1
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mir also in Deiner nächsten Antwort den Inhalt der Logdateien wie gewohnt in Code Tags von:

- Malwarebytes
- ESET
- checkup.txt

Hi Jürgen, MBAM läuft seit ca. 10 Min. Log kommt gleich ...

Registry-Key und -Value von syshost32 mit MBAM entfernt. Neustart.

Dazu das Log:

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2014.03.11.09
 

Windows 7 x86 NTFS

Internet Explorer 8.0.7600.16385

Jörg :: BEETHOVEN [Administrator]
 

Schutz: Aktiviert
 

11.03.2014 21:56:38

mbam-log-2014-03-11 (21-56-38).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 209957

Laufzeit: 8 Minute(n), 15 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOST32 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 1

HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Daten: "C:\Windows\Installer\{49DD8FF3-6331-EFC6-FD30-0817DCDEABCE}\syshost.exe" /service -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)