Keine Updates & einige Installationen mehr möglich - infiziert nach Malware
 

Hallo, ich habe seit 2 Tagen ein Problem mit meinen Updates. :wtf:

Betriebssystem Win 7 32bit

Es fing an mit einem Programm Avirasolution mit lauter netten Postings die mich immer daran erinnern sollen bitte ein Update durchzuführen, nichtmal den Taskmanager ließ mich das Programm öffnen.
Nachdem ich mir ein antimalware programm heruntergeladen hatte, dieses im abgesicherten Modus ausgeführt habe, schien alles wieder in Ordnung.

Jedoch lassen sich keinerlei Updates mehr fahren. Auch bei Programmen die online nach dem herunterladen sich noch irgendwas ziehen, komme ich nicht weiter denn die Verbindung scheint nicht zu funktionieren. MSN funktioniert auch nicht mehr da die verbindung irgendwo im Sand verläuft.
Spydoctor o. ä. kann ich nicht anwenden, da ich es nicht installieren kann (Verbindungbaut sich zum aktualisieren nicht auf)

Word, Excel etc (2007) funktionieren zwar - jedoch scheint irgendwas mit der temp Datei nicht in Ordnung zu sein - versteh ich nicht, denn aufrufen und speichern kann ich es - es ist aber ziemlich nervig da outlook sich dadurch manchmal aufhängt.
:headbang:

Nachdem ich in gefühlten 1000 Foren umhergesucht habe bin ich immer wieder darauf gestoßen ein Hi-Jack & Malware Scan durchzuführen - mit der Hoffnung :taenzer: dass mir jmd weiterhelfen kann hab ich das mal im Anhang



Ich hab zwar keine Ahnung was dat is :pfeiff: - scheint aber von relativ hohem Nutzen zu sein, nachdem das so oft benötigt wird.

Achja - microsoft selbst ist keine große Hilfe. :lmaa:
Die updates dort funktionieren übrigens genauso wenig wie die miens Virenprogramms (auch mit ausgeschaltener Firewall - daran liegt's also net)


_________________________________________________________________

Malware hab ich laufen lassen - Ergebnis im Anhang







Grüße und danke schonmal im Voraus.

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Poste die Logfiles in Code-Boxen. Dadurch sparst du Platz.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich möchte dich nun darauf hinweisen, dass ich hier noch in Training bin und jede Antwort zuerst von einem Mitglied des Kompetenzteams freigegeben werden muss. Dies kann eine leichte Verzögerung der Antworten hervorrufen. Ich bedanke mich für deine Geduld.



Schritt # 1: Load.exe ausführen
Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.html.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.
Wichtig: Falls Du das Tool erneut startest, nutze den CleanUp Button nicht ohne Anweisung.

Anleitung:
Load.exe by Larusso




Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort die Logfiles von

• Malwarebytes' Anti-Malware,
• defogger_disable.log,
• Gmer.txt,
• OTL.txt und
• Extras.txt

Hallo & danke für die angebotene Hilfe,

ich habe soweit alles abgearbeitet jedoch mit einigen Problemchen. :wtf:

Zunächst ist esmir nicht gelungen defogger.exe zu startet bzw ich fang mal vorne an.
Ich habe die Datei Load.exe heruntergeladen jedoch ausser der Anleitung und scan.txt nichts weiter erstellt. Somit musste ich mir alle Exe-Dateien selbst aus dem Internet zusammensuchen. Defogger habe ich jedoch nicht gefundn, somit habe ich diese Logdatei nicht. Ach und bei OTL.exe wurde keine Extra.txt erstellt, habe die Anweisungen genau befolgt jedoch hat er mir das nicht ausgegeben.

Also im Anhang die Logfiles, ich hoffe daraus ist irgendwas ersichtlich.
Weiteres Problem hab ich mittlerweile entdeckt, ich werde ab und an auf Webseiten geleitet, welche nicht denen entsprechen die ich wollte. Scheint wohl einiges im Argen zu sein..hoffe doch das wird wieder.


Mfg No suspicion

Hallo No suspicion,


Schritt # 1: Internetzugang wiederherstellen
Malware hat deinen Internetzugang blockiert. Das müssen wir wieder aufheben:

• Öffne den Internet Explorer.
• Folge nun folgendem Pfad: Extras -> Internetoptionen -> Verbindungen -> Einstellungen
• Entferne den Haken bei Proxyserver für diese Verbindung verwenden
• Klicke auf Ok.
• Schließe den Internet Explorer.

Schritt # 2: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Suche in der Liste Software mit dem Namen SpyHunter bzw. Enigma Software Group und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 3: Mehrere Anti-Virus-Programme

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Ausserdem bremst es auch das System aus. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.





Schritt # 4: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von ComboFix.

Hallo M-K-D-B & Danke für die Schnelle Antwort,

also ich bevorzuge Antivir als Virenscan, den Rest hab ich nun ausgeschaltn bzw. deinstalliert.

Zum angesprochenen Programm - die Datei kann ich zwar downloadn jedoch kann ich es nicht starten da die Verbindung ins Internet nicht hergestellt werden kann (versteh ich nicht da ich ja im Internet bin zeitgleich und dies funktioniert) übrigens mit und ohne Firewall oder Virenprogramm, hab's getestet.

Die Sache mit dem I-net Explorer hab ich schonmal irgendwo gelesn, auch schon nachgeschaut der Haken war bei mir garnicht gesetzt..im Augenblick also echt verwirrt und planlos da ich nichtmal die Datei richtig laden kann, aufgrund nicht verbundenen Internets :s

Ich hoffe es gibt eine weitere Lösung als zu formatieren, dazu habe ich leider im Moment keine Zeit da ich meine Dipl. Arbeit schreibe und eigentlich ja alles soweit funktioniert, bis auf angegebene Probleme...

Vielen Dank aber für die Bemühungen und Hilfe

No suspicion

Hallo No suspicion,


Schritt # 1: Fragen beantworten
Treten diese Umleitungen auf nicht gewünschte Seiten mit beiden Browsern (Internet Explorer und Firefox) auf oder nur mit einem der beiden? Bitte gib uns genauere Informationen.





Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: ComboFix.exe vom Desktop löschen
Bitte lösche die Datei ComboFix.exe von deinem Desktop, bevor du mit Schritt # 4 beginnst.
Außerdem bitte ich dich nochmals, ALLE Firewalls, Virenscanner, etc. zu deaktivieren, bevor du ComboFix verwendest.





Schritt # 4: ComboFix umbenannt ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer - InfoSpyware

Firefox User:
Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke
Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK.


**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://larusso.trojaner-board.de/Images/CFumbenannt.jpg

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• Die Beantwortung der gestellten Frage,
• das Logfile des OTL-Fix und
• das Logfile von ComboFix.

Hallo, hat etwas gedauert hat aber allees soweit funktioniert.

ich nutze übrigens ausschließlich Firefox als Browser. Deshalb kann ich nicht genau sagen ob das mit dem weiterleiten auch beim Inetexplorer passiert.

Danke für Ihre schnelle Hilfe -
Im Anhang befinden sich die zwei Dateien. Die erste ist die OTL.exe file die zweite die Combofix file.

Mfg & einen guten Start ins neue Jahr

No suspicion

Hallo No suspicion,

ich wünsche dir ein erfolgreiches und gesundes Jahr 2011. :)



Schritt # 1: Fragen beantworten
Bitte beantworte uns folgende Fragen:

• Treten die Umleitungen auf unerwünschte Seiten mit Firefox noch auf?
• Kannst du Windows Updates und andere Updates wieder ausführen, die zuvor blockiert waren?
• Verwende bitte auch den Internet Explorer und beobachte, ob du umgeleitet wirst.
• Gibt es momentan noch Probleme? Wie läuft dein Rechner derzeit?
• Hinweis: Bitte füge die Logfiles nicht als Anhang an, sondern füge sie direkt oder mithilfe von Code-Boxen ein.

Schritt # 2: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Scan mit OTL

• Starte bitte OTL.exe.
• Wähle unter
  Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• Die Beantwortung der gestellten Fragen,
• das neue Logfile von ComboFix,
• das neue Logfile von MBAM und
• die beiden neuen Logfiles von OTL.

Hallo M-K-D-B

bin heute dazu gekommen obig aufgelistete Programme auszuführen.

Updates funktionieren wieder und auch die Umleitungen in den beiden Expolorern Firerfox & Microsoft funktionieren wieder soweit ich das getestet habe.

Jedoch hat sich ein neues Problem entwickelt, ich kann Firefox oder ähnliches nicht mehr direkt starten Fehlermeldung:

"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde."

Ziemlichn Schreck hab ich bekommn da ich nicht mehr ins Netz kam um zu surfen. Mit rechtsklick "als Admin ausführen" brachte dann zum Glück die erhoffte Wirkung. Jedoch nur so funktioniert das, hab ich was vermurkst? Auch Wordpad und alle möglichen weiteren Dateien lassen sich nur öffnen wenn ich den Header also Word.exe oder Wordpad.exe als Admin ausführe, ein bisl lässtig, der rest funzt wieder.



Anbei die Logfiles:

Combofix:
Combofix Logfile:
--- --- ---






Maleware:


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5443

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.01.2011 20:00:25
mbam-log-2011-01-02 (20-00-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151042
Laufzeit: 6 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







OTL:OTL Logfile:
--- --- ---





Extra (OTL):OTL Logfile:
--- --- ---








wenn wir dass noch in den Griff bekämen wär das super, aber bislang erstmal vielen Dank für die Hilfe.

Mfg No Supicion

Hallo M-K-D-B

bin heute dazu gekommen obig aufgelistete Programme auszuführen.

Updates funktionieren wieder und auch die Umleitungen in den beiden Expolorern Firerfox & Microsoft funktionieren wieder soweit ich das getestet habe.

Jedoch hat sich ein neues Problem entwickelt, ich kann Firefox oder ähnliches nicht mehr direkt starten Fehlermeldung:

"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde."

Ziemlichn Schreck hab ich bekommn da ich nicht mehr ins Netz kam um zu surfen. Mit rechtsklick "als Admin ausführen" brachte dann zum Glück die erhoffte Wirkung. Jedoch nur so funktioniert das, hab ich was vermurkst? Auch Wordpad und alle möglichen weiteren Dateien lassen sich nur öffnen wenn ich den Header also Word.exe oder Wordpad.exe als Admin ausführe, ein bisl lässtig, der rest funzt wieder.



Anbei die Logfiles:

Combofix:

Combofix Logfile:
--- --- ---







Maleware:


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5443

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.01.2011 20:00:25
mbam-log-2011-01-02 (20-00-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151042
Laufzeit: 6 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)







OTL:
OTL Logfile:
--- --- ---






Extra (OTL):
OTL Logfile:
--- --- ---









wenn wir dass noch in den Griff bekämen wär das super, aber bislang erstmal vielen Dank für die Hilfe.

Mfg No Suspicion

Hallo No suspicion,


Schritt # 1: Fragen beantworten
Bitte beantworte uns folgende Fragen:

• Woher kommt diese Datei?
  
  Zitat:

  [2011.01.02 19:57:22 | 758,143,246 | ---- | C] () -- C:\Users\obelix\Desktop\Spiderman.3.avi

• Hast du nach der Ausführung der hier aufgelisteten Schritte immer noch Probleme mit dem Öffnen von Programmen?

Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• Die Beantwortung der gestellten Fragen und
• das Logfile des OTL Fixes.

Hallo M-K-D-B,

habe die angegebene Datei ausgeführt, damit funktioniert nun auch ein ganz normales Öffnen von Programmen und Dateien, Umleitungen habe ich bisher keine mehr bemerkt, somit ist alles wieder im Lot denke ich.

Hier noch die OTL.exe log.:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
C:\Users\obelix\AppData\Local\MSNUser90 folder moved successfully.
C:\Users\obelix\AppData\Roaming\53419 folder moved successfully.
========== FILES ==========
< sc config PEVSystemStart Start= disabled /C >
[SC] OpenService FEHLER 1060:
Der angegebene Dienst ist kein installierter Dienst.
C:\Users\obelix\Desktop\Downloads\cmd.bat deleted successfully.
C:\Users\obelix\Desktop\Downloads\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes

User: obelix
->Temp folder emptied: 32679 bytes
->Temporary Internet Files folder emptied: 1194347 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 70398369 bytes
->Flash cache emptied: 3063 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2834 bytes
RecycleBin emptied: 758143246 bytes

Total Files Cleaned = 791.00 mb


OTL by OldTimer - Version 3.2.18.2 log created on 01032011_185130

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Danke für die Hilfe ich wär augeschmissen gewesen, nur weil sich irgendwer ein großartig bescheuertes Spam-Programm einfallen hat lassen nur um Leute zu ärgern.

Glücklicherweise gibt es dafür Hilfe.

Mfg No suspicion

Achso die Datei übrigens: Ein misslungener Versuch DBTV aufzunehmen.

Hallo No suspicion,

wir sind noch nicht ganz fertig. :)


Schritt # 1: Wichtige Updates ausführen
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan.
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)





Schritt # 2: Java deinstallieren/neu installieren
Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und Remove Sun Download Manager.
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 23) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.





Schritt # 3: ESET Online Scanner

Bitte während des Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Haken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt # 4: Scan mit OTL
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.





Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des ESET Online Scanners und
• die beiden Logfiles von OTL.

Hallo M-K-D-B, danke für die schnelle Rückmeldung,

ich kann leider nicht weitermachen, da ich weder Adobe noch Java deinstallieren kann :balla:

Habe das Problem als jpg im Anhang irgendwas mit dem Windows installer meckert er, der würde wohl nicht recht funktionieren da er nicht anständig installiert ist, so in etwa. Ich solle mich doch mal wieder an Microsoft wenden..:stirn:

Für Lösungsvorschläge bin ich offen.

Mfg No suspicion

Hallo No suspicion,


Schritt # 1: MSIrepiar ausführen
Downloade Dir bitte MSIrepair.exe und speichere die Datei auf dem Desktop.

• Starte die MSIrepair.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke nun auf den Check Button.

Warte bitte bis sich eine MSI-Repair.txt Datei öffnet. Poste den Inhalt bitte hier.
Danach ist diese auf deinem Desktop zu finden.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• den Inhalt von MSI-Repair.txt.

Hallo M-K-D-B

Hier die MSI-Repair.txt:

Files
C:\Windows\System32\msiexec.exe
C:\Windows\winsxs\x86_microsoft-windows-installer-executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\msiexec.exe

Status

SERVICE_NAME: msiserver
TYPE : 10 WIN32_OWN_PROCESS
STATE : 1 STOPPED
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

HKLM\..\Services\Msiserver; ImagePath
%systemroot%\system32\msiexec.exe /V

HKLM\..\Services\Msiserver; Start
4


Hoff das passt so, ist viel kürzer als die anderen vorigen :taenzer:

Mfg No suspicion

Hallo No suspicion,


Schritt # 1: MSIrepair ausführen

• Starte bitte MSIrepair.exe erneut.
• Klicke diesmal auf den Fix Button und danach auf Run Fix.
• Verändere nichts ohne Anweisung.
• Wenn das Tool fertig ist, wird sich erneut eine MSI-Repair.txt öffnen. Diese bitte einfach schließen.
• Versuche nun die vorher genannte Software zu deinstallieren.
• Sollte erneut das selbe Problem auftauchen, starte den Rechner neu auf und versuch es nochmal.
• Bitte berichte uns.

Hallo M-K-D-B

hat soweit alles geklappt, hier sind die Logfiles:OTL Logfile:
--- --- ---



OTL Logfile:
--- --- ---







Scanlogfile:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=0bd560de9d489b47a18ad13430b98fe8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-01-06 07:36:35
# local_time=2011-01-06 08:36:35 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=512 16777215 100 0 792233 792233 0 0
# compatibility_mode=1797 16775165 100 94 365363 69847207 0 0
# compatibility_mode=5893 16776573 100 94 169663 46770643 0 0
# compatibility_mode=8192 67108863 100 0 3732 3732 0 0
# scanned=200020
# found=41
# cleaned=0
# scan_time=10695
C:\Program Files\ICQ7.2\packages\bloom\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\evergreen\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\Facebook\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\featuredThemes\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\german\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\kolobok\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\pro7\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\purple\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\quest\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\sky\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\strawberries\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\packages\zlango7\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\updates\manifest Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\Xtraz\icq\resources\de-de\xtraz_list.dtd Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\ICQ7.2\Xtraz\zlango7\resources\de-de\xtraz_list.dtd Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Users\obelix\AppData\Local\MSNUser90\rasWebusb.dll.vir a variant of Win32/Sefnit.AS trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\obelix\Desktop\Downloads\ps_radio2015.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\obelix\Desktop\Downloads\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\01032011_185130\C_Users\obelix\AppData\Roaming\53419\pdmn2.exe a variant of Win32/Sefnit.AS trojan (unable to clean) 00000000000000000000000000000000 I
D:\Games\Grand Theft Auto San Andreas\trainer.exe probably a variant of Win32/Agent.LPHFBGW trojan (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2009-12-26 183841\Backup Files 2010-10-08 193307\Backup files 4.zip probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2009-12-26 183841\Backup Files 2010-10-08 193307\Backup files 5.zip multiple threats (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 2.zip Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 7.zip a variant of Win32/Sefnit.AS trojan (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 8.zip a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 9.zip Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
F:\12.7\D\Games\Grand Theft Auto San Andreas\trainer.exe probably a variant of Win32/Agent.LPHFBGW trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\knsvmnwlt\ihjkvbftssd.exe Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\23SP8EDU\n00a102304801r0007J11000601R43329fdcW9ff727c8Xc6a2f50fY8a99c47fZ03007f350[1] Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHMFGYEV\n00a102304801r0007J11000601R43329fdcW9ff727c8Xc6a2f50fY8a99c47fZ03007f351[1] a variant of Win32/Olmarik.ABV trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\Mozilla\Firefox\Profiles\b422sxsw.default\Cache\FB0C336Bd01 JS/Exploit.Pdfka.OCR.Gen trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\Temp\iWDh.exe Win32/Adware.SpywareProtect2009 application (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\Local\Temp\LsYd.exe a variant of Win32/Olmarik.ABV trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\7bb99554-5b61081d probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\7adbb65d-3ebd6ab9 multiple threats (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\40591084-4f631562 Java/TrojanDownloader.Agent.NBL trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\640c67b5-113f8bff Java/TrojanDownloader.Agent.NBM trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\70c078fa-3d9bb464 Java/TrojanDownloader.Agent.NAM trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-6aeff3d2 Java/TrojanDownloader.Agent.NBK trojan (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\Desktop\Downloads\ps_radio2015.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\12.7\C\Users\obelix\Desktop\Downloads\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I





MSRepair hatte auch noch eine:

Files
C:\Windows\System32\msiexec.exe
C:\Windows\winsxs\x86_microsoft-windows-installer-executable_31bf3856ad364e35_6.1.7600.16385_none_4957caefe76d7816\msiexec.exe

Status

SERVICE_NAME: msiserver
TYPE : 10 WIN32_OWN_PROCESS
STATE : 1 STOPPED
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

HKLM\..\Services\Msiserver; ImagePath
%systemroot%\system32\msiexec.exe /V

HKLM\..\Services\Msiserver; Start
3



Mfg No suspicion

Hallo No suspicioun,


Schritt # 1: Registry Cleaner
Ich sehe das Du ein Installationspaket eines sogenannten Registry Cleaners am System hast:
In deinem Fall Registry Booster.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software nicht zu installieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 2: Fragen beantworten
Bitte beantworte uns folgende Fragen:

• Im Logfile von ESET findet sich ein Laufwerk F. Worum handelt es sich hierbei?
• Gibt es noch Probleme?

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen.

Hallo M-K-D-B

also mittlerwele funktioniert alles wieder ohne Probleme :daumenhoc

Das Laufwerk F ist ne externe Platte die aber frei von Vieren oder ähnlichem ist/sein müsste.
Beim onlinescan bestand nur die Auswahl die extern Platte auch anzuschließn, was ich mal gemacht hab zum durchchecken.:taenzer:

Wie bekomm ich denn den registrybooster dann raus, bzw den clean dingens?
Einfach löschen würde denk ich nix bringen oder evtl. sogar noch was beschädigen..?!

Aber soweit so gut, danke für die Hilfe und Unterstüzung so far :party:

Mfg No suspicion

Ach da fällt mir ein, wenn ich von einem Tab in den anderen Springe (bei Firefox) und etwas schriebn möchte (email,message,Beiträge,www Adressen, googlesuche) dann nimmt er mir manchmal einfach die www adresse meiner seite(von der ich wegbin) in das fenster(neu/anderes) mit rein, in welches ich schreiben möchte...nicht wild aber bisl nervig manchmal. Damit könnt ich leben, falls es dazu keine Lösung geben sollte.

Hallo No suspicion,


Schritt # 1: Desinfizierung/Absicherung externer Medien
Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Vergewissere dich, dass deine externe Festplatte für die nächsten beiden Schritte am Computer angeschlossen ist.





Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen, wähle ALLE Laufwerke aus und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL Fixes und
• das Logfile von MBAM.

Hallo,

ich habe die Exe auf dem Desktop gespeichert, leider tut sich nichts beim doppelklick wie auch wenn ich es als Admin ausführen möchte. Er frägt nur kurz ob ich das ausführen möchte, mit einem Klick auf Weiter geschieht leider nichts.:wtf:

Hintergrundwächter sind auch aus. - läuft das Programm ohne Fenster irgendwie? Wobei im Taskmanager wird auch nichts angezeigt was auf das Programm schließen könnte.:confused:

Hallo No suspicion,

das ist kein Problem. Dann stellen wir die Autorun-Funktion wie folgt ab:


Schritt # 1: Autorun deaktivieren

• Folge dem Pfad Start > Systemsteuerung > Hardware und Sound > CDs und andere Medien automatisch wiedergeben
• Entferne links oben den Haken bei Automatische Wiedergabe für alle Medien und Geräte verwenden und klicke Speichern.
• Schließe die Systemsteuerung.
• Nach Beendigung der beiden folgenden Schritte kannst du den Autorun wieder aktivieren.
• Schließe nun deine externe Festplatte an den Rechner an.

Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

• Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Suchlauf durchführen, wähle ALLE Laufwerke aus und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL Fixes und
• das Logfile von MBAM.

Hallo M-K-D-B,

ich habe beide Programme wie beschrieben laufen lassen :daumenhoc anbei sind die beiden Logfiles:

All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\obelix\Desktop\Downloads\ps_radio2015.exe moved successfully.
C:\Users\obelix\Desktop\Downloads\registrybooster.exe moved successfully.
F:\OBELIX-PC\Backup Set 2009-12-26 183841\Backup Files 2010-10-08 193307\Backup files 4.zip moved successfully.
F:\OBELIX-PC\Backup Set 2009-12-26 183841\Backup Files 2010-10-08 193307\Backup files 5.zip moved successfully.
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 2.zip moved successfully.
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 7.zip moved successfully.
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 8.zip moved successfully.
F:\OBELIX-PC\Backup Set 2010-12-31 153432\Backup Files 2010-12-31 153432\Backup files 9.zip moved successfully.
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\knsvmnwlt scheduled to be moved on reboot.
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\23SP8EDU scheduled to be moved on reboot.
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHMFGYEV scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Mozilla\Firefox\Profiles\b422sxsw.default\Cache\FB0C336Bd01 scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Temp\iWDh.exe scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Temp\LsYd.exe scheduled to be moved on reboot.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\7bb99554-5b61081d moved successfully.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\7adbb65d-3ebd6ab9 moved successfully.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\40591084-4f631562 moved successfully.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\640c67b5-113f8bff moved successfully.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\70c078fa-3d9bb464 moved successfully.
F:\12.7\C\Users\obelix\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-6aeff3d2 moved successfully.
F:\12.7\C\Users\obelix\Desktop\Downloads\ps_radio2015.exe moved successfully.
F:\12.7\C\Users\obelix\Desktop\Downloads\registrybooster.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes

User: obelix
->Temp folder emptied: 3154741 bytes
->Temporary Internet Files folder emptied: 50105801 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 104757561 bytes
->Flash cache emptied: 2826 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 549436 bytes
RecycleBin emptied: 39219969 bytes

Total Files Cleaned = 189.00 mb


OTL by OldTimer - Version 3.2.18.2 log created on 01092011_150821

Files\Folders moved on Reboot...
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\knsvmnwlt scheduled to be moved on reboot.
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\23SP8EDU scheduled to be moved on reboot.
Folder move failed. F:\12.7\C\Users\obelix\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WHMFGYEV scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Mozilla\Firefox\Profiles\b422sxsw.default\Cache\FB0C336Bd01 scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Temp\iWDh.exe scheduled to be moved on reboot.
File move failed. F:\12.7\C\Users\obelix\AppData\Local\Temp\LsYd.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5488

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.01.2011 20:54:17
mbam-log-2011-01-09 (20-54-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 340335
Laufzeit: 1 Stunde(n), 39 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\qni8hj710fdl (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\Games\grand theft auto san andreas\trainer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\12.7\D\Games\grand theft auto san andreas\trainer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\12.7\C\Users\obelix\AppData\Local\knsvmnwlt\ihjkvbftssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\12.7\C\Users\obelix\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\23SP8EDU\n00a102304801r0007j11000601r43329fdcw9ff727c8xc6a2f50fy8a99c47fz03007f350[1] (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\12.7\C\Users\obelix\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\WHMFGYEV\n00a102304801r0007j11000601r43329fdcw9ff727c8xc6a2f50fy8a99c47fz03007f351[1] (Rootkit.TDSS) -> Quarantined and deleted successfully.
f:\12.7\C\Users\obelix\AppData\Local\Temp\iWDh.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\12.7\C\Users\obelix\AppData\Local\Temp\LsYd.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.



Hoffe das ist soweit richtig.


Grüße No suspicion

Hallo No suspicion,

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.


Eines vorweg:
Dein externe Festplatte war stark mit Malware verseucht. Wir mussten ganze Teile des Backups löschen. Ich lege dir dringend ans Herz, sie zu formatieren.



Schritt # 1: Systemwiederherstellungspunkte löschen
Es ist nicht auszuschließen, dass durch die Malware auch Wiederherstellungspunkte infiziert sind. Dieses Problem behebst du wie folgt:
Windows + R Taste drücken --> cleanmgr ( eingeben ) --> OK
Wähle nun deine Systemplatte ( normal C: ).
Klicke auf Systemdateien bereinigen --> erneut die Systemplatte wählen --> Reiter Weitere Optionen
und klicke auf Systemwiederherstellung und Schattenkopien bereinigen.




Schritt # 2: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt # 3: Systembereinigung
Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.



Schritt # 4: Systembereinigung

• Starte bitte die Load.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Button Clean Up.

Schritt # 5: Programme deinstallieren

• Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
  • HijackThis
• Führe gegebenenfalls einen Neustart deines Rechners durch.
• Deinstalliere gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

• Windows + R Taste drücken.
• Kopiere nun folgenden Text in die Kommandozeile:
  
  Code:

  ---

  RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

  ---

• Klicke auf Ok.
• Stelle sicher, dass die automatischen Updates aktiviert sind.

Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

• Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
• Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • Malwarebytes' Anti-Malware
  • SuperAntiSpyware
  • Emsisoft AntiMalware
• SpywareBlaster
  Eine Anleitung findest du hier
• MVPs hosts file
  Eine Einführung findest du hier
• Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
• Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
• Verwende keine Keygens, Cracks, Cheats, etc.!
• Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 8: Deine Rückmeldung
Bitte gib uns kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema schließen lassen kann.
Es freut uns, wenn wir helfen konnten. :)

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!