Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi cosinus,

eine wichtige Frage vorab:
ich besitze keine extra Vista-CD! Auch scheint auf diesem HP-Laptop ein Backup zu erstellen nicht so ohne weiteres möglich. Da dieser "HP Backup und Recovery Manager" nirgends zu finden ist. Er scheint nicht installiert zu sein.
-> Da ich bei der ComboFix-Anleitung bzgl. der Windows (Vista) Wiederherstellungskonsole verunsichert bin.
Könnte da etwas schiefgehen?

Für Vista wird keine WHK installiert, nur bei XP.
Wenn du ein Komplettbackup machen willst, kannst du zB Drivesnapshot benutzen, das Image, das dieses Tool erstellt, am besten auf eine externe Platte erstellen lassen.

Hi cosinus,

während ich combofix habe laufen lassen:

wurde 4x die Anzeige:
"Der Registrierungseditor funktioniert nicht mehr. Das Programm wird auf Grund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist."


Der Scan selber + Erstellung der log-Datei hat ca 45 min gedauert.

!!!! Nun gibt es folgende Probleme: !!!!
Ich kann so gut wie keine Programme mehr öffnen.
Komme nicht zur Verwaltung, kein TaskManager ...
Kann somit auch den Firefox oder IE nicht öffnen, um zum Board zu kommen und Dir die Log-Datei senden!

Es kommt beim Öffnungsversuch dann folgende Meldung:
"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde."


Sollte ich versuchen den Laptop noch mal neu zu starten?


Ich weiss nicht, ob mein USB-Stick funktionieren würde.
Ich würde ihn allerdings ungerne benutzen. Wer weiss ob sich da was unschönes einnistet und meinen PC infiziert?

Was mache ich denn nu? Bin ratlos und etwas verzweifelt ...



Edit:
Habe das System noch mal neugestartet!!!
Jetzt geht alles wieder! Puh.

Und hier nun die combofix Log-Datei.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi cosinus,

anbei die 3 log-Files von GMER, OSAM und MBRCheck.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi cosinus,

anbei die 3 log-Files von Malwarebytes, SASW und ESET.

-> Eset hat was festgestellt!

SIeht aus als hätte ESET sich einen Fehlalarm gelöeistet. SOnst keine Funde.
Rechner wieder im Lot?

Hi cosinus,

ja, Rechner okay. Er hatte seit meinen Versuchen ab vergangenen Mittwoch auch keine offensichtlichen Auffälligkeiten mehr. Ich wollte halt auf absolut Nummer sicher gehen, ob sich tief im System noch etwas versteckt, da ich mich mit diesen Dingen nicht auskenne.

Können wir davon ausgehen, dass nun alles in Ordnung ist?
Hattest du noch etwas Verdächtiges gefunden? Und wenn ja, was war evtl. die Ursache?
So könnte ich meiner Bekannten ein paar Hinweise für die Zukunft geben, worauf sie zu achten hat ...

Würde es Sinn machen, von diesem System ein Image zu erstellen oder besser nicht?

Und könnte es sein, dass die Partitionen E: und F: auch befallen sind?
Auf E: liegt nämlich die HP Recovery (ist für den Notfall, über Booten alles neu aufzusetzen)

Und letzte Frage: könnte der USB-Stick ihres Sohnes "infiziert" sein. Ich hatte bei einem Deiner Angaben gesehen, dass da was mit G:/autorun.exe steht. Es gibt so erstmal keine G: Partition. Ist es evtl. der USB-Stick?

Nicht, dass all die Arbeit umsonst war, sobald der USB-Stick angesteckt wird!

Nur etwas Müll wurde beseitigt, zB mit Malwarebytes und OTL.

Besser jetzt als garnicht. Macht man normalerweise direkt nach der Einrichtung wenn alles noch garantiert nicht infiziert ist.

Man kann Partitionen in diesem Sinne nicht verseuchen. Wenn liegen auf den Partitionen schädliche Dateien.
Ein System kann verseucht sein - also das Betriebssystem - aber eine Partition als verseucht zu bezeichnen ist imho der falsche Ausdruck.

Schädlinge gehen normalerweise nur auf das Betriebssystem los, es gibt aber auch Fileinfectoren, die ihren Schadcode an alle möglichen ausführbaren Dateien heften (das sind die klassischen Viren), solche hab ich bei dir aber nicht gesehen. Es ist möglich, dass die Recoverypartition schädliche Dateien enthält, aber ich halte es für sehr unwahrscheinlich.

Ja, man sollte die automatische Wiedergabe grundsätzlich deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko und btw zumindest für mich sehr nervend.
Stell dir vor, du steckst einen fremden USB-Stick an. Du weißt nicht, dass er infiziert ist, rechnest damit auch nicht. Der Schädling auf dem infizierten USB-Stick sorgt dafür, dass der Schädling automatisch nach dem Einstecken startet, ohne dein Zutun, und schon haste den Salat - helfen würde hier mit viel Glück vllt noch der Virenscanner - sofern er den Schädling kennt - besser aber eingeschränkte Rechte (dann kann nichts am System verändert werden), am besten ist aber, dass garnichts erst automatisch startet.

Für Windows XP: Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Für Windows Vista und 7: In der Systemsteuerung kann man für alle Datenträger die automatische Wiedergabe deaktivieren.

Hi cosinus,

vielen Dank für Deine letzten ausführlichen Antworten!

Ich gehe nun davon aus, dass du mich mit diesem Laptop "entlässt" und alles soweit okay ist.


:dankeschoen: Ich möchte mich recht herzlich für Deine kompetente Unterstützung bedanken! Ich bin tief beeindruckt von Deinem Wissen, Tatkraft und Engagement!!!!

Viele Grüße

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.