Trojaner-Board - Unbekanntes Fenster öffnet und schliesst sich sofort wieder!Virus?Bitte Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unbekanntes Fenster öffnet und schliesst sich sofort wieder!Virus?Bitte Hilfe! (https://www.trojaner-board.de/104696-unbekanntes-fenster-oeffnet-schliesst-sofort-virus-bitte-hilfe.html)

Unbekanntes Fenster öffnet und schliesst sich sofort wieder!Virus?Bitte Hilfe!

Gude,
ich hoffe ich bin in der richtigen Rubrik gelandet.
Naja...wie oben schon gesagt, öffnet sich bei mir ein unbekanntes Fenster unten links und schliesst sich sofort wieder ohne das ich etwas erkennen könnte...konnte also nicht wirklich im Internet finden, da ich auch nichts konkretes als suche eineben konnte.

Zu Punkt 1...das mit diesem defogger...ich hatte es runtergeladen, aber beim starten kam ein kleines Fenster was fragte "enebel" und "re-enebel" somit wusste ich nicht was ich klicken sollte...oder ich hab die erklärung nicht verstanden.

Die weiteren Punkte hab ich abgearbeitet und sind im Anhang zu finden.
Desweiteren hab ich ein Screenshot einer Meldung von Avira mal dazu gepackt.

Ich hoffe ihr könnt mir helfen und ich bis jetzt alles soweit richtig gemacht, dass mir auch geholfen werden kann.

schonmal vielen Dank!

Mfg
Franzis

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sry,
aber ich finde das Addon für Firefox nicht!

im anhang die angeforderten logs!

danke schonmal im vorraus!

mfg

Zitat:

C:\Program Files (x86)\Uniblue\RegistryBooster\Launcher.exe a variant of Win32/RegistryBooster application

Finger weg vom RegistryBooster!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Danke schonmal für die Info...ich habe auch meines wissens auch noch nicht damit gearbeitet, wenn ich nicht falsch liege, ist es bei meinem acer laptop vorinstalliert gewesen.

aber ist das die lösung meines problems?

mfg

Es geht mir darum, dass du diese Hinweise ernst nimmst! Deswegen poste ich auch nicht zuviele Thematiken in einen Posting sonst verschwindet die Übersicht. Ich wollte, dass du die RegistryBooster zur Kenntnis nimmst und vllt kurz kommentierst (oder auch nicht) dann geht es weiter.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

IE - HKCU\..\URLSearchHook:  - No CLSID value found

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Radio Bar 2 Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405727&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.selectedEngine: "Google"

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "http://www.google.com/webhp?hl=de"

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.2.0

FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.1.1&q="

[2011.09.28 21:08:46 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}

[2011.09.28 21:08:49 | 000,000,000 | ---D | M] (Radio Bar 2 Community Toolbar) -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\{9bb815eb-3f9f-4e11-9150-cb70e29b40fc}

[2011.10.08 01:51:42 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\ffxtlbr@Facemoods.com

[2010.10.23 10:17:14 | 000,000,925 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\conduit.xml

[2011.10.27 09:25:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-1.xml

[2011.03.06 14:23:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-10.xml

[2011.03.24 20:06:18 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-11.xml

[2011.04.24 18:10:32 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-12.xml

[2011.05.05 21:47:27 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-13.xml

[2011.05.05 21:51:17 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-14.xml

[2011.06.27 19:13:45 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-15.xml

[2011.08.18 06:22:40 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-16.xml

[2011.08.31 21:10:41 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-17.xml

[2011.09.07 18:59:19 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-18.xml

[2011.10.07 18:01:49 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-19.xml

[2010.07.22 18:31:27 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-2.xml

[2010.08.09 20:39:17 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-3.xml

[2010.09.10 22:30:21 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-4.xml

[2010.09.17 18:39:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-5.xml

[2010.10.21 16:27:01 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-6.xml

[2010.10.23 21:36:11 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-7.xml

[2010.12.11 10:36:57 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-8.xml

[2011.03.03 21:59:00 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-9.xml

[2011.09.25 13:49:54 | 000,000,168 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.gif

[2011.09.25 13:49:54 | 000,000,618 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.src

[2010.06.26 10:39:12 | 000,001,056 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.xml

[2010.04.04 20:12:31 | 000,004,140 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\youtube.xml

[2010.12.09 11:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll

O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: [facemoods] C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)

O4 - HKCU..\Run: []  File not found

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{8aa25efd-5def-11df-ba20-0026c62c9e66}\Shell - "" = AutoRun

O33 - MountPoints2\{8aa25efd-5def-11df-ba20-0026c62c9e66}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

[2011.10.08 01:51:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\facemoods.com

[2009.10.29 06:58:47 | 000,036,136 | ---- | C] (Oberon Media) -- C:\ProgramData\FullRemove.exe

[2011.07.24 15:26:18 | 000,000,000 | -HSD | M] -- C:\Users\FranZis\AppData\Roaming\.#

@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:4D066AD2

@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA

@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F

@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838

@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE

@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D

@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:444C53BA

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

gude,

nach dem ich auf fix geklickt habe wurde ich aufgefordet alles zu speichern und konnte nur auf schliessen gehn und dann kam schon der neustart.

nach dem wieder hoch fahren erschien nur dass

Files\Folders moved on Reboot...
C:\Users\FranZis\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

war das soweit richtig?

mfg

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

ist hochgeladen!

mfg

Mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hoffe habe wieder alles richtig gemacht!

mfg

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - prefs.js..browser.search.defaultenginename: ""

FF - prefs.js..browser.search.defaultthis.engineName: ""

FF - prefs.js..browser.search.defaulturl: ""

FF - prefs.js..browser.search.selectedEngine: ""

FF - prefs.js..browser.search.useDBForOrder: ""

O32 - HKLM CDRom: AutoRun - 1

:Commands

[emptytemp]

[resethosts]

So...wieder wie vorgeschrieben durchgeführt...kannst du mir vllt erklären was die scripte so machen? würde das gerne verstehen...oder versuchen zu verstehen.
danke schonmal!

mfg

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Nabend,

das logfile vom tdss killer.
hoffe wieder alles richtig!

mfg

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Gude,

wieder wie beschrieben ausgeführt!
hoffe wieder alles richtig!
sind wir eig dabei was zu finden?oder noch kein anzeichen?

mfg

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Fertig!

als anhang die logfile!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Nabend,
mir macht gerade die Meldung einwenig angst...
turkojan torjan...ich glaub das is nix gutes so wie ich es in einem anderen bericht gelesen hab hier...:heulen:
scheisse is nur das ich kein verdammtes backup vom rechner hab :headbang:
jetzt kann ich mir win7 auch noch nochmal neu kaufen :heulen:

man man man...naja ma sehn was de meister zu sacht...
bis morgen vllt!

gn8

Zitat:

C:\Users\FranZis\Downloads\Call of Duty 4 rCON miniAdmin 3.zip

Was genau soll das sein und woher kommt das?

Zitat:

mir macht gerade die Meldung einwenig angst...
turkojan torjan...ich glaub das is nix gutes so wie ich es in einem anderen bericht gelesen hab hier...

Kannst du das mal so beschreiben, dass jmd anderes außer dir das auch nachvollziehen kann? :balla:

Zitat:

C:\Program Files (x86)\Uniblue\RegistryBooster\registrybooster.exe

Finger weg von Registry-Bereinigern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Zitat:

Zitat von cosinus (Beitrag 719340)

Was genau soll das sein und woher kommt das?

das ist eig ein tool um einen server zu steuern.
Hamburger-Bagaluten :: Forum :: Call of Duty - Black Ops MiniAdmin 1.0RC :: Beiträge zeigen

Zitat:

Zitat von cosinus (Beitrag 719340)

Kannst du das mal so beschreiben, dass jmd anderes außer dir das auch nachvollziehen kann? :balla:

finde es eig nicht zu schwer zu verstehen...naja...ich hatte nach diesem trojaner gesucht und einen thread hier im forum gefunden...

und das mit dem regestrybooster hatten wir schonmal hier im thread und ich hatte dir gesagt dass ich ihn nicht benutze und er von werk aus aufm laptop ist:balla:

Zitat:

finde es eig nicht zu schwer zu verstehen...

Witzbold. Du weiß ja auch ganz genau was gemeint ist, du musst das aber so rüberbringen, dass ander dass auch verstehen können. Ich kann schlecht in deinen Kopf reinschauen http://cheesebuerger.de/images/midi/froehlich/a048.gif

Zitat:

mir macht gerade die Meldung einwenig angst...
turkojan torjan...ich glaub das is nix gutes so wie ich es in einem anderen bericht gelesen hab hier...

Lies mal ganz genau und überleg mal, welche Fragen sich für einen Außenstehenden em wie mich ergeben, der nicht den Bildschirm deines PC sehen kann.
Kurz: Was zum Geier meinst du mit Meldung? Damit kann ich wenig bis garnichts anfangen.

Zitat:

und das mit dem regestrybooster hatten wir schonmal hier im thread und ich hatte dir gesagt dass ich ihn nicht benutze und er von werk aus aufm laptop ist

Dann aber hopp hopp runter damit jetzt :balla:

ei ei ei...
na das ich diesen turkjan trojan da in der datei hab :zunge:

ja ok...dann schmeiss ichs runner...aber watt machme jetzt mit dem trojaner :confused:

pc platt machen wird das sinvollste sein oder?
is halt doof das ich kein backup hab :heulen:
desshalb dacht ich, dass wirs soweit hinbekommen dass ich noch eins machen kann und dann den pc platt mache.

mfg

Zitat:

C:\Users\FranZis\Downloads\Call of Duty 4 rCON miniAdmin 3.zip probably a variant of Win32/Turkojan trojan

Jetzt weiß ich endlich was du meinst. Wenn du dazu das schreibst:

Zitat:

das ist eig ein tool um einen server zu steuern.
Hamburger-Bagaluten :: Forum :: Call of Duty - Black Ops MiniAdmin 1.0RC :: Beiträge zeigen

Hast du dir das Teil ja bewusst installiert. Musst du selber wissen ob du das noch nutzen willst. Ich würde die Finger von solchen dubiosen Sachen lassen. Auch "Trainer" sind mit Vorsicht zu genießen. Definitiv die Finger muss man von illegalen Cracks/keygens lassen.

ja is ja ok...
aber was is denn nu mit meinem trojaner...
was soll ich machen?
dann hätten wir uns ja die mühe sparn können und du hättest mir vor ner woche sagen können dass ich den rechner platt machen soll.

wie entferne ich das mist ding und wie sicher kann ich sein dass wenn ich...ka die datei lösche...dass er vom rechner runter ist...damit ich endlich ein backup machen kann...nicht dass er mitkommt auf die kopie.

mfg

Zitat:

was soll ich machen?

Ob du diesen Mini-Admin-Krams noch weiterhin verwenden willst ist allein dein Bier.
Es kann sein, dass dort ein Schädling ist, es könnte aber auch ein Fehlalarm sein.

Zitat:

C:\Users\FranZis\Downloads\Call of Duty 4 rCON miniAdmin 3.zip

lad diese Datei mal bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Gude,

hat irgendwie nicht gefunkt...es kam die meldung "datei zu groß"
is auch egal...ich lösche sie und fertig...ich brauchs nicht!
es ist mir nur ein rätsel...weil es schon sehr lange her ist das ich es mir runtergeladen hab...
wenn ich es gelöscht habe, wie gehn wir vor um herauszu finden, ob es das richtige war?

mfg

Sowas kann auch ein Fehlalarm sein, muss aber nicht sein, wenn du es eh nicht brauchst immer weg damit.
Ist der Rechner ansonsten wieder soweit im Lot?

nein...brauchs nich...
habs grad gelöscht...aber siehe, das fensterchen erscheint immer noch:heulen:
weisst du nicht was gemacht werden kann?

Zitat:

habs grad gelöscht...aber siehe, das fensterchen erscheint immer noch

Was genau für ein Fenster du meinst weiß ich auch immer noch nicht. Nochmal: Ich kann nicht auf deinen Monitor schauen! :balla:

ei...mann, wie soll ich das denn beschreiben...ich sehs ja nur für milisekunden.
unten rechts von der taskleiste aus öffnet sich wie eine meldung...ein graues kästchen mit pfeil zur taskleiste...und das so schnell das ich nicht sehe was dort steht...
die ganzen logfiles für was warn die?steht da nichts?

mfg

Ich möchte ja nicht drängen...aber bekommen wir das Prob noch gelöst?
Oder kann ich irgendwie ne Sicherung von Windoof und den Treibern machen und einfach neu aufspielen?

mfg

Dieses "Fensterproblem" ist einfach noch zu ungenau beschrieben.
Wann genau öffnet und schließt sich das wieder?

Bei verbindung mit dem Internet...alle ka 10min.
Mit was könnt ich denn ein Video meines Bildschirms machen um es dir zu zeigen?bzw vllt auch langsam abspielen zu lassen um vllt zu sehen was dort steht.

mfg

Mach mal ein neues OTL-Log, vllt sieht man was.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

hier das otl log

mfg

Ich seh dort leider keine Hinweise. Anhaltspunkte woher dieses Fenster stammt kannst du auf Grund der kurzen Anzeige des Fensters ja leider auch nicht sagen...
Aber vllt erinnerst du dich seit wann genau du dieses Fenster bekommst und was du zuvor am Rechner verändert hast.

Gude,

also es ist jetzt fast genau 2 Wochen her...
ich weiss vllt wo es herkommen könnte und zwar war ich vor 3 wochen beim kumpel in netzwerk angeschlossen und wir wollten uns den abend nen film "anschaun" und ich hab mir ein prog runtergeladen...was ich aber meines wissen wieder runter geschmissen hab. wie hiess das denn gleich...das war so eins um mehrere päckchen nacheinander runter zu laden.
wenn ich irgendwann mal daheim sein sollte heute abend versuch ich heraus zu finden ob ichs noch aufm rechner habe oder nicht.
ich weiss nicht in wie weit du schon was hättest um nach irgendwas ausschau zu halten...aber könntest es ja schonmal posten.

aber ein video des bildschirms wäre dich garkeine so schlechte idee oder?

wie ist es mit einer sicherung...ist es möglich windoof zu speichern und dann neu auf zu spielen?

mfg

Zitat:

.das war so eins um mehrere päckchen nacheinander runter zu laden.
wenn ich irgendwann mal daheim sein sollte heute abend versuch ich heraus zu finden ob ichs noch aufm rechner habe oder nicht.

Sagt mir nichts. Versuch mal rauszufinden.

Zitat:

...ist es möglich windoof zu speichern und dann neu auf zu spielen?

Macht so genau keinen Sinn. Wenn meinst du wohl deine Daten sichern, alles plätten und sauber Windows neu installieren. Und ja sicher geht sowas.

Das Programm was ich mir heruntergeladen habe, war "jDownloaderWebInstaller09581.exe".

Nein ich meinte eig nicht genau meine Daten sondern Windows 7...wovon ich keine CD habe...da bei den neuen Geräten alles vorinstalliert ist...und ich somit wenn ich meinen Laptop platt mache, mir Windows neu kaufen müsste.
Oder ist das in dem Sinne das selbe wie Daten?

mfg

Tante Edit: ich hab das Fenstereinfangen können per Aufnahme...ich hab ein Bild davon als Anhang...also entweder war das alles für die Katz was wir gemacht haben xD oder es hängt mit Avira zusammen...denn warum sollte Avira eine Meldung bringen die keiner lesen kann?

Zitat:

Nein ich meinte eig nicht genau meine Daten sondern Windows 7...wovon ich keine CD habe...

Man sollte auch mal bevor man den Rechner nutzt auch mal das Handbuch zum Thema Recovery/Wiederherstellung lesen! Du musst dir selbst Recoverymedien brennen oder von der Recoverypartition wiederherstellen! Nur wenn die matsch ist kannst du weder Medien brennen noch davon recovern und du schaust in die Röhre.

Alternativ das hier probieren => Windows 7 – Home Premium und Professional Direkt Download Links

Auf dem Screenshot kan nich nichts erkennen vllt weiß ich einfach nicht welches Fenster du meinst :balla:

:wtf: hast du dir eig ein einziges mal durchgelesen wo ich beschrieben habe um was es geht?
du siehst doch auf dem Bild rechts die Bildschirmaufnahme und die Meldung die da aufgegangen ist?
und das ist genau die Meldung die ich nie lesen konnte weils so schnell wieder zu ging...was ich als komisch empfinde...und keinen Sinn macht...da man als Avira Nutzer doch sehn muss was es meldet.

Und zu der Sache mit Wondows recovery...ja die Anleitung habe ich mir durchgelesen...aber wies immer so ist "jaja mach ich Morgen" und ging in vergessenheit...

is nunmal jetzt so und ich frage dich ob du eine lösung weisst...sonst wäre ich hier nicht angemeldet.

mfg

Zitat:

hast du dir eig ein einziges mal durchgelesen wo ich beschrieben habe um was es geht?

Ich hab aus deiner Beschreibung verstanden "irgendein Fenster geht auf, was man nicht richtig erkennen kann weil es zu schnell weg ist"

Verrat mir doch bitte was genau du auf dem Bildschirm meinst! Ich kann nicht deine Gedanken lesen!

Zitat:

.da man als Avira Nutzer doch sehn muss was es meldet.

Du meinst du Sprechblase? Wenn ja warum hast du von Fenster die ganze Zeit vorher geredet? Ich versteh langsam nur noch Bahnhof :balla:

ich habs nochmal dick umrandet...vllt siehst dus dann...
was weiss ich wie man das nennt :headbang: es ist eine Meldung ...Fenster...Sprechblase...wie auch immer...

mfg

Und du meinst die ganze Zeit diese "Sprechblase" von AntiVir? :lach:

Irgendwie fühl ich mich leicht verarscht :daumenrunter:

aber warum tacht das ständig auf bzw was würde es dem nutzer bringen wenn ers nicht lesen kann?

mfg

Das musst du mal die Jungs und Mädels von Avira fragen :D
INstallier AntiVir einfach neu oder steig um auf Avast oder MSW ;)