avast! Free Antivirus meldet Virus gefunden C:\Programme\Windows Desktop Search\mssmsg.dll
 

Ich habe avat! Free Antivirus auf den neusten Softwarestand gebracht und eine komplette Systemprüfung laufen lassen. Dabei kam dann o.g. Meldung.
Das Protokoll besagt:
C:\Programme\Windows Desktop Search\mssmsg.dll
C:\Programme\Windwos Desktop Search\ptypepi.dll
C:\TOOLSCD\Flashmedia driver\Windows\tiinst\uminst.exe
C:\Windows\tiinst\uminst.exe
für alle Einträge Bedrohung: Win32:Malware-gen
Aktion: in Container verschieben

HILFE: was muß ich tun?

Ich habe mal hijackthis 2.0.4 laufen lassen hier das Log-File:

#Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:18:40, on 17.12.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17106)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
D:\Programme\AVAST Software\Avast\avastUI.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\FinePixViewer\QuickDCF.exe
D:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
D:\Programme\OpenOffice.org 3\program\soffice.bin
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\Mozilla Firefox\plugin-container.exe
D:\Programme\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://g.msn.de/8SEDEDE020600TBR/InstallTBSite
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ZoneAlarm-Sicherheit - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\msntb.dll
O3 - Toolbar: ZoneAlarm-Sicherheit Toolbar - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [avast] "D:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/229?179e8bc44eb34a0686cdf87aca9c5169
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\de-de\msntabres.dll.mui/230?179e8bc44eb34a0686cdf87aca9c5169
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - D:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10612 bytes#


Vielleicht kann da ja Jemand was mit anfangen und hoffentlich helfen - Danke

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Oh nein, ich entschuldige mich.
War schon mal vor Jahren hier unterwegs und da wurde das besagte Log eingefordert. Sorry nochmal.

ich gehe jetzt nach Anleitung vor und habe den Defrogger heruntergeladen und versucht zu starten.
Folgende Fehlermeldung im defogger_disable.log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:45 on 21/12/2011 (Internet)

Checking for autostart values...
HKCU\~\Run values retrieved.
Unable to open HKLM\~\Run key (5)
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Was ist zu tun???

Einfach mal alle gefoderten Logs posten

sorry verstehe ich nicht!
unter Schritt 1 steht:
"Sollte Defogger dir eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung."

Ich wollte daher Schritt 2 nicht vor einer entsprechenden Antwort tun!

Kann ich den "Re-enable"-Button jetzt bestätigen oder lieber noch nicht?
Danke

Unabhängig davon kannst du aber die anderen Logs posten. Defogger ist wenn überhaupt nur relevant wenn du sowas wie die DaemonTools oder andere CD/DVD Emulatoren installiert hast

hier kommt die OTL.TXT:OTL Logfile:
--- --- ---

Dieses höchst sinnfreie ZoneAlarme kannst du schonmal ins Nirvana schicken und die Windows-Firewall aktivieren.

Bitte danach routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

und hier noch die Extras.txt:OTL EXTRAS Logfile:
--- --- ---

hier die Auswertung der Malwarebyte:

und noch die protection-log von Malewarebytes:
Danke

ZoneAlarm ist weg?
Was ist mit ESET?

ZoneAlarm habe ich deinstalliert.
ESET sagt:
Threats found
Infected file: 7

hier das log:
Danke

Finger weg von Registry-Bereinigern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

ja, gut.
Das habe ich jetzt auch schon aus einigen Threads in den Foren vernommen.
So weit ich mich erinnere habe ich den eh nur eingeschränkt 1Mal genutzt, da glaube ich kostenpflichtig.
Was ist mit dem CCleaner, kann ich den problemlos nutzen?
-------------------------------------------
Trotzdem hier noch mal die Frage, was soll ich mit den Einträgen anfangen?
Löschen und alles ist gut?
Malwarebyte ist noch offen ...
ESET ist noch offen ...
was ist mit Schritt Nr. 3 der Anleitung (Gmer)? laufen lassen?
------------------------------------------
und was ist mit den Meldungen, die ich ganz zu Anfang von avast bekommen habe?
Danke für eine Rückantwort.

Nach der Deinstallation hat sich dein System signifikant verändert. Daher wäre ein neues OTL-Log (CustomScan) vonnöten.

Zudme sehe ich, dass du Acronis installiert hast. Es ist eine ziemliche Verschwendung wenn man diese Software installiert hat aber nicht regelmäßig nutzt und so auch nicht im Falle eines Systemfehlers mal eben das System durch ein Image zurücksetzt weil man schlicht und ergreifend wohl das Programm weder kennt noch die Anleitung gelesen hat oder warum auch immer nicht rechtzeitig ans Backups gedacht hat.

hier mein neuer OTL-Log: (wie in Schritt 2 beschrieben)
OTL Logfile:
--- --- ---

[/code]

eine Extras-Datei gibts nicht

Danke

Sorry, habe den "Scan-Button" ausgelöst und nicht den "Quick-Scan" -> läuft gerade noch mal

hier die neue OTL-Log-Datei: mit Quick-Scan
OTL Logfile:
--- --- ---


Danke

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

alles gemacht. Allerdings wurde das Log-File nicht geöffnet. Windows heruntergefahren und dann kam nur noch ein schwarzer Bildschirm.
Ich habe den harten Knopf gedrückt, danach fuhr der PC normal hoch und OTL.exe wurde geöffnet.

hier das Log:
Danke

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

bekomme jetzt ein Fenster in dem einige Einträge stehen:
Threats detected - Selection action for found objects ...
Skip - copy to quarantine - delete

Was soll ich da tun? erstmal Skip?

Danke

hier schon mal das Log-File:
Danke

Log ist unvollständig!

und noch mal:
bekomme jetzt ein Fenster in dem einige Einträge stehen:
Threats detected - Selection action for found objects ...
Skip - copy to quarantine - delete

Was soll ich da tun? erstmal Skip?

liegt daran das unvollständige Log? Ich habe da keine Ahnung!

Danke

hier das komplette log:
Danke

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hier die Log-Datei von Combifix:
[code]
Combofix Logfile:
--- --- ---


Danke

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER ist andauernd abgeschmiert...
hier die Log-Datei von OSAM:
---------------------------------
aswMBR gehe ich jetzt an

Danke

hier das Log von aswMBR
Danke

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

hier erneut das Log von aswMBR:
ein Eintrag wurde wieder rot markiert dargestellt
Module: c:\windows\system32\DLA\DLADResN.sys **suspicious**

Danke

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

hier die logs:
Danke

der Rest kommt später

hier das Log von ESET online:
nochmal Danke
Danke

Cookies und Softonic-Müll. Lass die Finger unbedingt von Softonic und Registrycleanern!

ja, ja, ja, im Zusammenhang mit der Suche nach einem PDF-Converter habe ich mir offenbar (vermutlich unbewußt) diesen Softonic-Mist eingefangen - im übrigen nur über die Chip.de Seite. Die *.exe-Dateien habe ich soweit mein Gehirn sich erinnert nicht aufgeführt.

ich komme aber nicht weiter. Bitte um Hilfe!
Im Gegenteil ich habe jetzt mal die Dateien (aus den Log-Files von AntiSpyware):
E:\DOKUMENTE UND EINSTELLUNGEN\ANKE\EIGENE DATEIEN\NOTEBOOK\SOFTWARE\WINDOWS_XP NEU INSTALLIEREN - DOWNLOADS\PDFCREATER\SOFTONICDOWNLOADER_FUER_FREEPDF.EXE

E:\DOKUMENTE UND EINSTELLUNGEN\ANKE\EIGENE DATEIEN\NOTEBOOK\SOFTWARE\WINDOWS_XP NEU INSTALLIEREN - DOWNLOADS\PDFCREATER\SOFTONICDOWNLOADER_FUER_PDF-REDIRECT.EXE

G:\ALTE_FESTPLATTE_SIC\SIC_20110507_GEMEINSAME DOKUMENTE\ANKE HAHN\NOTEBOOK\WINDOWS_XP NEU INSTALLIEREN - DOWNLOADS\PDFCREATER\SOFTONICDOWNLOADER_FUER_FREEPDF.EXE

G:\ALTE_FESTPLATTE_SIC\SIC_20110507_GEMEINSAME DOKUMENTE\ANKE HAHN\NOTEBOOK\WINDOWS_XP NEU INSTALLIEREN - DOWNLOADS\PDFCREATER\SOFTONICDOWNLOADER_FUER_PDF-REDIRECT.EXE

und aus dem ESET Online-Log die Dateien:
E:\Dokumente und Einstellungen\Anke\Eigene Dateien\Notebook\Software\registrybooster.exe

G:\alte_Festplatte_sic\sic_20110507_Gemeinsame Dokumente\A*\Notebook\registrybooster.exe

gelöscht.

Danach nochmals Malwarebytes laufen lassen und im Anschluß SuperAntiSpyware.
hier die Logs:
beim Versuch die Dateien:
E:\RECYCLER\S-1-5-21-4105758161-1787748336-607769600-1005\DE25.EXE
E:\RECYCLER\S-1-5-21-4105758161-1787748336-607769600-1005\DE26.EXE
G:\RECYCLED\DG1.EXE
G:\RECYCLED\DG2.EXE

zu löschen ist es jetzt geblieben - die Dinger lassen sich nicht löschen, erscheinen immer wieder mit anderen Nummern am Ende.
Ach so. die Coockies-Einträge habe ich über meinen Browser versucht zu löschen, hat aber auch nicht gefunzt.

Danke

Dann kicken wir das mit OTL :)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sorry komme damit nicht weiter.
habe versucht den OTL-Fix zu machen.
Sämtliche Desktop-Icons verschinden von der Oberfläche nur das Hintergrundbild bleibt stehen. Im OTL-Fenster stand noch was von "... killing ...keine Unterbrechungen" und nix geht mehr. Keine Logfile Anzeige.
Habe das System hart ausgeschaltet und wieder hochgefahren.
Soll ich noch mal einen Scan machen? welchen?
Danke

wiederhol den Fix einfach mal

habe ich versucht, gleiches Ergebnis.
Vielleicht mache ich ja auch was falsch.
Folgende Vorgehensweise:
1. Mozilla Firefox schließen
2. OpenOffice Schnellstarter schließen
3. Lexware Info Service schließen
4. SUPER AntiSyware schließen
5. avast schließen bzw. alles deaktivieren
6. Exif-Lancher schließen
7. Malwarebytes schließen
8. Canon My Printer schließen
Netzwerkkabel bleißt angeschlossen
OTL aufrufen
Text aus in einer zuvor gespeicherten Datei kopieren und in die Custom Scan/Fixes Box kopieren und dann im Anschluß auf den "Fix"-Button drücken (rote Schrift). Dann erscheint in der Status Leiste so was ähnliches wie "... killing Processes...", nach einer Weile verschinden die Icons und nix geht mehr. Ich habe allerdings ach das Gefühl, das sich da nix tut. Z.B. mein G:\ Laufwerk (externe Festplatte) rührt sich nicht.

E:\RECYCLER und G:\RECYCLER sind meinem Gefühl nach schon wieder Dateien hinzugekommen (weiß ich jetzt aber nicht so genau)

Danke

Dann versuch es nochmal mit diesem Fixscript:

keine Veränderung!
habe zuvor den PC frisch gebootet.
Alle Programme beendet (siehe oben)
OTL aufgerufen
Code eingetragen
und auf "Fix" geklickt.
Statuszeile sagt: killing processes DO NOT INTERRUPT ...
diesmal sind allerdings die Icons stehen geblieben
UND mir ist aufgefallen, daß mit dem klicken auf "Fix", die Systemuhr stehen bleibt. Ich habe den PC diesmal genau 5 Stunden so stehen lassen, bevor ich ihn mal wieder hart gebootet habe.
Malwarebytes Anti-Malware sagt mir jetzt das meine Testversion abläuft.

Danke für eine Rückinfo

Dann leer einfach mal die Papierkörbe auf E: und G:
Selbstverstöndlich müssen diese offensichtlich externen Datenträger auch anschlossen sein diese genau die Laufwerksbuchstaben haben!

Ja und?
Dann lässte MBAM eben nur als Free laufen. Wo ist da dein Problem?

funktioniert nur teilweise.
Auf G:\RECYCLED scheint jetzt alles weg zu sein,
Auf E:\RECYCLER steht jetzt noch so ein Papierkorbicon als Ordner
S-1-5-21-4105758161-1787748336-607769600-1005

ich habe noch mal die Scans laufen lassen-hier die Logs:
pdfforge Toolbar_setup.exe, warum findet er das Teil als infected? Scheint war mit meinem PDF-Tool zu tun zu haben.

Danke

Nur Cookies.

Weil diese schwachsinnige Toolbar Werbung ist! Obendrein hat sie eh keinen Nutzen, ich kenn dieses Teil :pfui:

ich habe mir mal einen "Wolf" gesucht nach dem Teil, weiß alledings auch nicht wie das Ding aussehen soll und was über macht - aber ich bin bei mir nicht fündig geworden. Bin mir relativ sicher, daß ich bei Installation auch angegeben habe, das diese Toolbar nicht mitinstalliert werden soll.
Wenn Du dich damit auskennst, woran erkenne ich denn, ob die bei mir überhaupt installiert ist?
Danke

Aber nur eben relativ :zunge: :D
Das Installer ist AFAIR in englisch und es gibt einen Hinweis, dann man beim benutzerdefinierten Setup unbedingt den Haken / die Option für das "Browserplugin" rausnehmen muss wenn man diese shice Toolbar nicht will - mal wieder ein penetrantes opt-out und kein opt-in. Hauptsache die User werden alle mit diesen nervigen Toolbars überflutet :pfui: