Nach HTML/Infected.WebPage.Gen2 - 14 Warnungen und 18 Versteckte Objekte bei AntiVir
 

Hallo liebes Forum,

seit gestern habe ich Probleme mit meinem Laptop. Eigentilch funktioniert er noch ganz normal. Nachdem ich jedoch mit AntiVir die Warnung erhalten habe, dass sich in C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6D3RYH0N\IFRAMEcont[1].htm Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2 tauchten beim kurzen Surfen im Netz immer wieder eine Werbeseite auf. Danach habe ich sofort die Internetverbindung unterbrochen und eine komplette Systemprüfung durchgeführt. Avira Free Antivirus sagte mir dann beim ersten Mal, es gäbe ein Problem, dass ich mit einer Antivir CD lösen sollte. Daraufhin konnte der Laptop nur neu gestartet werden. Danach funktioniert bis jetzt alles wie immer. Allerdings findet Antivir immer wieder Versteckte Datein und warnt vor \\.\globalroot\systemroot\system32\mswsock.dll. Diese Datei kann er nicht öffnen.

Im Internet (über einen anderen PC), habe ich mich ein wenig durchgelesen und auch im Forum umgeguckt. HTML/Infected.WebPage.Gen2 scheint nicht so ungefährlich zu sein. Und deshalb bräuchte ich dringend Hilfe, da ich mich nur bedingt auskenne.
Ich habe bereits, wie meistens hier im Forum empfohlen OTL laufen lassen mit dem Benutzerdefinierten text. Die Textdatei habe ich hier:

All processes killed
========== OTL ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Bernd
->Flash cache emptied: 1639 bytes

User: Bernd2
->Flash cache emptied: 2248 bytes

User: Default
->Flash cache emptied: 56475 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: LogMeInRemoteUser

User: Public

User: Simon
->Flash cache emptied: 209184 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Bernd
->Temp folder emptied: 6470824 bytes
->Temporary Internet Files folder emptied: 2006726 bytes
->FireFox cache emptied: 62437349 bytes
->Flash cache emptied: 0 bytes

User: Bernd2
->Temp folder emptied: 4706005 bytes
->Temporary Internet Files folder emptied: 1358184 bytes
->Java cache emptied: 578988 bytes
->FireFox cache emptied: 201200099 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Simon
->Temp folder emptied: 109055493 bytes
->Temporary Internet Files folder emptied: 360582 bytes
->Java cache emptied: 1079441 bytes
->FireFox cache emptied: 49938830 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 966829 bytes
RecycleBin emptied: 1375 bytes

Total Files Cleaned = 420,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 01172012_125954

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Noch ein paar allgemeine Informationen: Der laptop läuft mit Windows Vista mit allen ServicePacks. AntiVir und die Windows Firewall laufen ständig. Sonst hatte ich erst einmal im November Probleme mit TR\Yakes.gkr, der aber seitdem in Quarantäne war und sonst auch keine Auffälligkeiten zeigte.

Es wäre schön, wenn mir jemand helfen könnte.
Beste Grüße,
Simon

PS: Hab die MovedFiles aus _OTL auch einmal über den Forumuploader hochgeladen.

Malwarebytes lass ich auch schon einmal laufen.

Wäre echt klasse, wenn sich jemand mit um mein Problem kümmern würde: :)

Hinweise wie sowas hier:

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

stehe hier zu Hauf. Warum hast du das ignoriert? :confused:

Sorry :stirn:

Ich wollte eigentlich schon einmal soweit wie es geht vorarbeiten. Mist. Kann man trotzdem was machen?

Ja nun ist es passiert. Welches Script zum Fixen hast du genau genommen?
Und poste alle Logs von Malwarebytes

:OTL
O4 - HKCU..\Run: [utikm.exe] C:\Users\***\AppData\Roaming\Odulax\utikm.exe ()
:Files
C:\Users\***\AppData\Roaming\Odulax
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


Das war das Script, dass ich verwendet habe.
Malwarebytes läuft mittlerweile schon seit über einer Stunde. Und hat 15 infizierte Objekte gefunden.
Werde alle Logs einstellen. Danke schon einmal für die Hilfe.

Und die Sternchen wahrscheinlich nicht wegeditiert.
So einen Pfad kann das System nicht finden und OTL kann dann auch nichts fixen.
Zudem sind Dateien/Ordner wie utikm.exe oder Odulax durch den oder die Schädling(e) mit zufälligen Namen versehen, es wäre also schon mehr als unwahrscheinlich, dass du dieselben Schädlinge mit denselben Datei/Ordnernamen hast!

Okay, jetzt habe ich es ein wenig verstanden. Die Sternchen habe ich schon mit dem Benutzernamen ersetzt.
Was für Dateien hat OTL den alles gelöscht?

(Malwarbytes läuft noch...)

Steht doch da im Script!
Wenn du keine Ahnung vom Script hast wieso führst du es denn blind aus! Du hättest warten müssen bis dir jmd ein individuelles FixScript gepostet hätte :balla:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.17.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON-LAPTOP [Administrator]

Schutz: Aktiviert

17.01.2012 14:22:45
mbam-log-2012-01-17 (14-22-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 403887
Laufzeit: 2 Stunde(n), 33 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 12
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Das ist das Skript, nachdem ich alle Dateien markiert habe und "ausgewählte entfernen" gedrückt hab. Fehlt noch was?
Danach wurde ich zum Neustart aufgefordert.

Bisher habe ich mich vielleicht nicht so clever verhalten, ich würde mich trotzdem wirklich sehr freuen, wenn ihr mir weiter helft...

Nein, das in #10 ist ein Malwarebytes-Log und kein Script.
Poste das erste OTL-Log wo noch nichts gefixt wurde

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Danke Arne!!!

Noch einmal ein Neuanfang: Ich habe nur ein OTL Log erhalten. Das ist das, was im ersten Beitrag zu lesen ist.

Hier noch einmal...

Kann es sein, dass du gar kein OTL-Log erstellt hast :balla:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ich hoffe, ich hab nicht schon wieder was falsch gemacht.

Einmal der Text aus OTL.txt
OTL Logfile:
--- --- ---

Und zusätzlich hat das Programm noch eine Extras.Txt datei geöffnet. Diese noch einmal hier, falls nötig.


OTL EXTRAS Logfile:
--- --- ---

Ist da etwas mit anzufangen?

Aktualisierung:

Nachdem ich den Laptop ca. eine halbe Stunde eingeschaltete hatte ohne im Internet zu sein, kam ein Bluescreen.

Hier die Windowsfehlermeldung nach dem Neustart:

Du hast da offensichtlich ein ZeroAccess Rootkit im System. Die Bereingung solcher Gäste ist nicht ohne, du solltest dich innerlich schonmal auf eine komplette Neuinstallation des Systems einstellen.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Ich habe die Datei runtergeladen. Antivir ausgeschaltet, auf Windows Defender kann ich komischerweise nicht zugreifen. Wenn ich dann auf ComboFix.exe (Was übrigens nicht mit dem "normalen" Symbol angezeigt wird) auf dem Desktop klicke, kommt die Warnungmeldung, die ich bestätige. Danach poppt kurz ein schwarzes "Eingabe" Fenster auf. Danach verschwindet es und es passiert nichts mehr...

Internetverbindung aktivieren oder nicht? Hab ich wieder etwas falsch gemacht?

Verbindung zum Internet muss aktiv sein

Bisher habe ich noch nicht geschafft ComboFix zu starten, da der PC sehr träge wird.

Hoffentlich klappt es gleich...

Das selbe Problem wie vorher.

Habe ein wenig in Eigenschaften von ComboFix.exe geguckt. Wenn ich unter Programm das Häckchen bei "Nach Beenden schließen" entferne und es versuche, bleibt das Eingabefenster mit dem Text: "Program too big too fit in memory"

Was nun?

probier es im abgesicherten mit Netzwerk




Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

:headbang:

Nachdem ich Combofix im abgesicherten Modus erneut runtergeladen habe, sah es gut aus. Endlich war auch das Symbol richtig.
Beim Öffnen kam auch die Frage nach Haftunsausschluss. Danach ging der Laptop einfach aus. Beim erneuten Start erst Bluscreen, aber zu unterschiedlichen Zeiten.
Jetzt ist er wieder ganz hochgefahren... Combofix aktiviert, dekompromiert Datein, Laptop geht aus.

Das wars dann wohl oder?

Hmpf, ist das Gerät ünerhaupt noch stabil?
Nicht, dass du da auch noch ein Hardwareproblem hast.

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.
Lad dir mal sowas wie Knoppix oder Ubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig das System unter Linux und berichte ob es dort normal läuft.

Bisher hatte ich auch mit den Warnungen und nach dem Virusfund ja überhaupt keine Probleme, ausser das sich diese Website geöffnet hat.
Ich hab es jetzt auch noch einmal probiert und dabei ist er auch nicht abgestürzt. Allerdings sagt Combofix mir jetzt: Warning - Do not run Combofix in Compatibility Mode. Doing so may damage the machine.

Dabei ist es egal, ob ich es im normalen oder abgesicherten Modus probiere. Drücke ich auf "Ok", passiert nichts mehr mit CF. Sonst geht aber alles am PC... Also der hängt sich nicht auf oder so.
Auch das neu downloaden von CF brachte nichts.

Ich probier mal weiter rum

Hab es jetzt unter einem anderen Benutzerkonto (auch Administrator) am laufen. Stellt das ein Problem dar?

Es hat geklappt, Cosinus :)

[code]
Combofix Logfile:
--- --- ---


Ist das schon einmal gut?

Ja hauptsache der andere User mit dem du dich einlogsst hat auch Adminrechte...hatte er
Zum alltäglichen Surfen/Arbeiten am Rechner solltest du aber in Zukunft ein Konto mit eingeschränkten Rechten nehmen

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bittesehr...

[code]
Combofix Logfile:
--- --- ---


Und schon einmal wirklich herzlichen Dank für deinen Einsatz für mich!!! :)

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

So zumindest geht es voran. Das macht mich glücklich :)

Kann ich diese Dateien bearbeiten bzw zumindest die eine Datei löschen? Oder was lässt sich aus dem Log lesen?

ZeroAccess hat den netbt-Service manipuliert.
Versuch mal diesen Eintrag (und nur diesen!) mit dem TDSS-Killer zu löschen.
Starte Windows danach neu und mach ein neues Log mit dem TDSS-Killer.

Sind wir schon im Schlussspurt? Es wäre soo super, wenn es klappen würde alles zu entfernen. Danke weiterhin!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hey,

schon einmal super. Werde es ungefähr mal um 15 Uhr laufen lassen und danach alle drei Sachen posten.

GMER hat mir zweimal einen BlueScreen beschert.

Hier der OSAM-Log:
Und dann das andere Protokoll

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Puh, doch noch Funde. Sind da schlimme dabei? Was soll ich damit machen?

Hier einmal das Ergebnis von SuperAntiSpyware...

Ich habe noch nichts mit den Daten von SuperAntiSpyware gemacht. Halte das Fenster geöffnet, um die Dateien evtl in Quarantäne zu schieben oder ähnliches...
Die beiden anderen Scans lass ich noch durchlaufen und poste die Ergebnisse im Laufe des Tages.

Das sind nur Cookies und ein Fund in der TDSS-Quarantäne. Kann alles weg.

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Mach bitte die anderen Logs auch noch

Also hier noch einmal der Log von Malewarebytes...
Hoffe, dass da auch nix schlimmes drin ist.

Lass dann nochmal den Online Scan laufen.

Hast du neben "eingeschränkten Benutzer Konto" noch weitere Sicherheitstipps?? Welche Scanprogramme soll/Kann ich drauf lassen oder deinstallieren?

Und hier noch das ESET Log...



Für mich scheint somit alles in Ordnung zu sein :rofl:
Was kann ich drauf lassen und was kann ich wieder entfernen?

Cosinus, an dich aller recht herzlichlichen Dank von meiner Seite! Du hast mich sowas von gerettet! Vielen Vielen Dank!!! :dankeschoen:

Ein Problem habe ich dennoch...

Ich kann weder auf Windows Defender noch auf die Windows Firewall zugreifen. Es kommt u.a. diese Fehlermeldung: "Fehler bei Anwendungsinitialisierung. 0x80070006. Das Handle ist ungültig"

Hast du da noch eine Idee?

Das sind diese typischen Fehler die man nach Schädlingsbefall haben kann.
Eine allgemeingültige Vorgehensweise das zu fixen gibt es so nicht, jeder Fall ist da etwas anders, schau nach über Google ob du Löseungswege findest du bei dir greifen =>0x80070006 - Google Search
Wenn nicht: nicht jede Bereinigung ist so erfolgreich, dass auch alle Fehler beseitigt werden v.a. wenn Schädlinge tw. das System zerstört haben - dann bleibt nur formatierung und neuinstallation übrig