|
Trojaner - "Weißer Bildschirm mit Verbindung wird hergestellt." Problem ist auf einem Acer- Laptop mit Windows Vista aufgetreten. Zuerst hab ich einen Suchlauf mit Malware gemacht und den gefundenen Schädling leider gelöscht. Danach war immer noch der weisse Bildschirm da. Danach hab ich das System zurück gesetzt auf einen früheren Zeitpunkt. Jetzt funktioniert auch das Internet wieder und Malware findet keine Schädlinge. Einmal bekam ich noch die Meldung von Avira, dass ein "TR/Trash.Gen" gefunden wurde und diesen hab ich in die Qurantäne verschoben. Nach einem nochmaligen Suchlauf (3/4 h) bekam ich keine Hinweise mehr. Der Laptop läuft wie immer und das Internet auch. Meine Fragen dazu: 1. Ist der Trojaner wirklich verschwunden? 2. Kann ich meine Fotos, Worddokumente, wichtige Treiber auf eine Festplatte sichern ohne den Trojaner mitzunehmen? 3. Muss ich den Laptop neu installieren, da er eh schon etwas langsam ist? Ich habe hier schon einiges gelesen, was die anderen User machen sollten und das hat mich schon überfahren und ich hab mir auch dieses Programm auf CD gebrannt (OTPL) nur funktioniert das nicht und jetzt bin ich am verzweifeln. Vielen Dank für eure Hilfe. |
Schön und wo sind die Logs dazu? http://cosgan.de/images/midi/boese/a040.gif Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner. (Avira, Malwarebytes) Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Also ich probier es jetzt einfach so. Seid nicht böse, wenn dies nicht der richtige Weg ist. Maleware: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.27.09 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Chiara :: PRIVAT [Administrator] 27.06.2012 21:03:31 mbam-log-2012-06-27 (21-03-31).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 213976 Laufzeit: 13 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Avira: Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 26. Juni 2012 19:56 Es wird nach 3861886 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista (TM) Home Premium Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PRIVAT Versionsinformationen: BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00 AVSCAN.EXE : 12.3.0.15 466896 Bytes 12.05.2012 11:54:08 AVSCAN.DLL : 12.3.0.15 66256 Bytes 12.05.2012 11:54:07 LUKE.DLL : 12.3.0.15 68304 Bytes 12.05.2012 11:54:11 AVSCPLR.DLL : 12.3.0.14 97032 Bytes 12.05.2012 11:54:12 AVREG.DLL : 12.3.0.17 232200 Bytes 12.05.2012 11:54:12 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:49:21 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:56:15 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 06:56:21 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:26:11 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:28:27 VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 11:54:04 VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 11:54:04 VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 11:54:04 VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 11:54:04 VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 11:54:04 VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 11:54:04 VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 11:54:04 VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 11:54:04 VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 11:54:04 VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 18:58:16 VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 13:42:03 VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 13:42:04 VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 14:28:19 VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 14:28:26 VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 14:28:32 VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 11:02:09 VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 10:07:48 VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 10:07:40 VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 21:42:22 VBASE024.VDF : 7.11.32.133 127488 Bytes 11.06.2012 21:42:23 VBASE025.VDF : 7.11.32.171 182784 Bytes 12.06.2012 21:42:24 VBASE026.VDF : 7.11.32.251 119296 Bytes 14.06.2012 21:42:24 VBASE027.VDF : 7.11.33.83 159232 Bytes 18.06.2012 21:42:25 VBASE028.VDF : 7.11.33.195 200192 Bytes 22.06.2012 07:21:48 VBASE029.VDF : 7.11.33.196 2048 Bytes 22.06.2012 07:21:49 VBASE030.VDF : 7.11.33.197 2048 Bytes 22.06.2012 07:21:49 VBASE031.VDF : 7.11.33.208 3072 Bytes 22.06.2012 07:21:49 Engineversion : 8.2.10.96 AEVDF.DLL : 8.1.2.8 106867 Bytes 03.06.2012 11:02:27 AESCRIPT.DLL : 8.1.4.28 455035 Bytes 23.06.2012 07:22:00 AESCN.DLL : 8.1.8.2 131444 Bytes 18.04.2012 17:32:48 AESBX.DLL : 8.2.5.12 606578 Bytes 20.06.2012 19:33:42 AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 06:55:37 AEPACK.DLL : 8.2.16.22 807288 Bytes 23.06.2012 07:22:00 AEOFFICE.DLL : 8.1.2.38 201083 Bytes 23.06.2012 07:21:58 AEHEUR.DLL : 8.1.4.52 4923767 Bytes 23.06.2012 07:21:57 AEHELP.DLL : 8.1.21.0 254326 Bytes 12.05.2012 11:54:05 AEGEN.DLL : 8.1.5.30 422261 Bytes 20.06.2012 19:33:34 AEEXP.DLL : 8.1.0.54 82293 Bytes 23.06.2012 07:22:01 AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 06:55:34 AECORE.DLL : 8.1.25.10 201080 Bytes 03.06.2012 11:02:13 AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 06:55:33 AVWINLL.DLL : 12.3.0.15 27344 Bytes 12.05.2012 11:54:01 AVPREF.DLL : 12.3.0.15 51920 Bytes 12.05.2012 11:54:07 AVREP.DLL : 12.3.0.15 179208 Bytes 12.05.2012 11:54:12 AVARKT.DLL : 12.3.0.15 211408 Bytes 12.05.2012 11:54:06 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 12.05.2012 11:54:06 SQLITE3.DLL : 3.7.0.1 398288 Bytes 12.05.2012 11:54:12 AVSMTP.DLL : 12.3.0.15 63440 Bytes 12.05.2012 11:54:08 NETNT.DLL : 12.3.0.15 17104 Bytes 12.05.2012 11:54:11 RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 12.05.2012 11:54:02 RCTEXT.DLL : 12.3.0.15 98512 Bytes 12.05.2012 11:54:02 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Dienstag, 26. Juni 2012 19:56 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'agent.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'Framework.NotificationCenter.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'werfault.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcmon.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'RtkBtMnt.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'brccMCtl.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '164' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'NPSAgent.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'ISUSPM.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'ACDaemon.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'NkMonitor.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'PMVService.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLSvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'wmdSync.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'BrMfcWnd.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'pptd40nt.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'ArcadeDeluxeAgent.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'QtZgAcer.EXE' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'VMCService.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'SchedulerSvc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'BackupSvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'MobilityService.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'FsUsbExService.Exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'ETService.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'eDSService.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'CLHNService.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'Agentsvc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'PLFSetI.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'BkupTray.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'eAudio.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'eDSLoader.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'ePower_DMC.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '130' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '108' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'upeksvr.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft Die Registry wurde durchsucht ( '6051' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\$RECYCLE.BIN\S-1-5-21-821317666-1273569640-3729434685-1000\$RDVFP01\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\$RECYCLE.BIN\S-1-5-21-821317666-1273569640-3729434685-1000\$RDVFP01\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Program Files\Acer GameZone\Big Kahuna Reef\Data.DAT [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files\Big Kahuna Reef\Data.dat [WARNUNG] Unerwartetes Dateiende erreicht C:\Program Files\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Program Files\SlySoft\AnyDVD\AnyDVD-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Program Files\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt C:\Users\Chiara\Documents\everpixx Projekte\2010.epp [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Chiara\Documents\everpixx Projekte\Niclas & Chiara.bak [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Chiara\Documents\everpixx Projekte\Niclas & Chiara.epp [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Chiara\Downloads\avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\Chiara\Downloads\Inkscape-0.42.2-1.win32(2).exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Users\Chiara\Downloads\WinRAR\rarnew.dat [WARNUNG] Das Archiv ist unbekannt oder defekt Beginne mit der Suche in 'D:\' <DATA> D:\von Gunter\CDVD\SetupAnyDVD4562.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupAnyDVD5511.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupAnyDVD6193.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupAnyDVD6485.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupAnyDVD6492.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupAnyDVD6518.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneCD5100.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneCD5261.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneCD5310.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneCD5313.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneDVD2912Slysoft.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneDVD2920Slysoft.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneDVD2Slysoft.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupCloneDVDmobile1201.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\SetupVirtualCloneDrive5411.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\update2.5.4.3_SetupCloneDVD2Slysoft.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft D:\von Gunter\CDVD\update4.3.0.1_SetupAnyDVD4301.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft Ende des Suchlaufs: Dienstag, 26. Juni 2012 22:52 Benötigte Zeit: 2:56:31 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 32789 Verzeichnisse wurden überprüft 672064 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 672064 Dateien ohne Befall 2628 Archive wurden durchsucht 34 Warnungen 0 Hinweise 691307 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden :dankeschoen: Auch wenn ich mich etwas dumm anstelle, hoffe ich auf weitere Hilfe. |
Was verstehst du an den CODE Tags denn nicht? Ist das so schwierig vor dem Log ein [code] und nach dem Log ein [/code] zu posten? :confused: Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. |
Hallo Arne. Hier noch einmal die anderen Scans von Malware. Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: Malwarebytes Anti-Malware 1.61.0.1400Code: Malwarebytes Anti-Malware 1.61.0.1400Code: Malwarebytes Anti-Malware 1.61.0.1400Code: Malwarebytes Anti-Malware 1.61.0.1400Code: Malwarebytes Anti-Malware 1.61.0.1400:crazy: |
Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" |
Hallo Arne. Hab gerad probiert ESET zu starten. Ich habe alles so gemacht wie für Firefox und Vista- Nutzer beschrieben. Es kommt bei mir die Meldung: Fenster: Downloading ESET- Onlinescanner: Can not get update. Is proxy configured? Wo find ich denn die Einstellung, hab schon alles ab gesucht und muss wohl blind sein. Danke. |
Bitte prüf mal: Falsche Proxy Einstellungen entfernen
  |
Hallo Arne. Vielen Dank für deine Antwort. Nun ist der Scan durchgelaufen. Hier das Ergebnis. Code: ESETSmartInstaller@High as downloader log: |
Code: ...BE72F38F\registrybooster.exeFinger weg von Registry-Cleanern!! Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen. Zerstörst Du die Registry, zerstörst Du Windows. Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Hallo Arne. Ja es funktioniert alles wieder top und es gibt auch keine leeren Ordner. Und natürlich fällt man auf die Cleaner rein und jetzt weiß ich ja Bescheid. Was mach ich den damit? :stirn: und auch wenn du dies jedes mal denkst, es macht niemand mit Absicht mit diesen Cleanern, ich glaub ich hab nur begonnen es runter zu laden und nicht mal genutzt. Grüße. |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
Hallo Arne. Hier der Scan. OTL Logfile: Code: OTL logfile created on: 05.07.2012 11:21:46 - Run 1Grüße Katja |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Code: All processes killed |
Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Hallo. 1. Windows geht normal. 2. Alle Ordner vorhanden. Grüße |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogLade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code: netsvcs
|
So hier der neue Scan. OTL Logfile: Code: OTL logfile created on: 05.07.2012 17:33:19 - Run 2 |
Bitte besser aufpassen und sorgfältiger beim Kopieren und Einfügen arbeiten! Du hast nicht 1:1 mein Script aus der CODE-Box abkopiert |
Und muss ich es noch mal machen oder ist es trotzdem ok so? |
Ich hätte wohl kaum so einen Hinweis gepostet wenn das so ok gewesen wäre! :( |
Hallo Arne. Hier nochmal das Ganze, ich hoffe es ist diesesmal vollständig. OTL Logfile: Code: OTL logfile created on: 06.07.2012 09:13:06 - Run 3 |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Hallo Arne. Code: 14:59:31.0532 3600 TDSS rootkit removing tool 2.7.44.0 Jul 2 2012 20:01:08 |
Log ist unvollständig die untere Zusammenfassung fehlt |
Hallo Arne. Ich hab den Log noch offen und wirklich alles kopiert (hab nochmal geschaut). Es stand auch unterm Laufwerk C. Mehr ist da nicht. Grüße Katja:confused: |
Code: 15:02:25.0150 4372 Detected object count: 13Bitte prüfen und wirklich nach ganz unten scrollen! Hast du das Log denn auch mit STRG+A markiert und dann kopiert und hier gepostet? |
Hallo Arne. :stirn: Tschuldigung. Habs wohl dieses mal nicht mit Strg. + A markiert. So jetzt müsste es vollständig sein. Code: 14:59:31.0532 3600 TDSS rootkit removing tool 2.7.44.0 Jul 2 2012 20:01:08:twak: |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Hallo Arne. Hier das neue Log. [code] Combofix Logfile: Code: ComboFix 12-07-08.01 - Chiara 09.07.2012 15:32:45.1.2 - x86Ich hoffe wir sind dann durch und wenn es so ist hab ich noch eine Frage. Wie kann ich solche Trojaner am besten meiden und trotzdem noch ins Internet gehen? Gibt es gute Schutzprogramme? Grüße Katja |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Registry::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo Arne. Hier das nächste Log. Computer wollte nicht neu starten? [code] Combofix Logfile: Code: ComboFix 12-07-08.01 - Chiara 09.07.2012 16:34:34.2.2 - x86Katja |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Hallo Arne. So der 1. GMER. [code] GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.netKatja So hier OSAM. Code: OSAM Logfile:Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar. Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm! Anschließend Windows neu starten und ein neues Log mit aswMBR machen. |
So hier das nächste Log. Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
Hallo Arne. Code: # AdwCleaner v1.701 - Logfile created 07/12/2012 at 20:58:01 |
adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
|
Hallo Arne. Code: # AdwCleaner v1.701 - Logfile created 07/13/2012 at 08:58:01 |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Maleware Code: Malwarebytes Anti-Malware 1.62.0.1300 |
das war aber kein Vollscan |
Code: SUPERAntiSpyware Scan Log |
Sieht ok aus, da wurden nur Cookies gefunden. Und ein Fehlalarm war dabei Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Hallo Arne. Ich danke dir/euch für die Hilfe. Ich denk, dass System ist soweit in Ordnung und ich werde keine Cleaner ;-) mehr runterladen. Wenn wieder etwas sein sollte, weiß ich ja wohin ich mich wenden kann. Vielen, vielen Dank. Katja |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks => Adobe Flash Player Distribution | Adobe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board