Programme frieren ein malware nicht auffindbar
 

Hallo,:glaskugel:

Auf Desktop Programme verschwunden, Kasperksy-Icon in Start-Menü verändert läßt sich dort nicht mehr starten.
Programme frieren ein, lassen sich teilweise mit Taskmanager beenden, kommen trotzdem selbsttätig wieder.

vor dem Besuch von Trojaner-Board.de: Filepony, malwarebytes geladen und 2 Funde gelöscht (Pur.bund...).

Wie soll ich nun weiter vorgehen? :headbang:

Wäre für Hinweise sehr dankbar.

Gruß petertroj

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo cosinus,
die 2 Funde wurden zwar in einer malwarebytes-Log-Datei gespeichert, sind aber nicht mehr auffindbar, ebenfalls sind die 2 in Quarantäne verschobenen Dateien vor dem Besuch des hiesigen Forums gelöscht worden und nicht wiederherstellbar.

Weitere Hinweise aus Malware-Programmen (Avira, Kaspersky Pure 2.0, Secunia, Hijack this) existieren nicht.
Wohl aber recht unlogische Daten (erstellt, geändert, 01.01.1970 !!!), würde ich wegen etwa 20 jpg-Einzeldateien als rar-Datei/Volumen schicken soweit überhaupt hilfreich.


Wie häufig/immer derzeit etwa 70 Minuten immer wieder "Keine Rückmeldung" bei Malwarebytes-Suchlauf (Quick-Scan), Avira glänzt ebenfalls durch "festhalten an 34,8 %" also ohne nennenswertem Fortschritt.

Nachfolgend die Code-Dateien:

defogger_disable.log, ungültige Datei, wie senden????

psialog.txt, 1 MB zu groß
sualog.txt, 900 KB zu groß


eventlog.etl, ungültige Datei
report.wer, ungültige Datei


Soweit morgen Avira einmal fertig sein sollte (???) schicke ich die Log-Dateie gerne nach.

Vielen Dank, petertroj :kloppen:

Nicht mehr auffindbar?!
Malwarebytes speicher die alle von allein ab, da musst du schon was gelöscht haben von den Logs!
Schau mal nach ob die Logs noch hier zu sehen sind in Form von Textdateien. Damit du die Ordner auch siehst das hier VORHER umsetzen!! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Hauptlogs nach Scans (Quick, Full oder Flash):

• XP:
  C:\Dokumente und Einstellungen\(USER)\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt
  
  
• Vista, Windows 7, 2008:
  C:\Users\(USER)\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-yyyy-mm-dd.txt

Hallo Cosinus,

richtig, die 2 Funde, in mb-logs, sind nicht nicht mehr auffindbar!!!!!

Falsch ist das ich die logs selbst gelöscht habe, gerade das, neben
1) Desktop Löschung
2) Kasperky Verknüpfung in Start (nur noch 0-Byte-Datei), 3) Einfrieren der Programme,
4) überlange Laufzeiten, 5) Erstell-Datum 01.01.1970 und weiteres mehr sind die Gründe warum ich mich informiere.

Anbei daher die jpg-Dateien Funde 09.06.12 mit Anfang zu sehen, mb-logs, avira-logs.
mb und avira finden (abgesehen von Downloads trojanerboard und bios-kompendium) keine malware.

Ein weiteres Problem ist für Notfall CD Kaspersky starten zu können, das "Boot-Umstellen" von FP C auf CD, hier kann ich das "Supervisor-Passwort" nicht umstellen, bei Aufruf ist dies grau statt blau. Einzig das Passwort für die Festplatte (FP) konnte ich einrichten.

Schließlich noch eine Frage zu den Code-tags, es erscheinen zwar die Datei-Namen, aber keine Inhalte. Habe die Dateien je hochgeladen.
Muß ich vor dem Hochladen die Dateien in Editor/Wordpad ... vorher öffnen damit sie im Forum zu sehen sind?

Beim Stöbern im Forum finde ich im Beitrag magand vom 17.07.12 Ähnlichkeiten (Verzeichnisse, Downloader) wieder.
Gruß
Petertroj

Ich fürchte du hast es nicht verstanden, was ich in CODE-Tags haben will und was nicht

Nochmal richtig erklärt

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

hallo cosinus,

1) Fund: 09.06.2012 vor Besuch des Forums, ein Kopieren und Einfügen funktioniert nicht, attach ebenfalls nicht. Muß auf Miniaturansicht des Anhangs verweisen.

2) defogger_disable vom 29.07.12

3) Extras wurde nicht erstellt, Datei extras.txt
daher vom 01.07.2012

4) Kaspersky-Log-Bericht über
von mir, 5 in Quarantäne verschobene Dateien 5) OTL 29.07.2012

Ausdrücklich wird darauf hingewiesen das die 2 Funde vom 09.06.2012 in keiner Log-Datei zu finden sind.

Die entsprechende Log-Datei malwarebytes, in der die 2 Funde, hernach Quarantäne, danach Löschung, enthalten waren, ist nicht auffindbar.

Das die Kopier-Einfüge-Anfangsmarke / ...-Endemarke die Code-Tags mit/ohne Schrägstrich sind habe ich mittlerweile im Forum gefunden. Die Grafik-Einbindung ist unklar.

gruß petertroj

Durch CODE-Tags wird keine Datei darin dargestellt!
Lies doch bitte mal die Erklärung zu den BB-Codes und v.a. zum CODE-Tag! => http://www.trojaner-board.de/misc.php?do=bbcode#code

Ich weiß nicht wie du darauf kommst, dass die Datei sich "öffnet" oder dargestellt wird, nur weil du sie in CODE-Tags postest :wtf:
Dafür sind CODE-Tags nicht gedacht und eine bei dir lokale Datei kann schonmal garnicht vom Webserver angezeigt werden, dafür müsstest du sie hochladen! Entweder hier oder zB bei Bildern da => Saved.im
Um Bilder hier anzuzeigen musst du das IMG-Tag verwenden, die komplette Adresse (URL) zum Bild wird in IMG-Tags gepostet

Beispiel:

[img]http://www.trojaner-board.de/attachments/39189d1343625755-programme-frieren-malware-auffindbar-aufzeichnen.jpg[/img]

Und das ganze sieht dann so aus:

http://www.trojaner-board.de/attachm...ufzeichnen.jpg

hallo cosinus,

für die entgegengebrachte Aufmerksamkeit bedanke ich mich.

:dankeschoen:

Die 2 Funde sind mit jpg-Datei übermittelt.
Ausstehend sind nun noch gmer.txt, basisinfo.

:taenzer:

Aus Sunny, 11.1.09, Schritt 3, fehlt nun noch 32-bit-System (gmer) und die basis-infos zum PC.
:stirn:
Basisinfo PC txt.txt
:sleepy:
gmer wordpad.7Z, im Anhang
Meldung als jpg-datei:
nach otl u disable So 29072012.jpg, als Anhang
:nono:



gruß petertroj

Ich hab dir jetzt haarklein erklärt was es mit den CODE-Tags usw auf sich hat, würdest du dann auch dementsprechend handeln?!
Wenn du Hilfe möchtest, kann es ja nun nicht zuviel verlangt sein, die notwendigen Infos in einem für den Helfer angenehmsten Format zu posten

Hallo cosinus,
hoffe nun die geforderte Form einzuhalten.
Entschuldige das langsame Lernen.

Die Darstellung von Text in Code tags bekomme ich nur dann hin, wenn ich den Text kopiere und einfüge.
Wenn ich hier einen Fehler mache, darf ich um einen Hinweis bitten, alleine die Angabe des Dateinamens löst beim Antworten keine Darstellung im Beitrag aus, abgesehen von der Angabe des Dateinamens.

1) mb-log-datei wurde offensichtlich von welcher malware auch immer verändert. Weiter unten dann die mb-log-dateien. Hierin finden sich die Funde, die Quarantäne, das Löschen nicht mehr wieder.
Dateiname: 2fundemalewaresa090612viafilepony.jpg

http://saved.im/mtg4ntcwbta0/2fundem...iafilepony.jpg

2) Die malware veränderte im Desktop eine von 2 Hijack-this-Verknüpfungen
Dateiname: desk1.jpg

http://saved.im/mtg4ntu5zwt4/desk1.jpg

3) Weiter wurde die Verknüpfung im START-Menü des Kaspersky-PURE 2.0 zu einer 0-Byte-Verknüpfung verändert
Dateiname: start1.jpg

http://saved.im/mtg4ntyyyjf3/start1.jpg

4) malware nahm Einfluß auf Programme, nachstehend Beispiel für unlogisches Datum, Antivira-Logo 2mal in Systemsteuerung, einmal verzerrt
Dateiname: avira 2 . jpg

http://saved.im/mtg4nty0cg9z/avira2.jpg

5) verzerrtes Avira-Logo Systemsteuerung
Dateiname: avira 5 . jpg

http://saved.im/mtg4nty1d3dp/avira5.jpg

6) Grafik aus Kaspersky PURE 2.0 , Programmaktivität, unlogische Datum erstellt / geändert , mehrmalig 01.01.1970

http://saved.im/mtg4nty4mmw0/kasprogakt1.jpg
7) hier eine Fehlermeldung, avira betreffend, nach OTL und defogger
Dateiname: nach otl u disable so 29072012.jpg

http://saved.im/mtg4nty5nxr2/nachotl...so29072012.jpg

8) Infos zum PC/BS, in Code tag eingefügt, nicht angehängt
Dateiname: Basisinfo PC txt.txt
9) OTL
Dateiname: OTL So 29072012.txt
OTL EXTRAS Logfile:
--- --- ---


10) Extras OTL
Dateiname Extrax.txt
OTL EXTRAS Logfile:
--- --- ---


11) schließlich noch die gmer-Datei, ist im Anhang (151 KB, 7 KB als zip), weil Hinweis LOGS als Archiv anhängen

Dateiname: gmer wordpad.zip

12) mb-logs als zip-Datei angehängt, weil Anzahl Zeichen sonst zu groß
Dateiname: mbam-log-2012.zip

Sind die beigefügten Dateien und Grafiken nun in Anzahl und Form ausreichend?

Gruß petertroj

Die Logs sind ja schon ziemlich alt :pfeiff:

Bitte erstmal routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo Cosinus,

a) Deinstallation von Malwarebytes, da von 04.08.2012 nach Aktualisierung die Datenbanken mit dem 03.07.2012 angegeben wurden

b) Neuinst. Malwarebytes, kein Fund, 6.8.12

c) wunschgemäß die älteren logs (mb, avira) je als zip-Datei im Anhang

mb protection log.zip
mb logs 19.zip

Log Avira.zip

d) nochmals Läufe mb, avira, EFSET

avira 10082012 unicode.txt - code tag unten



mbam-log-2012-08-07 (20-00-35).txt - code tag unten


EFSET 6 Funde.txt - code tag unten,

Bericht EFSET, wie beschrieben als Schluß !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


d) hier 6 Funde über online-Scaner EFSET, Code-tag wie beschrieben

Beim EFSET-Lauf habe ich einen PC-STICK nicht eingesteckt, der wahrscheinlich mit den gleichen Dateien verseucht ist wie die FP (C, D, G)

Soll ich nun den EFSET-Lauf mit externer FP (G) und dem PC-STICK wiederholen?

Gruß petertroj

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo cosinus,

AdwCleaner[R1].txt

Überprüfung des PC-Sticks mit Kaspersky blieb ergebnislos.
Danach meldete Vista Probleme mit diesem Datenträger (Überprüfung/Reparieren oder nur Überprüfen). Habe an dieser Stelle abgebrochen, Fenster nur geschlossen.

Verwende WOT, gibt es im Netz Negativ-Listen zu malware?

Gruß petertroj

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo cosinus,

Gruß petertroj

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Cosinus,

nach Viertelstunde Surf-Versuche nachfolgendes Mail geschrieben:

1)
- nein,
- bekomme keine Internet-Verbindung zu trojaner-board.de / WOT ...
Neue Fenster / Tabs werden geöffnet aber keine Verbindungen hergestellt.
- Orion, von Convesoft, reagiert nicht auf "Schließen". Muß in Taskleiste,
ICON, beendet werden, geht bis "Programm abbrechen / schließen.

Daher diese Mail. Muß sonst ins Internet-Cafe oder zu einem Bekannten.

2a)
- vermisse nichts

2b)
- unter "Alle Programme" jeden Ordner durchgesehen.
- Open Office Org, Version 3.3 , Textverarbeitung / Tabellenkalkulation,
ist vorhanden

- Open Office Org, Version 3.1 ist LEER

- Readme-Dateien von Programmen werden mit Version 3.1 Open Office Org
angegeben, wenn ich diese oder andere txt-Dateien öffne.

2c)
- sonst alles da

Gruß petertroj

---

Muß mich nach Anmeldung nochmals über VS Bulletin - Fenster anmelden.
Ist das im Ablauf korrekt?

Gruß petertroj

























Gruß petertroj

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinus,

OTL-Datei nachstehend, Einfügungen gemacht


OTL Logfile:
--- --- ---

Gruß petertroj

Willst du dein System in die Knie zwingen? :wtf:
Zwei solcher Virenscanner installiert man niemals parallel! Deinstalliere einen der beiden!

Max. Malwarebytes kann man zu einem installierten Virenscanner benutzen.
(die anderen Scanner die ich hier in der Bereinigung/Analyse verwende kommen den anderen auch nichts ins Gehege)

Hallo Cosinus,

hatte in der Vergangenheit sehr üble Virenauswirkung, die von Kasperky, gekaufte Version, nicht erkannt wurde!!!!

Daher 2 Virenscaner.

Avira deinstalliert. Upgrade-Angebot nicht wahrgenommen, zumindest in 2009 votet WOT sehr schlecht.

Gruß petertroj

Ach nd du glaubst wenn du einen anderen Virenscanner nimmst oder mehrere gehst du diesem Problem aus dem Weg?
Ein Virenscanner, egal welcher, kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Und zwei Virenscanner gleichzeitig sind ein NO GO! Die können sich gegenseitig in die Quere kommen und das System negativ beeinträchtigen!

Hallo Cosinus,

die bisherigen Anweisungen habe ich nochmals durchgesehen.

Die letzte Anweisung war Avira oder Kaspersky zu deinstallieren.

Dem bin ich nachgekommen.

In deinem letzten Beitrag findet sich keine klare Anweisung.

Zur Klarstellung sei aufgegriffen, daß ich mich sicherlich nicht für den Sicherheitsguru vom Dienst halte und dies auch in keiner Weise so dargestellt habe.

Der Grund warum ich mich hier informiere liegt im Gegenteil.

Eine gekaufte Antivirensoftware hat im Gegensatz zur Freeware einen höheren Funktionsumfang.
Sicher haben die Antiviren-Programme unterschiedliche Ansätze.
Nur ist es mir bisher nicht gelungen das Betriebssystem - Antivirenprogramm - "passende weitere Schutz- und Berichtungsprogramme" optimal zu finden und noch besser aufeinander abzustimmen so das eine höchstmögliche Sicherheit dabei herauskommt.

Was soll das mit Glauben zu tun haben? Es ist für mich schlicht eine schier unvorstellbare Flut von Informationen, möglichen sprich denkbaren Programm-Zusammenstellungen und dem üblen Ergebnis von Infektionen im PC.

Von Kaspersky wurde vor dem Besuch dieses Forums die Deinstallation der Schutzprogramme in Vista gefordert.

Vor mehreren Jahren fand das seinerzeit

alleinige Antivirenprogramm,

von Symantec, Bloodhound, einen Virus nicht. GLAUBE ?????????

Gruß Petertroj

Mein letzter Post sollte auch nur nochmal verdeutlichen, dass es keine gute Idee ist, mehrere Virenscanner wie AntiVir und Kaspersky parallel zu betreiben - eigentlich ist es schon fragwürdig, warum beim Setup die Virenscanner nicht darauf hinweisen, dass noch ein anderes Produkt installiert und aktiv ist und dass es dann zu herben Problemen kommen kann - mW macht aber MSE das


Mach bitte nun wie schon in Posting #20 erwähnt wieder ein neues OTL-Log

Hallo Cosinus,

zunächst viel Spaß, Erholung und Entspannung im Urlaub.

Mit der geforderten Routine (Neuinst. wg neuesten DB von OTL,
Einfügung der vorgegebenen Strukturierung, neuer Quickscan OTL)
kam ich deiner Anweisung aus #20 in meiner
Post # 21 nach.

Habe ich etwas übersehen oder falsch beschriftet?

Nicht im Urlaub, eher mit Dienstzeiten von 7 - 19 Uhr.

Gruß Petroj

Glaubst du das hab ich übersehen? Warum schrieb ich wohl, du sollst ein neues Log machen, was hast du nach dem letzen Log an deinem Rechner geändert?
Wenn sich Entscheidendes an der Systemkonfig ändert, dazu zählt logischerweise auch das Deinstallieren von Software, dann will ich auch ein neues OTL-Log sehen

3.1) 25.08.2012 Down OTL neu
2) Update Vista Defender vom Installationsdatum: ?25.?08.?2012 05:13
1.1) 19.08.2012 Neuinst, ERSATZ für CSI alt (Deinst. 19.08.2012) PSI,
0.1) 18.08.12 Deinst. Avira


# 20 cos Alt 17.08.2012, 20:55 Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. CustomScan mit OTL

erledigt am 18.8.12, 09.44 h

#21 pet Alt 18.08.2012, 09:44 OTL-Datei nachstehend, Einfügungen gemacht (CustomScan mit OTL)



# 22 cos Alt 18.08.2012, 14:22 Deinstalliere einen der beiden!

erledigt am 18.8.12, 18.48 h

#23 pet Alt 18.08.2012, 18:48 Avira deinstalliert.

# 24 cos Alt 20.08.2012, 17:23 Post ohne Anweisung

#25 pet Alt 20.08.2012, 21:41 Post ohne Anhang

#26 cos Alt 21.08.2012, 13:33 Mach bitte nun wie schon in Posting #20 erwähnt wieder ein neues OTL-Log

#27 pet Alt 22.08.2012, 00:34 kam ich deiner Anweisung aus #20 in meiner Post # 21 nach.
Habe ich etwas übersehen oder falsch beschriftet?

#28 cos Alt 20.08.2012
Gestern, 13:50 was hast du nach dem letzen Log an deinem Rechner geändert?

Wenn sich Entscheidendes an der Systemkonfig ändert,
dazu zählt logischerweise auch das Deinstallieren von Software,
dann will ich auch ein neues OTL-Log sehen

erledigt heute, 31.8.12, 14.13

#29 pet Fr. 31.08.12, 12.42:


0.1) 18.08.12 Deinst. Avira
0.2) 18.08.2012 OTL alt
1.1) 19.08.2012 Neuinst, ERSATZ für CSI alt (Deinst. 19.08.2012) PSI,
1.2) vor 25.08.2012, nach 19.08.2012 Anzeige Plugins Firefox

2) Update Vista Defender vom Installationsdatum: ?25.?08.?2012 05:13

c
3.2) 25.08.2012 OTL.txt Bericht, Einfügung (CustomScan mit OTL)


4.1) 18.8.12 OTL alt Bericht Einfügung (CustomScan mit OTL)

[CODE
OTL18082012.7z
[/CODE]

4.2) 25.8.12 OTL Down, Bericht Einfügung (CustomScan mit OTL)

OTL18082012.txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 119,6 KB groß.

OTL *.* je als Zip Datei anbei im Anhang

Das Log vom 25.08. ist jetzt das letzte was du erstellt hast?
Du hast auch die OTL.exe vorher neu runtergeladen und mit der aktuellen Version das Log erstellt?

1) Vista Update 31.08.12, 20:03 h
s. Code


2) OTL.exe, 31.08.12, 19:59 h
(Download, Einstellungen s. Code)

3) OTL.txt, zulang, Anhang *.7z, siehe #29

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

zunächst vielen dank für die anweisung.

ehe ich dies nun wie beschrieben durchführe, wartungs-/ereignis-infos:
- Java über Firefox Plugins aktualisiert, seither kein Zugriff über SysStrg-Java-Tasse
- Schwachstellenmeldung Kaspersky 50354, Adobe Flash Player 11x, hochgefährlich, downgeloaded
- danach Java.com Seite aufgerufen, nicht über Firefox, nicht über SysStrg, Aussehen der Seite war anders, nach Download Fehlermeldung Java corrupt
- Taskmanager lies sich nicht starten, lediglich Icon rechts unten in Taskleiste
- Neustart
- Meldung Dateiexplorer funktioniert nicht mehr
- PW-Manager im Kaspersky gestört
- Vista Mail keine Rückmeldung
- Einstellung in OTL Save List springt auf Aus bei Extra Registrierung

Editierung in den nächsten 60 Minuten bzw. nach deiner antwort

http://saved.im/mtkwnja1oxru/meldung...java010912.jpg

Verzettel dich nicht vom hundertsten ins Tausendste, Updates und andere Dinge machen wir später - JETZT machst du erstmal den OTL-Fix

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

125 KB, daher als *.7z im Anhang

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

combofix startet bei jedem neustart, läßt sich nicht beenden.

combofix wie angegeben gestartet, blaues fenster wird etwa 10 mal nacheinander, je tiefer, geöffnet.

es ist je ein fenster zu sehen.

nach 2 stunden kein ende der programmschleife.

taskmanager ohne rückmeldung.
auf der bleeping computer seite keine hinweise auf fehler gefunden.

wat nu?

8.10 - 8.53 Combo Fix
Stufen 1 bis 50 bis 8.20 h

8.21 Neustart Auto

Wechsel zu Administrator 8.21, ComboFix Fenster bereite LOG vor
OTL-Bericht über Editor war geöffnet (vom 01.09.12), geschlossen

8.53 LOG erstellt

Wohl viel zu tun. Finde meinen Beitrag nicht im Müll. Derzeit kann ich froh sein, wenn der PC-Betrieb irgendwie klappt (etwa 10 % normales Verhalten), Power Aus zum Beenden - manueller Neustart i. d. R. abges. Modus - Ende - Neustart .... .

Nachfolgendes Log als Administrator durchlaufen lassen, 3/4 Stunde statt 1 ganzen Tages.

Es wundert mich: die Antwort-Möglichkeit ist jederzeit gegeben.

Kasperky läuft in 72 Tagen ab. Mache neuen Beitrag wenn 2 Wochen rum sind.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

gmer brach ab, 2 Fensterlängen etwa 30 Rootkits gefunden.



osam.log
aswMBR.txt
Zur Info:
Wartungsarbeiten Vista Update, Löschung auf Desktop Verknüpfungen (hijackthis: Meldung kein hinterlegtes Programm, u. a.). Add-Ons neu Clippings, Malware search.

Damit kann ich nichts anfangen
Hat GMER kein Log erstellt?
Bitte nochmal probieren

Du hattest angegeben das bei 2maligem Abbruch gmer zu vernachlässigen sei!!!!!

Aus: gmer brach ab (..., 2 Fensterlängen etwa 30 Rootkits gefunden.)

zitierst du nur die Neben-Bemerkung, das zwar etwas gefunden wurde, leider aber tatsächlich 2 Abbrüche zu verzeichnen sind.
Ich probiere dies nun ein drittes mal ohne wirklichen Aussicht auf Erfolg.

wider erwarten lief gmer durch.
2. log darunter vom 04.08.12, seinerzeit erstellt wegen "Hinweise an Hilfesuchende"
je als zip datei angehangen, soweit größe überschritten sein sollte

gmer 0408 u 1609.zip beides zusammen als zip-datei

gmer 4 log.7z von heute als 7z-datei

gmer 04082012.7z vom 04.08.12 als 7z-datei

Ja und? :balla:
Wenn du aber schon meldest, dass GMER angeblich was gefunden hab, dann frag ich auch schonmal danach was du genau gesehen hast oder ist das nachvollziehbar - wenn GMER ohne offensichtliche Ergebnisse abstürzt dann ist mir das erstmal egal aber so nicht!

GMER hat übrigens nur Einträge von Kaspresky und irgendwelchen Java-Updates angezeigt, das ist alles okay


Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

fix
Neustart, log

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

MB mit FP C/D/E Stick F, ext FP G, Lwk I nicht bekannt (ggf virtuell/Swap-Datei?), Lfaufzeit 2 Std., 561.902 Dateien, etwa 450 GB (je 1/2 C bzw. G).



Super Anti Spyware
654 Speicherblöcke, 37.951 Registrierungselemente, 148.500 Dateielemente, Laufzeit 2 Stunden, ebenfalls C bis I, nach MB Neustart zum PC-Stick wurde XP mit FAT 32 gemeldet.

Frage zu FAT 32, PC-Stick:
Wäre hier eine virtuelle FP einzurichten? Welche Software käme in Frage?

Sieht ok aus, da wurden nur Cookies gefunden. Der andere FUnd von sasw ist imho ein Fehlalarm.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Aufmerksam habe ich die Tipps gelesen und werde sicher noch eine Weile brauchen bis ich alles umgesetzt habe.

Ja, es gibt mit dem Datei-Explorer immer noch Probleme: Fortschritts-Anzeige als grüner Balken, von links nach rechts, dann Anzeige der Dateien, besonders im Download-Ordner.
Oder aber er reagiert nicht mehr sodaß ein Neustart erforderlich ist.

Neustarts waren vor dem Super Anti Spyware nur noch als Ketten abzuarbeiten, also stundenlang. Hat sich irgendwann reduziert.

Eine Frage zu den Funden in der externen Festplatte G:
verstehe ich Dich richtig das Trojan.Agent/Gen-DunDun .... \unregmp2.exe ein zu vernachlässigendes Cookie (Programm) ist?


Bemerkung
Wartungsarbeiten:
Secunia hat eine Übersicht angezeigt mit Dateien die Up to date sind.
5 davon sollten up ge dated werden, u. a. Power Point 2007, Open Office Org von 3.3 auf 3.4.1 .
Open Office Org mußte manuell downgeloaded werden. Chrome für Browser (Auto-Vervollständigen) wurde unbemerkt mitgeschickt - habe ich nicht installiert entgegen der Meldung von Kaspersky die Installation sei ausdrücklich empfohlen.

Daher nochmal die MB und SAS Logs.

Nein ich hatte was von Fehlalarm gesprochen

Was heißt denn hier immer noch, wo genau hast du dieses angebliche Problem denn beschrieben
Was ist daran ein Problem, dass ein Fortschrittsbalken in grün ist? Wäre es weniger oder kein Problem wäre er in blauer oder roter Farbe? :confused:
Wie soll ein Forschrittsbalken verlaufen, wenn nicht von links nach rechts von oben nach unten? :confused: oder besser von links oben diagonal nach rechts unten oder wie soll das aussehen? :balla:
Wo im Downloadordner sollen Fortschrittsbalken sein, ein Ordner zeigt dir Dateisystemobjekte und keine Fortschrittsbalken an!

Nun ziemlich oben im Datei-Explorer wird das Quell-Verzeichnis angegeben (c:, Desktop, Computer, C:\eigene Dateien\ *.txt ...) .
in genau diesem Bereich wird "zur Untermalung der irren langen Lese-/Darstellungszeit" ein grüner Fortschrittsbalken angezeigt:confused:. Zeit schon mal bis 5 Minuten, schon mal eingefroren, selten normal (anklicken, innerhalb 1 Sekunde da :cool:).

Auch ist dann nichts mehr mit Taskmanager zu machen, lustige Schleife:applaus:: Power Aus (beleuchteter Knopf) dann Power An - es folgt i. d. R., abgesicherter Modus ohne alles (ohne Netzwerktreiber, Eingabeaufforderung), ... bis wieder irgendwann etwas halbwegs vernünftig funktioniert.
Das Ausprobieren sprich Warten hat sich in der Vergangenheit (bis zu 30 Minuten nie ausgezahlt).

Es ist mir in keiner Weise nachvollziehbar woran dies nun liegen "könnte" da es kein stetiges "Zeitmuster" gibt, d. h. wenn Programme einfrieren (Dateiexplorer, Open Office Org, Browser Firefox, Systemspiele {Spider Solitaire, Chess Titans, Solitär}, Kaspersky, Taskleiste Icons rechts unten im Screen/Bildschirm/Display) ,
oder auch kein gleichbleibender stetiger "Ablauf".



mein Beitrag

Deine Antwort
Wie das Cool-Icon in den Titel kam, keine Ahnung.

Ich würde mal an deiner Stelle auf Verdacht das hier umsetzen => http://www.trojaner-board.de/71631-p...tml#post425616
Evtl. behebt das die lange "Wartezeit" im Explorer

Eigentlich wären wir hier aber durch

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

zum abschluß :kloppen: vielen dank :taenzer:

in 3 - 4 monaten hoffe ich :aufsmaul: nun mit den tools alleine zurechtzukommen :glaskugel:, soweit das BS (gruppenrichtlinien, Sicherheit mit boardmitteln, Aktualiesierungen, Info-Beschaffung / Auswertung, Dual-Boot-Config XP WD 7 od 8) und Applikationen (Autorun / WinPatrol, Hijackthis auto u man., Plugins Add Ons, Adware, Scanner/Scan/firewall/defender) zufriedenstellend aufeinander abgestimmt sein werden :party:

die angegebene "Umsetzung" wird nicht separat vielmehr organ./Zeitgründen paralleel stattfinden müssen :pfui:, einschl. des "grünen Rahmens" bei Kaspersky sicherer Browser / sichere Umgebung :wtf: und des "grünen Balkens" :heilig: