Trojaner-Board - Malewarebytes meldet ccleaner.exe sei infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malewarebytes meldet ccleaner.exe sei infiziert? (https://www.trojaner-board.de/126077-malewarebytes-meldet-ccleaner-exe-sei-infiziert.html)

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Code:



# AdwCleaner v2.005 - Datei am 27/10/2012 um 21:56:26 erstellt

# Aktualisiert am 14/10/2012 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : TIM - TIM-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\TIM\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}

Schlüssel Gelöscht : HKLM\SOFTWARE\Software
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v7.0.6002.18005
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v16.0.1 (de)
 

Profilname : default 

Datei : C:\Users\TIM\AppData\Roaming\Mozilla\Firefox\Profiles\g90hhbyl.default\prefs.js
 

C:\Users\TIM\AppData\Roaming\Mozilla\Firefox\Profiles\g90hhbyl.default\user.js ... Gelöscht !
 

Gelöscht : user_pref("extensions.mediaplayerconnectivity.activityViewPoint", false);

Gelöscht : user_pref("extensions.mediaplayerconnectivity.enableAutoplayViewPoint", true);

Gelöscht : user_pref("extensions.mediaplayerconnectivity.enableContextMenuViewPoint", true);

Gelöscht : user_pref("extensions.mediaplayerconnectivity.enableEmbedViewPoint", true);

Gelöscht : user_pref("extensions.mediaplayerconnectivity.enableFileViewPoint", true);

Gelöscht : user_pref("extensions.mediaplayerconnectivity.playerparamsviewpoint", "%f");

Gelöscht : user_pref("extensions.mediaplayerconnectivity.playerviewpoint", "");
 

*************************
 

AdwCleaner[R1].txt - [1641 octets] - [27/10/2012 21:55:37]

AdwCleaner[S1].txt - [1671 octets] - [27/10/2012 21:56:26]
 

########## EOF - C:\AdwCleaner[S1].txt - [1731 octets] ##########

Und.............. erledigt!!!!!

Diese Mal sogar nur 1x!!!

Vielen Dank cosinus!!!!!!!!!!!!

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Gutem Morgen.

Fang dann mal an.

Dank schon mal.

Code:



Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.28.01
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 7.0.6002.18005

TIM :: TIM-PC [Administrator]
 

28.10.2012 09:20:21

mbam-log-2012-10-28 (09-20-21).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 217054

Laufzeit: 4 Minute(n), 7 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:



ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=2ed624a5a7e02441b94dc7936b28e15d

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-10-28 10:18:27

# local_time=2012-10-28 11:18:27 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1792 16777215 100 0 2561004 2561004 0 0

# compatibility_mode=5892 16776574 100 100 82297 188945896 0 0

# compatibility_mode=8192 67108863 100 0 3817 3817 0 0

# scanned=249991

# found=1

# cleaned=0

# scan_time=6338

C:\Users\TIM\AppData\Roaming\TuneUp Software\TU2013\Backups\00000008.rcb        Win32/Reveton.J trojan (unable to clean)        00000000000000000000000000000000        I

Sieht ok aus, ESET hatte nur einen Fehlalarm.

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi cosinus.

Heisst das, wir sind durch???? Hab CookieCuller installiert. MVPS sagt mir nichts. System läuft für meine laienhaften Augen einwandfrei. Muss ich noch irgend etwas machen? Wenn du dein OK gibst, geh ich off. Und zu X-ten Mal:

TAUSEND DANK!!!!!! Super Job!!!!!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Scan machen, aber immer vorher ans Update denken.

Es empfiehlt sich auf jeden Fall nach der beseitigten Infektion auch möglichst alle Passwörter zu ändern.

Abschließend ein ganz wichtiger Punkt: Absicherung des Rechners, aktualisieren der Programme siehe http://www.trojaner-board.de/96344-a...tml#post627442

Hey cosinus.

VIELEN herzlichen Dank!!! SEHOP aktiviert!

Tim

Hast du auch an alle anderen Sachen geacht? Updates?

Ich denke und hoffe!! Hab zumindest alle deine Anweisungen befolgt!!!!!! Alles up to date.

NOCHMAL VIELEN DANK!!!!!!!!!!!!

Mach das mit http://www.trojaner-board.de/83959-s...tml#post510373

(der Artikel müsste mal überarbeitet werden)

Hab ich doch!!!! :-)

TAUSEND DANK erneut!!!!!