Trojaner-Board - BkA Trojaner eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BkA Trojaner eingefangen - IP-Adresse gesperrt (https://www.trojaner-board.de/128579-bka-trojaner-eingefangen-ip-adresse-gesperrt.html)

BkA Trojaner eingefangen - IP-Adresse gesperrt

Hallo zusammen,

mein Bruder hat sich o.g. Trojaner eingefangen und kann nun nicht mehr ins Internet.
Da ich hier schon einmal tolle Hilfe erfahren habe, wende ich mich mit diesem Problem an euch.
Es wäre schön, wenn mir jemand helfen würde.

Ein schönes Weihnachtsfest wünsche ich.

VG Sabine

Wenns ein kleiner Bruder ist, dann gibts erst mal nen Satz heiße Ohren! :)

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Gelesen und verstanden?

Welche Windowsversion?
32/64 bit?
Kann man abgesichert Booten?

Zitat:

Lesestoff:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Hallo ryder,

es freut mich, dass du mir hilfst, vielen Dank!

Die Regeln habe ich gelesen und soweit verstanden.

Nein, es ist ein älterer Bruder :pfeiff: .
Das Notebook ist 6 Jahre alt, läuft unter Windows Vista, 32 Bit und lässt sich im abgesicherten Modus booten.

Er hatte Antivir, Windows Updates usw. ausgeschaltet, weil das Notebook sonst ständig abkratzte.

Das ist natürlich keine gute Idee, das abzuschalten!

Wir werden es erstmal entsperren:

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ist das normal, dass der Bildschirm dann schwarz wird?
Zuvor wurden die jeweils abgeschlossenen Arbeitsschritte angezeigt, nun ist nichts mehr.

Kann prinzipiell passieren.

Evtl abgesichert probieren:

Zitat:

Lesestoff:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Also ich hatte jetzt mit der Maus auf den Bildschirm geklickt und nun kam die Logdatei. Ist das so korrekt oder soll ich das ganze doch noch einmal im abgesicherten Modus durchlaufen lassen? Falls nein, hier das Ergebnis:

Code:

ComboFix 12-12-25.02 - Stefan 25.12.2012  22:46:12.1.1 - x86

Microsoft® Windows Vista™ Home Basic   6.0.6001.1.1252.49.1031.18.1015.255 [GMT 1:00]

ausgeführt von:: c:\users\Stefan\Desktop\ComboFix.exe

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Stefan\AppData\Roaming\Privacy components

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\cg.dat

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\mw.dat

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\rd.dat

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\sc.dat

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\sm.dat

c:\users\Stefan\AppData\Roaming\Privacy components\dbases\sp.dat

c:\users\Stefan\AppData\Roaming\Privacy components\keys\cg.key

c:\users\Stefan\AppData\Roaming\Privacy components\keys\rd.key

c:\users\Stefan\AppData\Roaming\Privacy components\keys\sc.key

c:\users\Stefan\AppData\Roaming\Privacy components\keys\sp.key

c:\users\Stefan\AppData\Roaming\Privacy components\temp\settings.ini

c:\users\Stefan\AppData\Roaming\Privacy components\temp\spfilter

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\regtlib.exe

F:\Autorun.inf

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-11-25 bis 2012-12-25  ))))))))))))))))))))))))))))))

.

.

2012-12-25 22:02 . 2012-12-25 22:02        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-12-25 18:33 . 2012-12-25 18:33        --------        d-----w-        c:\programdata\HitmanPro

2012-12-25 17:05 . 2012-12-25 17:05        --------        d-----w-        c:\users\Stefan\AppData\Roaming\SUPERAntiSpyware.com

2012-12-25 17:05 . 2012-12-25 17:05        --------        d-----w-        c:\program files\SUPERAntiSpyware

2012-12-25 17:05 . 2012-12-25 17:05        --------        d-----w-        c:\programdata\SUPERAntiSpyware.com

2012-12-25 16:34 . 2012-12-25 16:37        40776        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2012-12-25 16:34 . 2012-12-25 16:34        --------        d-----w-        c:\users\Stefan\AppData\Roaming\Malwarebytes

2012-12-25 16:34 . 2012-12-25 16:34        --------        d-----w-        c:\programdata\Malwarebytes

2012-12-22 01:03 . 2012-12-22 01:03        60872        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{17845D2E-96CC-412E-ABB7-9A2085D4B523}\offreg.dll

2012-12-22 00:50 . 2012-11-08 18:00        6812136        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{17845D2E-96CC-412E-ABB7-9A2085D4B523}\mpengine.dll

2012-12-16 13:26 . 2012-12-16 13:26        --------        d-----w-        c:\users\Stefan\AppData\Roaming\NevoSoft

2012-12-16 13:25 . 2012-12-16 13:25        --------        d-----w-        c:\programdata\Intenium

2012-12-16 13:23 . 2012-12-16 13:23        --------        d-----w-        c:\program files\DEUTSCHLAND SPIELT

2012-12-16 13:21 . 2012-12-16 13:21        --------        d-----w-        c:\program files\OXXOGames

2012-12-15 07:40 . 2012-12-15 07:41        --------        d-----w-        C:\ef969d1683258191230a49ee8c99953a

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-12 14:26 . 2012-06-05 06:38        696760        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-10-12 14:26 . 2012-06-05 06:38        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-09-27 22:44 . 2012-09-27 22:45        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2012-09-27 22:44 . 2012-08-22 11:35        821736        ----a-w-        c:\windows\system32\npDeployJava1.dll

2012-09-27 22:44 . 2010-05-08 03:55        746984        ----a-w-        c:\windows\system32\deployJava1.dll

2007-11-13 17:42 . 2007-11-13 17:42        4367872        ----a-w-        c:\program files\openofficeorg23.msi

2007-11-01 20:57 . 2007-11-01 20:57        319488        ----a-w-        c:\program files\setup.exe

2003-11-19 12:53 . 2009-07-18 04:53        665600000        ----a-r-        c:\program files\Gothic2-Setup.exe

2002-03-11 09:06 . 2002-03-11 09:06        1822520        ----a-w-        c:\program files\instmsiw.exe

2002-03-11 08:45 . 2002-03-11 08:45        1708856        ----a-w-        c:\program files\instmsia.exe

2012-12-11 10:19 . 2012-12-11 10:18        262112        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2008-07-10 21:37 . 2012-12-11 10:18        122880        ----a-w-        c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-08 68856]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-04-05 17356424]

"c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-11-01 4763008]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 138008]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 154392]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 133912]

"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2007-05-08 331552]

"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-07 833072]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-05-11 472632]

"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-06-05 71176]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-06-11 163840]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-07-10 29744]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-02-21 1183744]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"ST Recovery Launcher"="c:\windows\SMINST\launcher.exe" [2007-06-06 44168]

.

c:\users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 2.3.lnk - c:\program files\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

DVD Check.lnk - c:\program files\InterVideo\DVD Check\DVDCheck.exe [2008-1-5 192512]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]

2007-06-08 07:04        49152        ----a-r-        c:\windows\System32\DeviceNP.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~4\GoogleDesktopNetwork3.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

.

S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork        REG_MULTI_SZ           PLA DPS BFE mpssvc

bthsvcs        REG_MULTI_SZ           BthServ

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-04-19 11:23        452136        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2012-12-11 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-01-06 14:25]

.

2012-12-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-22 09:37]

.

2012-12-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-22 09:37]

.

2012-12-25 c:\windows\Tasks\User_Feed_Synchronization-{226E3752-B4C7-4DC6-9BBA-CCF72182E096}.job

- c:\windows\system32\msfeedssync.exe [2011-12-07 04:32]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.ch/

mStart Page = hxxp://www.google.com

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\lmf9k17t.default\

FF - prefs.js: browser.startup.homepage - www.zeit.de

FF - ExtSQL: !HIDDEN! 2009-07-29 11:37; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - ExtSQL: !HIDDEN! 2010-02-25 10:23; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-start_sunrise volumecounter - c:\program files\sunrise\Volumenzaehler\volumecounter.exe

AddRemove-Free YouTube Download_is1 - c:\program files\DVDVideoSoft\Free YouTube Download\unins000.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-12-25 23:03

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pdfcDispatcher]

"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

Zeit der Fertigstellung: 2012-12-25  23:07:04

ComboFix-quarantined-files.txt  2012-12-25 22:06

.

Vor Suchlauf: 10 Verzeichnis(se), 30.669.074.432 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 35.205.718.016 Bytes frei

.

- - End Of File - - 477A60385F369546A8C6717424F54FEC

Hitman und SASW brauchst du jetzt nicht weiter.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen. Da diese sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung

Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.

Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.

Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.

Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.

Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde
Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo ryder,

hier kommen nun die Ergebnisse:

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.12.25.08
 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 8.0.6001.19088

Stefan :: STEFAN[Administrator]
 

25.12.2012 23:32:59

mbam-log-2012-12-25 (23-32-59).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 206370

Laufzeit: 7 Minute(n), 12 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Bei ESET Online Scanner kam die Meldung, dass es keine Funde gab.

Der Scan vom Security Check:

Code:

 Results of screen317's Security Check version 0.99.56  

 Windows Vista Service Pack 1 x86 (UAC is enabled)  

 Out of date service pack!! 

 Internet Explorer 8 Out of date! 
 ``````````````Antivirus/Firewall Check:`````````````` 

 WMI entry may not exist for antivirus; attempting automatic update. 
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.65.1.1000  

 Java(TM) 6 Update 31  

 Java 7 Update 7  

 Java(TM) 6 Update 6  

 Java(TM) 6 Update 7  

 Java version out of Date! 

 Adobe Flash Player 10 Flash Player out of Date! 

 Adobe Flash Player         11.4.402.287  

 Adobe Reader 8 Adobe Reader out of Date! 

 Adobe Reader 10.1.3 Adobe Reader out of Date!  

 Mozilla Firefox (for.) 
 ````````Process Check: objlist.exe by Laurent````````  

 Malwarebytes Anti-Malware mbamservice.exe  

 Malwarebytes Anti-Malware mbamgui.exe  

 Microsoft Small Business Business Contact Manager BcmSqlStartupSvc.exe  

 Malwarebytes' Anti-Malware mbamscheduler.exe   
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  % 
 ````````````````````End of Log``````````````````````

Okay noch ne Menge zu tun:

Schritt 1:
Deinstalliere Java 6 (alle), Flash Player 10, Adobe Reader

Schritt 2:
Windows Vista Service Pack 2 installieren

Lade dir das Service Pack 2 (32bit) von der Microsoft Webseite.

Starte die Installation.

Hinweis: Das Update kann wenige Minuten bis über eine Stunde dauern und wird einen Neustart erfordern.

Schritt 3:
Update: Internetexplorer

Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!

Lade dir bitte die neueste Version des Internetexplorers

Entferne den Haken bei "Ich möchte Bing ...".

Starte die Installation und folge den Anweisungen des Setups.

Schritt 4:
Update: Firefox, Addons und Plugins

Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox

Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.

Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.

Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen

Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:
PluginCheck-Schnelltest

Mozilla Plugin-Check

Schritt 5:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe

Schließe alle laufenden Programme. Speziell deinen Browser.

Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 9) herunter laden.

Während der Installation entferne den Haken bei:
http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:
Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:
Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.

Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.

Klicke auf Dateien löschen...

Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 6:
Update: Adobe Reader

Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
Entferne dabei den Haken:
http://www.trojaner-board.de/picture...&pictureid=320

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:

Lade dir den Foxit Reader von www.foxitsoftware.com/downloads/ .
Starte die Installation und entferne dabei die folgenden Haken:
http://www.trojaner-board.de/picture...&pictureid=321

Schritt 7:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo ryder,

ja, ich bin nur noch nicht fertig, habe gerade mal das Service Pack installiert.
Da ich nicht jeden Tag bei meinem Bruder bin, kann es also noch ein wenig dauern. Vermutlich werde ich erst nächste Woche weitermachen können.

und dein Bruder kann sowas nicht?

Doch schon, aber er hat da nicht so den Nerv für. Dauert alles zu lange. :pfeiff: