nvxdsync.exe/dwm.exe ein Virus?
 

Hallo,

Da ich fast täglich einen Virenscan durchführe, tat ich dies heute auch.
Leider wurde heute etwas erschreckendes von AVG Internet Security gefunden.
Als ich am 22.04 meinen Computer Scannte, war noch alles in Ordnung.
Doch als ich den heutigen Scan durchführte, wurde unter C:\Windows\System32\dwm.exe(3556) ein Trojaner (Generic32:CCGO) gefunden. Unter C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe(1624) ein Trojaner (Generic32.CCGL) gefunden. Ich hab mein System seit Oktober vergangen Jahres und noch nie hatte ich auch nur ein Virus. Ich surfe immer sehr vorsichtig und installiere nie Programme aus Unbekannten Quellen. Außerdem halte ich Treiber und Software stets auf dem neusten Stand. Ich Surfe sogar mit einem extra Office-Account der nur eingeschränkte rechte unter Win 7 hat.
Jetzt meine Frage, was kann ich tun? AVG hat die Viren zwar beseitigt, aber ich fühle mich nun potentiell gefährdet. Falls ihr eine HighJackThis File braucht, gebt mir Bescheid. Ich hoffe ihr könnt mir helfen.

MfG Loll^^

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Die beiden Funde von AVG sind Fehlalarme! Wir schauen mal kurz auf deinen Rechner drauf:





Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!








Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von DeFogger,
• die Logdatei von GMER.

Also, erst mal Dankeschön.
Ich habe alles durchgeführt, wie beschrieben.
Nur bei Gmer hab es eine Meldung, das er nicht auf den system32 Ordner zugreifen konnte.
Ich habe alle Logfiles, bis auf die OTL als Anhang angefügt.

OTL:OTL Logfile:
OTL EXTRAS Logfile:
--- --- ---

--- --- ---
GMER:
GMER Logfile:
--- --- ---

Extras:OTL EXTRAS Logfile:
--- --- ---

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:11 on 26/04/2013 (Neuwirth)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Danke für die Hilfe!

Edit: hab mal alle Files in die Antwort eingefügt, wie OTL.


MfG Loll^^

Servus,


bitte die Logdateien immer direkt in die Antwort einfügen. Als Anhang nur anhängen, wenns anders nicht geht. :)





Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

Erstmal Danke :)
Bevor ich das ganze hier aber mache habe ich eine Frage:
Habe ich wirklich einen Virus gehabt/habe ihn noch?
Ich hab mir gestern mal Kaspersky runter geladen und anschließend auch bestellt (nicht von dem jetzigen PC aus). Kaspersky fand aber nicht die Viren die von AVG gefunden wurden, was allerdings verwunderlich war, ist, dass Kaspersky gesagt hat bei AVG handle es sich um einen Trojaner?

MfG Loll^^

Liest du auch das, was ich schreibe?
Diese Frage habe ich in meiner 1. Antwort beantwortet. ;)


Und genau aus so einem Grund soll man nicht zwei AV Programme nebeneinander installiert haben... sie blockieren sich gegenseitig. Im schlimmsten Fall läuft dein Rechner nicht mehr.

Ich lese schon, was du schreibst.
Nur war ich ein wenig unsicher, da von dir die Antwort kam, ich soll diese Tools verwenden. Entschuldige mich an dieser Stelle für das kleine Missverständnis :) Jetzt eine Frage von mir (Einfach nur aus Neugierde, ich will wissen warum ich das machen muss, ich bin so ein kleiner Quälgeist ^^) warum eigl. diese Tools? Und zu den 2 AVs: Gestern Abend, kurz nach dem Scan, habe ich AVG deinstalliert und nochmal mit Kaspersky gescannt. Und siehe da, nichts :Boogie: Das einzige was mich wundert, warum ist der "Virus" noch in der Quarantäne ? Soll ich ihn da raus löschen, oder wie?

P.S. Die Ergebnisse der Programme Editiere ich bald nach.

So hier die Berichte:

Adw:

AdwCleaner Logfile:
--- --- ---
Combo:

Combofix Logfile:
--- --- ---
JRT:

JRT Logfile:
--- --- ---

Es ist nur eine Sache Aufgetreten.
Nach JRT hat sich mein Desktop aufgehangen, ich konnte auf manche Ordner nicht mehr zugreifen, aber nach einem Neustart war alles wieder in Ordnung.

MfG Loll^^

Servus,


die Funde in der Quarantäne kannst du löschen.


Ich wollte, dass du die Tools ausführst, weil ich gesehen habe, dass sich auf deinem Rechner unerwünschte Programme befanden. Die haben wir aber nun entfernt... wir lassen nochmal OTL laufen und kontrollieren das:




Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Vielen Danke für die Erklärung.OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---
Ist echt ein super Support hier!
Das muss an der Stelle mal gelobt werden.

MfG Loll^^

Unerwünschtest Crossposting, ich hab auf Absenden geklickt und es kam mein Text erneut im Erweiterten Editor.
Nicht wissend, dass der andere Text bereits abgesendet wurde, drückte ich noch einmal.
Verzeihung :headbang:

MfG Loll^^

Servus,


vielen Dank. Du arbeitest aber auch gut mit. ;)



Wir kontrollieren nochmal alles:







Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Danke für die Antwort.
Nun stehe ich jedoch vor einem kleinen Problem.
Ich habe OTL wie beschrieben gestartet und nichts an den Einstellungen verändert (Stand ja auch nichts da). Alle Programme waren geschlossen, Netzwerkverbindung und Virenscanner Aktiv. Dann habe ich die 2 Befehle in die Zeile kopiert, auf Fix gedrückt und den PC neu gestartet. Nun ist aber weder ein Dokument auf dem Desktop, noch unter dem von dir gegeben Verzeichnis. Ich werde die weiteren Schritte erst nach einer Antwort von dir einleiten und meine Arbeit pausieren.

Edit:

Aus reiner Neugierde habe ich OTL geöffnet nur um zu schauen ob sich was tut und -siehe da, hier ist der Bericht:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Neuwirth
->Temp folder emptied: 48428 bytes
->Temporary Internet Files folder emptied: 5243151 bytes
->Java cache emptied: 5397 bytes
->FireFox cache emptied: 4886428 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: OfficeAlex
->Temp folder emptied: 79 bytes
->Temporary Internet Files folder emptied: 9166 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7013960 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6086 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36140758 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 51,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04272013_170439

Files\Folders moved on Reboot...
File move failed. C:\Users\OfficeAlex\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\OfficeAlex\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Weitere Berichte folgen.

Edit2:

Es gab keine Funde, ich habe die .log mit strg+a markiert und dann hier eingefügt.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.27.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Neuwirth :: SPIELEA [Administrator]

Schutz: Deaktiviert

27.04.2013 17:21:34
mbam-log-2013-04-27 (17-21-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 263139
Laufzeit: 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


MfG Loll^^

Hallo,
da ich gestern keine Zeit mehr hatte, mache ich heute weiter.
Leider kann ich meinen alten Beitrag nicht mehr editieren.
Ich muss mich hierfür für das (nicht vermeidbare) Crossposting Entschuldigen.

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Java version out of Date!
Adobe Flash Player 11.7.700.169
Mozilla Firefox (20.0.1)
Google Chrome 26.0.1410.43
Google Chrome 26.0.1410.64
````````Process Check: objlist.exe by Laurent````````
Malwarebytes' Anti-Malware mbamscheduler.exe
Kaspersky Lab Kaspersky Internet Security 2013 avp.exe
Kaspersky Lab Kaspersky Internet Security 2013 klwtblfs.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13711
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-27 04:20:47
# local_time=2013-04-27 06:20:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 4528 21849569 0 0
# compatibility_mode=5893 16776573 100 94 14500 118709497 0 0
# scanned=146688
# found=5
# cleaned=0
# scan_time=3118
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13713
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-28 01:25:09
# local_time=2013-04-28 03:25:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 3957 21925431 0 0
# compatibility_mode=5893 16776573 100 94 90362 118785359 0 0
# scanned=151851
# found=7
# cleaned=0
# scan_time=3400
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=7913089380ECC24515D323C8925D009AE46F4730 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-03-09 094643\Backup files 3.zip"
sh=9C44A624F010CFC3C3F829679B31F2D58C013AF1 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-04-07 180000\Backup files 2.zip"

Die Android Trojaner sind eine Android App, die damals den Exynos Mem Bug schließen sollte, ich weiß nicht ob diese Dateien auch für den PC gefährlich sind, oder nur Fehlalarme.
Ich bedanke mich für die Hilfe.

MfG Loll^^

[QUOTE=Loll;1053103]Danke für die Antwort.
Nun stehe ich jedoch vor einem kleinen Problem.
Ich habe OTL wie beschrieben gestartet und nichts an den Einstellungen verändert (Stand ja auch nichts da). Alle Programme waren geschlossen, Netzwerkverbindung und Virenscanner Aktiv. Dann habe ich die 2 Befehle in die Zeile kopiert, auf Fix gedrückt und den PC neu gestartet. Nun ist aber weder ein Dokument auf dem Desktop, noch unter dem von dir gegeben Verzeichnis. Ich werde die weiteren Schritte erst nach einer Antwort von dir einleiten und meine Arbeit pausieren.

Edit:

Aus reiner Neugierde habe ich OTL geöffnet nur um zu schauen ob sich was tut und -siehe da, hier ist der Bericht:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Neuwirth
->Temp folder emptied: 48428 bytes
->Temporary Internet Files folder emptied: 5243151 bytes
->Java cache emptied: 5397 bytes
->FireFox cache emptied: 4886428 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: OfficeAlex
->Temp folder emptied: 79 bytes
->Temporary Internet Files folder emptied: 9166 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7013960 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6086 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36140758 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 51,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04272013_170439

Files\Folders moved on Reboot...
File move failed. C:\Users\OfficeAlex\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\OfficeAlex\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Weitere Berichte folgen.

Edit2:


Es gab keine Funde, ich habe die .log mit strg+a markiert und dann hier eingefügt.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.27.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Neuwirth :: SPIELEA [Administrator]

Schutz: Deaktiviert

27.04.2013 17:21:34
mbam-log-2013-04-27 (17-21-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 263139
Laufzeit: 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


MfG Loll^^

Hallo,
da ich gestern keine Zeit mehr hatte, mache ich heute weiter.


Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Java version out of Date!
Adobe Flash Player 11.7.700.169
Mozilla Firefox (20.0.1)
Google Chrome 26.0.1410.43
Google Chrome 26.0.1410.64
````````Process Check: objlist.exe by Laurent````````
Malwarebytes' Anti-Malware mbamscheduler.exe
Kaspersky Lab Kaspersky Internet Security 2013 avp.exe
Kaspersky Lab Kaspersky Internet Security 2013 klwtblfs.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13711
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-27 04:20:47
# local_time=2013-04-27 06:20:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 4528 21849569 0 0
# compatibility_mode=5893 16776573 100 94 14500 118709497 0 0
# scanned=146688
# found=5
# cleaned=0
# scan_time=3118
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13713
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-28 01:25:09
# local_time=2013-04-28 03:25:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 3957 21925431 0 0
# compatibility_mode=5893 16776573 100 94 90362 118785359 0 0
# scanned=151851
# found=7
# cleaned=0
# scan_time=3400
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=7913089380ECC24515D323C8925D009AE46F4730 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-03-09 094643\Backup files 3.zip"
sh=9C44A624F010CFC3C3F829679B31F2D58C013AF1 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-04-07 180000\Backup files 2.zip"

Die Android Trojaner sind eine Android App, die damals den Exynos Mem Bug schließen sollte, ich weiß nicht ob diese Dateien auch für den PC gefährlich sind, oder nur Fehlalarme.
Ich bedanke mich für die Hilfe.

MfG Loll^^

Hallo,
da ich gestern keine Zeit mehr hatte, mache ich heute weiter.
Leider kann ich meinen alten Beitrag nicht mehr editieren.
Ich muss mich hierfür für das (nicht vermeidbare) Crossposting Entschuldigen.

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Java version out of Date!
Adobe Flash Player 11.7.700.169
Mozilla Firefox (20.0.1)
Google Chrome 26.0.1410.43
Google Chrome 26.0.1410.64
````````Process Check: objlist.exe by Laurent````````
Malwarebytes' Anti-Malware mbamscheduler.exe
Kaspersky Lab Kaspersky Internet Security 2013 avp.exe
Kaspersky Lab Kaspersky Internet Security 2013 klwtblfs.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13711
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-27 04:20:47
# local_time=2013-04-27 06:20:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 4528 21849569 0 0
# compatibility_mode=5893 16776573 100 94 14500 118709497 0 0
# scanned=146688
# found=5
# cleaned=0
# scan_time=3118
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13713
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-28 01:25:09
# local_time=2013-04-28 03:25:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 3957 21925431 0 0
# compatibility_mode=5893 16776573 100 94 90362 118785359 0 0
# scanned=151851
# found=7
# cleaned=0
# scan_time=3400
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=7913089380ECC24515D323C8925D009AE46F4730 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-03-09 094643\Backup files 3.zip"
sh=9C44A624F010CFC3C3F829679B31F2D58C013AF1 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-04-07 180000\Backup files 2.zip"

Die Android Trojaner sind eine Android App, die damals den Exynos Mem Bug schließen sollte, ich weiß nicht ob diese Dateien auch für den PC gefährlich sind, oder nur Fehlalarme.
Ich bedanke mich für die Hilfe.

MfG Loll^^

[QUOTE=Loll;1053103]Danke für die Antwort.
Nun stehe ich jedoch vor einem kleinen Problem.
Ich habe OTL wie beschrieben gestartet und nichts an den Einstellungen verändert (Stand ja auch nichts da). Alle Programme waren geschlossen, Netzwerkverbindung und Virenscanner Aktiv. Dann habe ich die 2 Befehle in die Zeile kopiert, auf Fix gedrückt und den PC neu gestartet. Nun ist aber weder ein Dokument auf dem Desktop, noch unter dem von dir gegeben Verzeichnis. Ich werde die weiteren Schritte erst nach einer Antwort von dir einleiten und meine Arbeit pausieren.

Edit:

Aus reiner Neugierde habe ich OTL geöffnet nur um zu schauen ob sich was tut und -siehe da, hier ist der Bericht:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Neuwirth
->Temp folder emptied: 48428 bytes
->Temporary Internet Files folder emptied: 5243151 bytes
->Java cache emptied: 5397 bytes
->FireFox cache emptied: 4886428 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: OfficeAlex
->Temp folder emptied: 79 bytes
->Temporary Internet Files folder emptied: 9166 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7013960 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6086 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36140758 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 51,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04272013_170439

Files\Folders moved on Reboot...
File move failed. C:\Users\OfficeAlex\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\OfficeAlex\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Weitere Berichte folgen.

Edit2:


Es gab keine Funde, ich habe die .log mit strg+a markiert und dann hier eingefügt.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.04.27.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Neuwirth :: SPIELEA [Administrator]

Schutz: Deaktiviert

27.04.2013 17:21:34
mbam-log-2013-04-27 (17-21-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 263139
Laufzeit: 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


MfG Loll^^

Hallo,
da ich gestern keine Zeit mehr hatte, mache ich heute weiter.
Leider kann ich meinen alten Beitrag nicht mehr editieren.
Ich muss mich hierfür für das (nicht vermeidbare) Crossposting Entschuldigen.

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Java version out of Date!
Adobe Flash Player 11.7.700.169
Mozilla Firefox (20.0.1)
Google Chrome 26.0.1410.43
Google Chrome 26.0.1410.64
````````Process Check: objlist.exe by Laurent````````
Malwarebytes' Anti-Malware mbamscheduler.exe
Kaspersky Lab Kaspersky Internet Security 2013 avp.exe
Kaspersky Lab Kaspersky Internet Security 2013 klwtblfs.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13711
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-27 04:20:47
# local_time=2013-04-27 06:20:47 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 4528 21849569 0 0
# compatibility_mode=5893 16776573 100 94 14500 118709497 0 0
# scanned=146688
# found=5
# cleaned=0
# scan_time=3118
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=dcc7ddd4a0221949a454719f67bf203d
# engine=13713
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-28 01:25:09
# local_time=2013-04-28 03:25:09 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1286 16777213 100 98 3957 21925431 0 0
# compatibility_mode=5893 16776573 100 94 90362 118785359 0 0
# scanned=151851
# found=7
# cleaned=0
# scan_time=3400
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="C:\Users\OfficeAlex\Desktop\Dateien\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40 (1).apk"
sh=79670AB10DA59EA58DF222E94AD9E8ED83C791A9 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\ExynosAbuse-v1.40.apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9 (1).apk"
sh=75D28D2EA7526D2685C4EAC187AAA675BCDE934C ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\OADateien\OfficeAlex\Sonstiges\Voodoo-instant-anti-exynos-mem-abuse-0.9.apk"
sh=7913089380ECC24515D323C8925D009AE46F4730 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-03-09 094643\Backup files 3.zip"
sh=9C44A624F010CFC3C3F829679B31F2D58C013AF1 ft=0 fh=0000000000000000 vn="Android/Exploit.Lotoor.CU trojan" ac=I fn="D:\SPIELEA\Backup Set 2013-03-09 094643\Backup Files 2013-04-07 180000\Backup files 2.zip"

Die Android Trojaner sind eine Android App, die damals den Exynos Mem Bug schließen sollte, ich weiß nicht ob diese Dateien auch für den PC gefährlich sind, oder nur Fehlalarme.
Ich bedanke mich für die Hilfe.

MfG Loll^^

[QUOTE=Loll;1053103]Danke für die Antwort.
Nun stehe ich jedoch vor einem kleinen Problem.
Ich habe OTL wie beschrieben gestartet und nichts an den Einstellungen verändert (Stand ja auch nichts da). Alle Programme waren geschlossen, Netzwerkverbindung und Virenscanner Aktiv. Dann habe ich die 2 Befehle in die Zeile kopiert, auf Fix gedrückt und den PC neu gestartet. Nun ist aber weder ein Dokument auf dem Desktop, noch unter dem von dir gegeben Verzeichnis. Ich werde die weiteren Schritte erst nach einer Antwort von dir einleiten und meine Arbeit pausieren.

Edit:

Aus reiner Neugierde habe ich OTL geöffnet nur um zu schauen ob sich was tut und -siehe da, hier ist der Bericht:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Neuwirth
->Temp folder emptied: 48428 bytes
->Temporary Internet Files folder emptied: 5243151 bytes
->Java cache emptied: 5397 bytes
->FireFox cache emptied: 4886428 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: OfficeAlex
->Temp folder emptied: 79 bytes
->Temporary Internet Files folder emptied: 9166 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7013960 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 506 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6086 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36140758 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 51,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04272013_170439

Files\Folders moved on Reboot...
File move failed. C:\Users\OfficeAlex\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.
File move failed. C:\Users\OfficeAlex\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Weitere Berichte folgen.

Edit2:


Es gab keine Funde, ich habe die .log mit strg+a markiert und dann hier eingefügt.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.27.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Neuwirth :: SPIELEA [Administrator]

Schutz: Deaktiviert

27.04.2013 17:21:34
mbam-log-2013-04-27 (17-21-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 263139
Laufzeit: 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


MfG Loll^^

Hallo

Hallo,


Wegen diesen Dateien:
Fehlalarme sind es nicht. :)
Ich empfehle dir, die Dateien zu löschen, sofern du sie auf deinem Rechner nicht mehr benötigst. ;)





Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Sofern verwendet, starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 2
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
• Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.

Schritt 3
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.


Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• WOT (Web of trust)
  Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC


Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein paar ( englische ) Links:
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )


Was du vermeiden solltest:

• Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
• Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo,

Erstmal muss ich mich noch einmal für die tolle Hilfe bedanken.
Danke :daumenhoc
Ich habe beide Programme verwendet, wie du es gesagt hast.
Falls du willst, hier ist die .log von delfix.

Natürlich nutze ich auch fast alle restlichen Empfohlenen Programme von dir.
Dann wäre eigentlich nur noch das hier:

Ich soll ja keine Registry Cleaner verwenden.
Zählt dazu auch der CCleaner? Immerhin ist dieser ja sehr "liberal" was das ganze angeht.
Außerdem bedanke ich mich für die vielen Tipps, zwar habe ich einen Großteil gekannt (zumindest was das Surfverhalten angeht, das größte Problem sitzt ja meist vor dem Bildschirm :uglyhammer: ), aber auch einige neue kennengelernt. Auch an dieser Stelle ein Danke.

Zu guter Letzt bleibt noch einmal zu sagen:

Vielen, vielen Dank für die Hilfe. Das hier ist ein tolles Forum, hier wird einem echt geholfen.
Nur hoffe ich, dass ich so schnell nicht wieder kommen muss :crazy:
In diesem Sinne, nochmal Danke (ich kann es nicht oft genug tun).
Nach der Beantwortung meiner Frage kann das Thema hier dann geschlossen werden.

MfG Loll^^

Prinzipiell ja. Das Problem ist, dass man mit dem CCleaner auch die Registry bereinigen kann (was die allermeisten Benutzer auch machen). Davon raten wir ab.

Wer den CCleaner nur zur Bereinigung seiner temporären Dateien verwendet, das ist für mich ok. :)




Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.