Schadprogramm APPL/InstallBrain.Gen
 

Hallo,
Antivir Premium hat den Schädling APPL/InstallBrain.Gen gefunden an folgenden Orten:
C:\user...\MAiO_cLS.exe.part und
C:\user...\9dpuBhfg.exe.part
Die beiden Funde wurden in die Quarantäne verschoben.
Kann ich sie einfach löschen oder ist eine aufwendigere Prozedur erforderlich.
Der Rechner DELL Notebook (Vista Home Premium Service Pack 2) funktioniert normal.
Vielen Dank!
Wolf

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hier das Ergebnis von Antivir:


Avira Antivirus Premium
Erstellungsdatum der Reportdatei: Mittwoch, 25. September 2013 21:49


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : xxx
Seriennummer : 2223817165-PEPWE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DELL-NOTEBOOK

Versionsinformationen:
BUILD.DAT : 13.0.0.4052 57473 Bytes 29.08.2013 18:00:00
AVSCAN.EXE : 13.6.20.2100 639032 Bytes 07.09.2013 19:22:19
AVSCANRC.DLL : 13.6.20.2174 63544 Bytes 07.09.2013 19:22:20
LUKE.DLL : 13.6.20.2174 65080 Bytes 07.09.2013 19:22:45
AVSCPLR.DLL : 13.6.20.2174 92216 Bytes 07.09.2013 19:22:20
AVREG.DLL : 13.6.20.2174 250424 Bytes 07.09.2013 19:22:18
avlode.dll : 13.6.20.2174 497720 Bytes 07.09.2013 19:22:16
avlode.rdf : 13.0.1.42 26846 Bytes 07.09.2013 19:22:52
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 13:34:27
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 13:20:11
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 09:25:16
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 12:20:33
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 12:32:37
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 19:21:52
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 06:58:00
VBASE007.VDF : 7.11.103.231 2048 Bytes 24.09.2013 06:58:02
VBASE008.VDF : 7.11.103.232 2048 Bytes 24.09.2013 06:58:02
VBASE009.VDF : 7.11.103.233 2048 Bytes 24.09.2013 06:58:02
VBASE010.VDF : 7.11.103.234 2048 Bytes 24.09.2013 06:58:02
VBASE011.VDF : 7.11.103.235 2048 Bytes 24.09.2013 06:58:03
VBASE012.VDF : 7.11.103.236 2048 Bytes 24.09.2013 06:58:03
VBASE013.VDF : 7.11.103.237 2048 Bytes 24.09.2013 06:58:04
VBASE014.VDF : 7.11.103.238 2048 Bytes 24.09.2013 06:58:06
VBASE015.VDF : 7.11.103.239 2048 Bytes 24.09.2013 06:58:06
VBASE016.VDF : 7.11.103.240 2048 Bytes 24.09.2013 06:58:06
VBASE017.VDF : 7.11.103.241 2048 Bytes 24.09.2013 06:58:06
VBASE018.VDF : 7.11.103.242 2048 Bytes 24.09.2013 06:58:06
VBASE019.VDF : 7.11.103.243 2048 Bytes 24.09.2013 06:58:06
VBASE020.VDF : 7.11.103.244 2048 Bytes 24.09.2013 06:58:06
VBASE021.VDF : 7.11.103.245 2048 Bytes 24.09.2013 06:58:07
VBASE022.VDF : 7.11.103.246 2048 Bytes 24.09.2013 06:58:07
VBASE023.VDF : 7.11.103.247 2048 Bytes 24.09.2013 06:58:07
VBASE024.VDF : 7.11.103.248 2048 Bytes 24.09.2013 06:58:07
VBASE025.VDF : 7.11.103.249 2048 Bytes 24.09.2013 06:58:07
VBASE026.VDF : 7.11.103.250 2048 Bytes 24.09.2013 06:58:07
VBASE027.VDF : 7.11.103.251 2048 Bytes 24.09.2013 06:58:07
VBASE028.VDF : 7.11.103.252 2048 Bytes 24.09.2013 06:58:07
VBASE029.VDF : 7.11.103.253 2048 Bytes 24.09.2013 06:58:07
VBASE030.VDF : 7.11.103.254 2048 Bytes 24.09.2013 06:58:07
VBASE031.VDF : 7.11.104.94 256000 Bytes 25.09.2013 15:56:22
Engineversion : 8.2.12.122
AEVDF.DLL : 8.1.3.4 102774 Bytes 14.06.2013 14:07:38
AESCRIPT.DLL : 8.1.4.150 516478 Bytes 25.09.2013 06:58:12
AESCN.DLL : 8.1.10.4 131446 Bytes 27.03.2013 09:21:14
AESBX.DLL : 8.2.16.26 1245560 Bytes 07.09.2013 19:22:06
AERDL.DLL : 8.2.0.128 688504 Bytes 14.06.2013 14:07:37
AEPACK.DLL : 8.3.2.28 749945 Bytes 17.09.2013 18:54:45
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 07.09.2013 19:22:05
AEHEUR.DLL : 8.1.4.648 6525306 Bytes 25.09.2013 06:58:11
AEHELP.DLL : 8.1.27.6 266617 Bytes 07.09.2013 19:22:01
AEGEN.DLL : 8.1.7.14 446839 Bytes 07.09.2013 19:22:01
AEEXP.DLL : 8.4.1.62 328055 Bytes 17.09.2013 18:54:45
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.32.0 201081 Bytes 07.09.2013 19:22:01
AEBB.DLL : 8.1.1.4 53619 Bytes 16.11.2012 12:50:09
AVWINLL.DLL : 13.6.20.2174 23608 Bytes 07.09.2013 19:21:26
AVPREF.DLL : 13.6.20.2174 48184 Bytes 07.09.2013 19:22:18
AVREP.DLL : 13.6.20.2174 175672 Bytes 07.09.2013 19:22:18
AVARKT.DLL : 13.6.20.2174 258104 Bytes 07.09.2013 19:22:09
AVEVTLOG.DLL : 13.6.20.2174 165432 Bytes 07.09.2013 19:22:12
SQLITE3.DLL : 3.7.0.1 397088 Bytes 18.11.2012 17:11:30
AVSMTP.DLL : 13.6.20.2174 60472 Bytes 07.09.2013 19:22:20
NETNT.DLL : 13.6.20.2174 13368 Bytes 07.09.2013 19:22:45
RCIMAGE.DLL : 13.6.20.2174 4831800 Bytes 07.09.2013 19:21:26
RCTEXT.DLL : 13.6.20.2174 68152 Bytes 07.09.2013 19:21:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 25. September 2013 21:49

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AtscDvbNetProvider
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DirectDraw\MostRecentApplication\Name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DownloadManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaSuite.exe' - '182' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'DataSafeOnline.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDDXSrv.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WebcamDell2.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvjbMonitor.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv64.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrvEx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Signiert -> 'C:\Windows\system32\imm32.dll'
Signiert -> 'C:\Windows\system32\dsound.dll'
Signiert -> 'C:\Windows\system32\aclui.dll'
Signiert -> 'C:\Windows\system32\msvcrt.dll'
Signiert -> 'C:\Windows\system32\d3d9.dll'
Signiert -> 'C:\Windows\system32\dnsapi.dll'
Signiert -> 'C:\Windows\system32\mshtml.dll'
Signiert -> 'C:\Windows\system32\regsvr32.exe'
Signiert -> 'C:\Windows\system32\rundll32.exe'
Signiert -> 'C:\Windows\system32\userinit.exe'
Signiert -> 'C:\Windows\system32\reg.exe'
Signiert -> 'C:\Windows\regedit.exe'
Die Systemdateien wurden durchsucht ('33' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4426' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\Users\xxx\AppData\Local\Temp\9dpuBhfg.exe.part
[FUND] Enthält Erkennungsmuster der Anwendung APPL/InstallBrain.Gen
C:\Users\Wolfgang\AppData\Local\Temp\MAjO_cLS.exe.part
[FUND] Enthält Erkennungsmuster der Anwendung APPL/InstallBrain.Gen
Beginne mit der Suche in 'D:\' <SAMSUNG>
Beginne mit der Suche in 'E:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Users\xxx\AppData\Local\Temp\MAjO_cLS.exe.part
[FUND] Enthält Erkennungsmuster der Anwendung APPL/InstallBrain.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57fa130e.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\9dpuBhfg.exe.part
[FUND] Enthält Erkennungsmuster der Anwendung APPL/InstallBrain.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f733ccc.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 26. September 2013 07:00
Benötigte Zeit: 3:20:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

38278 Verzeichnisse wurden überprüft
991698 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
991696 Dateien ohne Befall
10838 Archive wurden durchsucht
0 Warnungen
9 Hinweise
1189820 Objekte wurden beim Rootkitscan durchsucht
7 Versteckte Objekte wurden gefunden

Bei der Installation von FRST war ich nich erfolgreich. Ich bekam eine
weitere Virusmeldung: Der Zugriff auf die Datei C/users.../AppData...uninstall.exe wurde verweigert, die ein unerwünschtes Programm 'ADWARE/InstallCore.Gen' enthält
Hier der Bericht:
Bei dem Versuch FRST zu installieren kam ich nur bis zur Installation von 'open it' Firefox wollte dann auch noch das Add on Web connect 1.0.0 und Delta tool bar installieren. Habe ich aber nicht angekreuzt.
Noch eine kurze Frage ich wollte von open it mit sniping tool eine Ansicht in diesem Thread posten, konnte sie aber mit strg+v nicht einfügen. geht das überhaupt und wenn ja, wie
Vielen Dank Wolf

Bitte die Anleitungen richtig lesen
FRST muss nicht installiert werden
Einfach wie in der Anleitung beschrieben handeln und FRST nicht von irgendwo runterladen. FRST.exe auf den Desktop und dann einfach ausführen

Sorry, ich bin auf der downloadseite filepony.de irgendwie auf einen falschen button gekommen. Jetzt habe ich es, hoffe ich, richtig gemacht.
Hier sind die Scanergebnisse von FRST.txt und addition.txt
Wenn sonst noch etwas erforderlich ist. Bitte angeben
Danke Wolf

FRST Logfile:
--- --- ---


und addition:

Vielen Dank für die Geduld!!!
Wolf

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Habe den Scan mit mbar durchgeführt. Es wurde keine Schadsoftware gefunden. Meldung : Cleanup nicht erforderlich.
Einen weiteren Scan hab ich noch nicht durchgeführt. Bitte kurze Mitteilung ob das erforderlich ist.
Hier das Ergebnis des Scans:

Adware/Junkware/Toolbars entfernen


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

zum AdwCleaner:

beim Beginn des Suchens wird der Suchbutton grau und bleibt es auch. Woran kann ich erkennen, dass die Suche abgeschlossen ist? Es kommt keine Meldung, dass die Suche abgeschlossen ist.

Aber ich habe noch ein zusätzliches Problem mit einer Falschmeldung von Windows 7: Windows Sicherheitscenter meldet jetzt, dass es keine Antivirus-Software findet, obwohl Antivir Premium aktuell ist und alle Funktionen aktiv sind. Kann das durch die bisher vorgenommenen Schritte gekommen sein?
Ich denke dass müsste vor dem AdwCleaner bereinigt werden??

Danke Wolf

1. habe es auf dem anderen Rechner ausprobiert. Man erkennt, dass ADW fertig ist, wenn die anderen Ordner schwarz sind. Das geht überraschend schnell
2. Problemlösung im Avira-Forum gefunden: Fehler mit regfix_64.zip behoben

Als nächstes werde ich den Scan mit ADW durchführen s.o.

[QUOTE=cosinus;1164232]Adware/Junkware/Toolbars entfernen


1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hier ist das Ergebnis des AdwCleaners:

AdwCleaner Logfile:
--- --- ---

[/CODE]

JRT und FRST schicke ich gesonderten Threads
Danke Wolf

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Hier ist der Report von JRT:

JRT Logfile:
--- --- ---
FRST kommt im nächsten Thread
Gruss Wolf
[/CODE]

Hier ist die Log-Datei nach dem Scan mit FRST:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---



Hier noch die Log-Datei Addition.txt. Diese ist allerdings vom ersten Scan am 27.9.
Heute ist keine neue gespeichert worden



So, ich hoffe, dass ich alles einigermaßen richtig gemacht habe.
Schon mal vielen Dank für eure Unterstützung!!! :daumenhoc
Gruss Wolf
[/CODE]

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes Anti-Malware (MBAM)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

aktuelles Ergebnis Malwarebytes
 

MBAM hat noch einmal 11 PUP.Optional.... gefunden. Soll ich diese löschen und MBAM noch einmal komplett laufen lassen?
Hier ist der Report:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.01.07

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
### :: DELL-NOTEBOOK [Administrator]

01.10.2013 18:59:04
MBAM-log-2013-10-01 (19-11-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 229800
Laufzeit: 11 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.StartPage.A) -> Bösartig: (hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=223D0022FB9D5B1C&affID=119357&tt=240913_246&tsp=5017) Gut: (hxxp://www.google.com) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 10
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\DSearchLink.exe (PUP.Optional.Delta.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\C8C1E9F4-BAB0-7891-9953-01ED01EC8547\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\is1590112554\580593_stp\wajam_validate.exe (PUP.Optional.Wajam) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\is1590112554\580696_stp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Keine Aktion durchgeführt.
C:\Users\###\AppData\Local\Temp\is1590112554\580758_stp\WebConnect.exe (PUP.Optional.WebConnect.A) -> Keine Aktion durchgeführt.

(Ende)

Ja, in der Anleitung zu MBAM steht ja auch, dass man alle Funde entfernen soll

Ergebnis Malwarebytes
 

Hier ist das Ergebnis des Malwarebytes Scan:

Beim Neustart hat sich Antivir gemeldet: Zugriff auf Registrierungsdatei blockiert....
Außerdem ist der Luke Filewalker gestartet, hat aber nichts gefunden.
Der anschließende Quick-Scan mit MBAM brachte keine Malware mehr.
Hier das Ergebnis:

Den Scan mit ESET mache ich heute abend.
Schon mal ganz herzlichen Dank für die Hilfe!!!
Gruß Wolf

hier ist das Ergebnis von ESET (hat ziemlich lange gedauert)

Scheint ja o.k. zu sein, oder?
Gruß Wolf

Da wurden nur Reste gefunden

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,
ich möchte mich ganz herzlich bedanken für die Unterstützung. Wie du sicher gemerkt hast, sind meine Kenntnisse begrenzt.
Zu deinen Fragen / Anregungen hier noch einige Aussagen

ich hoffe der Rechner ist jetzt wieder clean. Habe unter Programme(x86) noch einen Ordner BonanzaDeals gefunden, in dem aber nur die Datei 'uninst.exe' war, die sich aber nicht ausführen ließ. Unter Programme und Funktionen taucht Bonanza nicht auf. Ist das noch ein Rest malware?

Wenn ich meinen Browser schließe, wird alles gelöscht, auch cookies

Zur Gefahrenminimierung wurde mir noch geraten, die Firefoxerweiterungen NoScript und Addblock Plus zu installieren, sowie Secunia und Update checker. Ist das auch aus deiner Sicht o.k.?

Für das Verständnis des MVPS Hosts reicht mein EDV-Wissen nicht aus. Kann ich es als Laie trotzdem verwenden? Ich habe verstanden, dass der Link hosts.zip einfach mit einem Rechtsklick geöffnet wird und das Verzeichnis dann irgendwo hin (wohin??) entpackt wird. Was das mvps.bat file wirklich macht habe ich nicht verstanden. Vielleicht habt ihr irgendwo im Forum eine ausführliche Beschreibung, wie es angewendet wird (mein Laptop hat Vista). Es klingt nach gefährlichen Eingriffen ins Innenleben des Rechners, die ich nur ungern machen würde.

Noch einmal herzlichen Dank und Gruß aus Hannover
Wolf