TR/Agent.avs' [trojan - "eingefangen über Yahoo Messenger"
 

Hallo zusammen,

leider war ich so bescheuert, auf einen Link zu klicken, den mir ein Kontakt angeblich im Yahoo Messenger geschickt hat. Der Trojaner benutzt nun meinen Messenger um diesen Link wiederum an meine Kontakte zu schicken.
Außerdem habe ich festgestellt, dass meine Festplatte praktisch voll ist, vor kurzem waren sicher noch 50 GB frei.

Antivir sagt folgendes:
In der Datei 'C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XE0HBOC3\bb[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.avs' [trojan] gefunden.


Vorab schon mal vielen Dank für Eure Hilfe - bin derzeit ziemlich ratlos...

Als "Anfängerin" habe ich jetzt die Punkte unter 2 abgearbeitet und poste hier mal die logfiles.


1. Malware

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4469

Windows 6.0.6000
Internet Explorer 7.0.6000.16764

24.08.2010 15:09:48
mbam-log-2010-08-24 (15-09-48).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145346
Laufzeit: 21 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\xxxx\AppData\Local\Windows\winhelp.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

2. OTL:OTL Logfile:
--- --- ---

3. OTL ExtraOTL Logfile:
--- --- ---

Hallo Cyberella und :hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

1.) Deinstalliere Spybot, der behindert die Reinigung.

2.) Lade die Datei:
bitte bei uns hoch. Die Datei ist nicht sichtbar! Markiere und kopiere den Text in der Box und füge ihn im Uploadchannel ein. => http://www.trojaner-board.de/54791-a...ner-board.html

3.) Poste das Log von GMER => http://www.trojaner-board.de/74908-a...t-scanner.html

4.) Poste das Log von Osam => http://www.trojaner-board.de/85306-a...n-manager.html

ciao, andreas

Kommando zurück. Bitte setze als Erstes SuperAntispyware ein, der erkennt den. Poste das Log von SuperAntiSpyware. => http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Hallo Andreas,

danke für die Hinweise - ich glaub mein Rechner ist total verseucht.... :-(

hier nun das logfile von SUperantispyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/24/2010 at 10:18 PM

Application Version : 4.41.1000

Core Rules Database Version : 5399
Trace Rules Database Version: 3211

Scan type : Complete Scan
Total Scan Time : 03:29:54

Memory items scanned : 732
Memory threats detected : 3
Registry items scanned : 9057
Registry threats detected : 4
File items scanned : 139185
File threats detected : 54

Trojan.Agent/Gen-SSHNas[FakeAlert]
C:\USERS\xxx\APPDATA\LOCAL\TEMP\SSHNAS21.DLL
C:\USERS\xxx\APPDATA\LOCAL\TEMP\SSHNAS21.DLL
[Metropolis] C:\USERS\xxx\APPDATA\LOCAL\TEMP\SSHNAS21.DLL

Trojan.Agent/Gen-CDesc[Gen]
C:\USERS\PUBLIC\LMSN.EXE
C:\USERS\PUBLIC\LMSN.EXE
[Windows System Guard] C:\USERS\PUBLIC\LMSN.EXE
C:\Windows\Prefetch\LMSN.EXE-423FAAB6.pf

Trojan.Agent/Gen-Backdoor[Apex]
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHN.EXE
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHN.EXE
[XBV6RD5SZF] C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHN.EXE
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHK.EXE
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHL.EXE
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHM.EXE
C:\USERS\xxx\APPDATA\LOCAL\TEMP\IHP.EXE

Adware.Tracking Cookie
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@zanox-affiliate[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@serving-sys[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@pointroll[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ero-advertising[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@unitymedia[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@webmasterplan[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@tribalfusion[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ads.sun[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@collective-media[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adtech[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adfarm1.adition[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adserver.adtechus[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@2o7[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ads.pointroll[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@weborama[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@www.etracker[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@interclick[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@www.windowsmedia[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@chitika[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@content.yieldmanager[3].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ww251.smartadserver[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ads.undertone[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@ad3.adfarm1.adition[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@clickcash[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@track.adform[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@content.yieldmanager[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@bs.serving-sys[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@msnportal.112.2o7[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@smartadserver[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@invitemedia[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@tracking.quisma[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@atdmt[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@richmedia.yahoo[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adbrite[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@eas.apm.emediate[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@zanox[2].txt
cdn1.eyewonder.com [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
cdn5.specificclick.net [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
googleads.g.doubleclick.net [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
hottraffic.nl [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
imagesrv.adition.com [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
media01.kyte.tv [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
spe.atdmt.com [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
vidii.hardsextube.com [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]
www.elitepartner.de [ C:\Users\xxx\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2V9CPLWY ]

Malware.Trace
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
HKU\S-1-5-21-2349178945-693852076-4111038735-1000\SOFTWARE\XML

Ja, das war der LolBot => ThreatExpert Report: Backdoor.LolBot

Weiter mit GMER und OSAM.

ciao, andreas

Hallo Andreas,

leider funtioniert das nicht.

GMER kann ich zwar runterladen und mit dem Scan beginnen, aber es ist jetzt 3x passiert, dass sich der Rechner dann verabschiedet hat - einmal war dann auch eine Systemwiederherstellung erforderlich.

OSAM hab ich auch geladen, kann es aber nicht entpacken... mit was? Winzip habe ich nicht auf dem Rechner - und man soll ja während der Bereinigung nix runterladen.

Was nun?

Ach ja und noch eine Frage: der Rechner läuft ja noch.... und ich müsste auch was arbeiten... :-(
Was sollte ich bei diesem Befall besser unterlassen, was ist "ungefährlich" - ich hab ja keine Ahnung, was das Biest auf meinem Rechner anrichtet.

Schon mal vorab :dankeschoen:

Christine

Vermutlich hast du das Schlimmste schon hinter dir. Mit Genauigkeit kann ich es dir nur mit mehr Informationen mitteilen, deshalb musst du weitere Logs liefern.
Mausklick rechts auf die ZIP-Datei => Alle extrahieren => Weiter => Weiter => Fertigstellen
Das passiert leider häufiger. :(

Versuchen wir eine Alternative.

Rootkitsuche mit SysProt

• Lade dir Sysprot auf den Desktop, entpacke es und starte das Tool.
• Gehe dort auf den Reiter Log.
• Setze nun alle Haken,
• auch unten bei Hidden Objects Only
• Klicke auf Create Log.
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort Scan root drive only
• Klicke auf Start.
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Hallo Andreas,

hier das logfile

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

No Hidden Processes found

******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 86CB3000
Module End: 86D71000
Hidden: Yes

******************************************************************************************
******************************************************************************************
SSDT:
Function Name: ZwCreateThread
Address: 8B48472C
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwOpenProcess
Address: 8B484718
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwOpenThread
Address: 8B48471D
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwTerminateProcess
Address: 8B484727
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
No IRP Hooks found

******************************************************************************************
******************************************************************************************
Ports:
Local Address: xxx-PC:57695
Remote Address: 88.85.68.232:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihn.exe
State: ESTABLISHED

Local Address: xxx-PC:57694
Remote Address: 88.85.68.232:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihn.exe
State: ESTABLISHED

Local Address: xxx-PC:57693
Remote Address: 88.85.68.231:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihn.exe
State: ESTABLISHED

Local Address: xxx-PC:57692
Remote Address: 88.85.68.231:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihn.exe
State: ESTABLISHED

Local Address: xxx-PC:57681
Remote Address: 68.67.185.203:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihm.exe
State: ESTABLISHED

Local Address: xxx-PC:57679
Remote Address: 68.67.185.200:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihm.exe
State: ESTABLISHED

Local Address: xxx-PC:57676
Remote Address: MPR6.NGD.VIP.CH1.YAHOO.COM:HTTP
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: xxx-PC:57673
Remote Address: MPR2.NGD.VIP.CH1.YAHOO.COM:HTTP
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: xxx-PC:57671
Remote Address: EC2-184-73-244-34.COMPUTE-1.AMAZONAWS.COM:HTTP
Type: TCP
Process: C:\Users\xxx\AppData\Local\Temp\Ihm.exe
State: ESTABLISHED

Local Address: xxx-PC:57656
Remote Address: MPR3.NGD.VIP.CH1.YAHOO.COM:HTTP
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: xxx-PC:57643
Remote Address: MPR6.NGD.VIP.CH1.YAHOO.COM:HTTP
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: xxx-PC:49243
Remote Address: 173.204.1.116.REVERSE.GOGRID.COM:HOSTS2-NS
Type: TCP
Process: C:\Users\Public\lmsn.exe
State: ESTABLISHED

Local Address: xxx-PC:NETBIOS-SSN
Remote Address: 0.0.0.0:0
Type: TCP
Process: System
State: LISTENING

Local Address: xxx-PC:49303
Remote Address: LOCALHOST:27015
Type: TCP
Process: C:\Program Files\iTunes\iTunesHelper.exe
State: ESTABLISHED

Local Address: xxx-PC:27015
Remote Address: LOCALHOST:49303
Type: TCP
Process: C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
State: ESTABLISHED

Local Address: xxx-PC:27015
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
State: LISTENING

Local Address: xxx-PC:5354
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Bonjour\mDNSResponder.exe
State: LISTENING

Local Address: xxx-PC:49204
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\services.exe
State: LISTENING

Local Address: xxx-PC:49156
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\svchost.exe
State: LISTENING

Local Address: xxx-PC:49155
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\svchost.exe
State: LISTENING

Local Address: xxx-PC:49154
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\lsass.exe
State: LISTENING

Local Address: xxx-PC:49153
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\svchost.exe
State: LISTENING

Local Address: xxx-PC:49152
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\wininit.exe
State: LISTENING

Local Address: xxx-PC:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Windows\System32\svchost.exe
State: LISTENING

Local Address: xxx-PC:64790
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:5353
Remote Address: NA
Type: UDP
Process: C:\Program Files\Bonjour\mDNSResponder.exe
State: NA

Local Address: xxx-PC:SSDP
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:138
Remote Address: NA
Type: UDP
Process: System
State: NA

Local Address: xxx-PC:NETBIOS-NS
Remote Address: NA
Type: UDP
Process: System
State: NA

Local Address: xxx-PC:64791
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:63861
Remote Address: NA
Type: UDP
Process: C:\Users\xxx\AppData\Local\Temp\Ihm.exe
State: NA

Local Address: xxx-PC:60167
Remote Address: NA
Type: UDP
Process: C:\Program Files\lg_swupdate\GiljabiStart.exe
State: NA

Local Address: xxx-PC:57845
Remote Address: NA
Type: UDP
Process: C:\Program Files\Internet Explorer\iexplore.exe
State: NA

Local Address: xxx-PC:57467
Remote Address: NA
Type: UDP
Process: C:\Users\xxx\AppData\Local\Temp\Ihn.exe
State: NA

Local Address: xxx-PC:SSDP
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:57134
Remote Address: NA
Type: UDP
Process: C:\Program Files\Bonjour\mDNSResponder.exe
State: NA

Local Address: xxx-PC:LLMNR
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:IPSEC-MSFT
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:500
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

Local Address: xxx-PC:123
Remote Address: NA
Type: UDP
Process: C:\Windows\System32\svchost.exe
State: NA

******************************************************************************************
******************************************************************************************
No hidden files/folders found

:eek: Hast du mit dem Yahoo Messenger in der Zwischenzeit gearbeitet?

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

nein, ich habe den yahoo messenger zwar noch nach dem Befall benutzt (da war mich noch gar nicht klar was passiert ist) aber während der Bereinigung nicht mehr.

Auch war seit dem Befall nichts anderes am Rechner - außer dem Stromkabel :-) - nicht mal ein Drucker.
Soll ich trotzdem vor dem Scan was verbinden?? Und alles auf einmal geht ja auch nicht.....

Merci!
Christine

Nur Datenträger! Keine Drucker oder Sonstiges. ComboFix wird mehrfach laufen. Jedesmal andere Datenträger anstecken.

ciao, andreas

Hallo Andreas,

nach längerer Urlaubspause melde ich mich wieder zurück und hoffe dass es jetzt den Biestern auf meinem Rechner endgültig an den Kragen geht.

CCleaner hab ich installiert und durchlaufen lasse, ohne Probleme.

Ebenso Combofix - anbei der Log

Combofix Logfile:
--- --- ---


Was ist jetzt noch zu tun?

Vielen Dank auch schon im Voraus
Christine

keine Ahnung warum mein letztes Posting nicht ganz oben erschienen ist - ich poste das combobix logfile nochmal - und hoffe auf eine Antwort.

Schönen Gruß
Christine

Combofix Logfile:
--- --- ---

Hy, john.doe hat uns leider verlassen :(

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Schritt 2

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.


Bitte poste in deiner nächsten Antwort
OTL.txt
Extras.txt
checkup.txt
Berichte ob noch Probleme vorhanden sind.

Hallo Daniel,

danke für die "Übernahme" !

Hier di Logfiles:

otl.txt:OTL Logfile:
--- --- ---

Extras.txt:OTL Logfile:
--- --- ---

checkup:

Results of screen317's Security Check version 0.99.5
Windows Vista (UAC is enabled)
Out of date service pack!!
Internet Explorer 7 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
Avira AntiVir Personal - Free Antivirus
Antivirus up to date!
```````````````````````````````
Anti-malware/Other Utilities Check:
Out of date Spybot installed!
Malwarebytes' Anti-Malware
CCleaner
Java(TM) 6 Update 21
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Out of date Java installed!
Adobe Flash Player
Adobe Reader 8.1.3 - Deutsch
Out of date Adobe Reader installed!
````````````````````````````````
Process Check:
objlist.exe by Laurent
Windows Defender MSASCui.exe
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Windows Defender MSASCui.exe
windows defender MpCmdRun.exe
````````````````````````````````
DNS Vulnerability Check:
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````


Probleme habe ich keine mehr festgestellt (bis auf die Meldung, dass Autostartprogramme geblockt werden), habe aber mit dem "verseuchten Ding" wenig gearbeitet.

ich bin mir allerdings ziemlich sicher, dass ich vor dem Befall noch etwa 40% freien Platz auf der Platte hatte, danach nur noch etwa 1 %, jetzt sind es wieder 10 %. Kann das noch an dem Trojaner liegen?

Und soll ich nach Ende der Bereinigung alle runtergeladenen Programme wieder löschen?

Merci vorab!
Christine

Hy
Malware mäßig sieht alles gut aus, aber was los mit Updates ?
Du hast für Vista nicht ein Service Pack installiert, wir sind aber schon bei Sp2.
Dazu später.

Deinstalliere bitte einmal Spybot.
Wer oder was sagt Dir das Autostart Programme geblockt werden ?

Downloade Dir bitte WVCheck von Artellos.com

• Speichere die Datei auf dem Desktop. ( solltest Du dir die .zip Datei herunter geladen haben musst Du diese zuerst entpacken )
• Starte die .exe mit Doppelklick
  Vista und Win7 User: mit Rechtsklick "als Admin ausführen" starten
• Wie beschrieben, kann das Tool eine Weile brauchen.
• Wenn es erledigt ist, kopiere den Inhalt des Textdokumentes hier in deinen Thread

Hallo Daniel,

hier das Logfile von WVCheck (das übrigens nur Sekunden dauerte...!?):

Windows Validation Check
Version: 1.9.10.4
Log Created On: 1524_19-10-2010
-----------------------

Windows Information
-----------------------
Windows Version: Windows Vista
Windows Mode: Normal
Systemroot Path: C:\Windows

WVCheck's Auto Update Check
-----------------------
Auto-Update Option: Do not download or install updates automatically.
-----------------------
Last Success Time for Update Detection: 2010-01-13 09:59:41
Last Success Time for Update Download: 2009-02-08 13:26:01
Last Success Time for Update Installation: 2009-02-08 15:03:45


WVCheck's Registry Check Check
-----------------------
Antiwpa: Not Found
-----------------------
Chew7Hale: Not Found
-----------------------


WVCheck's File Dump
-----------------------
WVCheck found no known bad files.


WVCheck's Dir Dump
-----------------------
WVCheck found no known bad files.


WVCheck's Missing File Check
-----------------------
WVCheck found no missing Windows files.


WVCheck's MBAM Quarantine Check
-----------------------
There were no bad files quarantined by MBAM.


WVCheck's HOSTS File Check
-----------------------
WVCheck found no bad lines in the hosts file.


WVCheck's MD5 Check
EXPERIMENTAL!!
-----------------------
user32.dll - 63b4f59d7c89b1bf5277f1ffefd491cd


-------- End of File, program close at 1524_19-10-2010 --------


Bezgl. den Updates: einige wurden während der Bereinigung angegzeigt (und da sollte man ja nix dowloaden) und Vista mach ich manuel (aber wohl nicht regelmäßig genug :-( )

Das mit den geblockten Autostartprogrammen ist eine Windowsmeldung.

GRuß
Christine

Und wie wäre es mir zu sagen was geblockt ? ;)

Manuell Updaten ist Okay, wenn man weiß wie wer wann wo. Dazu auch später.

Vorher muss ich noch wissen was geblockt wird.

Guten Morgen!

Unter Windows Defender /Software Explorer werden unter Autostartprogramme folgende Programme als "noch nicht klassifiziert" angezeigt (die anderen als zu gelassen)

- MS Office 2000
- LG LIU

- dd
(Beschreibung:
Dateiname: dd.exe
Angezeigter Name: dd
Beschreibung: Nicht verfügbar
Herausgeber:
Digital signiert von: Thawte Code Signing CA
Dateityp: Anwendung
Startwert: C:\Program Files\fotokasten comfort\dd.exe
Dateipfad: C:\Program Files\fotokasten comfort\dd.exe
Dateigröße: 439776
Dateiversion: 1.5.0.0
Installationsdatum: 04.11.2008 14:55:34
Starttyp: Registrierung: Lokaler Computer
Speicherort: Software\Microsoft\Windows\CurrentVersion\Run
Klassifizierung: Noch nicht klassifiziert
Im Betriebssystem enthalten: Nein
SpyNet-Abstimmung: In Bearbeitung)

- Antivir Desktop

Gruß
Christine

Okay das sind alles Dinge die nicht unbedingt mitstarten müssen.


Schritt 1

Drücke die WIndows + R Taste und schreibe folgendes in die Zeile

msconfig --> OK

Wechsle in den Reiter Systemstart und entferne den Hacken bei
Device Detection
LG Intelligent Update

Drücke übernehmen und OK


Schritt 2

Erneut WIndows + R Taste drücken.
Kopiere folgende Zeile hinein und drücke OK

Schritt 3

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und Remove Sun Download Manager.
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 4

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan.
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


Schritt 5

Downloade Dir bitte den Internet Explorer 8 von hier und installiere diesen.
Auch wenn dieser nicht dein Standard-Browser ist, sollte sich die aktuelle Version am Rechner befinden. Es gibt noch genug Software die diesen zum Updaten verwendet.


Schritt 6

Besuche bitte die Microsoft-Update-Seite und lade Dir alle Updates unter Benutzerdefiniert herunter
Mache das so lange bis du nichts mehr angeboten bekommst
Du musst dafür mit den Internet Explorer ins Netz gehen
Wenn du dies mit FireFox durchführen willst musst Du vorher das Addon IE View installieren.


Schritt 7

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in deiner nächsten Antwort
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

Hallo Daniel,

so hat mich mein PC schon lange nicht mehr beschäftigt... :-) aber ich lerne eine ganze Menge dabei - danke!

1. JavaRA sagte zwar, dass ein Logfile erstellt wurde, es hat sich aber nicht geöffnet und ich habs auch nirgendwo gefunden.
Hab dann über die Systemsteuerung noch einige alte Javaupdates entfernt und dann neu installiert, ohne Probleme.

2. Ebenso Adobe Reader

4. IE08 konnte ich nicht installieren bevor ich alle möglichen Updates von Microsoft heruntergeladen habe. Dazu musste ich auch noch Platz auf der Platte schaffen..... habe ein paar nicht benötigt Programme und einige Dateien gelöscht.
Ich wurde auch noch aufgefordert, von dieser Seite
hxxp://support.microsoft.com/kb/956586 weitere Updates runterzuladen.
Wobei das 2. (unter erweiterte Problembehandlung genannte) Update sich nicht installieren liess (es kam immer die Meldung "das Update gilt nicht für Ihr System" ich hatte aber vorher extra nochmals die Updates aktualisert)
Installation IE8 klappte dann doch, allerdings beim Herunterfahren und Neustart kam Meldung " Fehler beim interaktiven Anmeldeprozess" - dann ging gar nix mehr. Ich hab ihm den Saft abgewürgt, neu gestartet, dann wurde das Update 3 von 3 konfiguriert und Laptop wurde gestartet.

Dazwischen hatte ich noch folgende Meldung:

apdproxy.exe - Kompomente nicht gefunden
Die Anwendung konnt nicht gestartet werde, weil ConnAPI.DLL nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben.
(Dabei fiel mir ein, dass ich diese Meldung in unregelmäßgen Abständen - ich glaube auch schon vor dem Befall) ab und an mal hatte (mich aber nicht weiter darum gekümmert habe :killpc:)

Es gibt immer noch die Meldung mit den gblockten Autostartprogrammen, es sind Malwarebytes und Systemkonfigurationsprogramm (so die Anzeige unter "geblockte Programme ausführen) wobei im Software explorer MS office und Antivir als nicht klassifiziert gekennzeichnet sind.

Ansonsten scheint es normal zu laufen - aber das ist natürlich nur eine ganz subjektive Meinung.... :-))

Ach ja und noch eine Frage:
In der Quarantäne von Antivir liegen einige von den erkannte Trojanern - soll sie von dort entfernen?

Vielen Dank und Gruß
Christine

Die logfiles poste ich extra, da ich hier eine Meldung bekam, dass der Text zu lang ist.

Anbei das Logfile OTL Extra.
Das andere ist zu groß - hat auch als txt-Datei 310 KB ... was tun???
OTL EXTRAS Logfile:
--- --- ---

Okay in der Extras sehe ich schon was ich sehen wollte. Das mit IE8 hab ich verschlafen.
Aber es ist immernoch SP1 und nicht SP2 vorhanden ;)
Aber ich sehe hier keine Malware Relvanten Dinge mehr.
Mal sehen in wie weit ich dir mit den restlichen Problemen helfen kann.


Benutzt du irgendwelche USB Festplatten ?

Das Problem ist, dass Du eine für die heutige Zeit sehr kleine Festplatte hast.
Drive C: | 110,79 Gb Total Space | 13,61 Gb Free Space | 12,29% Space Free | Partition Type: NTFS

Alles unter 15% sollte vermieden werden.



Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.



apdproxy.exe gehört zu Adobe Photoshop Elements 6.0
Kannst Du das neu installieren ?


Downloade Dir bitte MBAM-clean.exe
und speichere die Datei auf dem Desktop

• Bitte deinstalliere Malwarebytes via Systemsteuerung --> Software
• Starte den Rechner neu auf.
• Starte die mbam-clean.exe.
• Das Tool wird erneut einen Neustart verlangen. Dies bitte zulassen.

Wir installieren MBAM dann neu.


Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

http://www.trojaner-board.de/69886-a...tml#post566999

Hallo Daniel,

nach zig Updates für Vista war irgendwann auch mal das SP2 dabei - ist jetzt installiert - wobei es ab und an ein paar kleinere Probleme mit dem Neustart gab, scheint jetzt aber auch ok, ebenso wie die automatischen Updates (die mir meine Festplatte zumüllen...)

Ich habe eine externe Festplatte und da kommen (jetzt nach der Bereinigung) auch ca. 50 GB Bilder drauf. Die hatte ich vorher auch schon extern gespeichert, dann ging aber diese Platte kaputt und ich hab sie auf dem Laptop zwischengspeichert - tja und dann hab ich mir den Trojaner eingefangen und wollt natürlich nix mehr an den Laptop dranhängen.

Photoshop werde ich demnächst mal neu installieren. ... woher soll man nur als Otto Normalverbraucher wissen, dass diese Meldung von diesem Programm kommt.....?? :headbang:

Ich hab immer noch die Meldung mit dem geblockten Autostartprogramm -Systemkonfigurationsprogramm --> was ist das??

Und was soll ich mit den Trojanern in der Avira Quarantäne machen?

Hier noch das OTL EXtra logfile - das andere ist wieder zu groß - wenn erforderlich müsste ich es halt auf 3 Antworten zerstückeln.

LG
ChristineOTL EXTRAS Logfile:
--- --- ---

Die Updates sind nunmal wichtig.

Schau bitte einmal unter Start --> Systemsteuerung --> Programme nach, welche Software du kennst und nicht mehr benötigst. Deinstalliere diese bitte.

Lade die Logfile bitte bei File-Upload.net und poste die mir den Downloadlink.

Hallo Daniel,

habe jetzt mal Photoshop deinstalliert - aber sonst find ich eigentlich nichts was ich noch deinstallieren will. Aber wie gesagt, 50GB sind weg, wenn ich die Fotos auf die externe Festplatte lade - und das tue ich ich erst, wenn es ganz sicher ist, dass auf dem Rechner keine Trojaner und sonstige Biester sind.

Aber beim Durchforsten ist mir was komisches aufgefallen:
Eine Kopie meines Ordners Dokumente findet sich unter nochmals unter Downloads - egal an welcher STelle man was ändert- das wird an der anderen Stelle ebenfalls geändert. Aber so wie ich das sehe, sind die Dateien doppelt vorhanden und verbrauchen damit auch doppelt Speicherplatz. Hast Du dafür ggf. eine Erklärung?

Hier der Link für das OTL logfile:

hxxp://www.file-upload.net/download-2922387/otl2510.txt.html

Gruss
Christine

Zu den Ordner kann ich nichts sagen. Wäre eventuell intresant ob du irgend eine Backup Software verwendest. Scheint mir nämlich so. Ich seh in den Logfiles nichts von diesem Ordner


Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://larusso.trojaner-board.de/Images/otlfix2.jpg.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Windows + R Taste drücken und folgenden Text in die Zeile kopieren

Dies wird eine Deinstallationsroutine aufrufen.


Schritt 3

Erneut Windows + R Taste drücken und folgenden Text eingeben.

Dies wird nach veränderten Systemdateien suchen und gegebenfalls ersetzen. Teile mir bitte den Dateinamen mit falls was gefunden wurde.


Schritt 4

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Bitte poste in deiner nächsten Antwort
OTL Fix Log
ESET Log
Berichte ob noch Probleme vorhanden sind.

Hallo Daniel,

habe alles wie beschrieben durchgeführt.

Bei sfc/scannow öffnete sich plötzlich der Yahoo messenger. Habe mich aber nicht angemeldet.

EST Scan hat einen Virus entdeckt (steht aber nicht im logfile)
C:\Qoobox\Quarantine\C\Users\susi\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp.vir a variant of Win32/Kryptik.GGP trojan

Den hat dann auch Antivir entdeckt und in die Quarantäne verschoben:
Die Datei 'C:\Qoobox\Quarantine\C\Users\susi\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp.vir'
enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Drooptroop.eyn' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d3648ca.qua' verschoben!

Hier nun die Logfiles:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Malwarebytes Anti-Malware (reboot) not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found.
========== FILES ==========
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MSConfig deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User

User: Public
->Temp folder emptied: 0 bytes

User: xxxx
->Temp folder emptied: 28142548 bytes
->Temporary Internet Files folder emptied: 89465714 bytes
->Java cache emptied: 110868070 bytes
->Apple Safari cache emptied: 1138688 bytes
->Flash cache emptied: 4641 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16281299 bytes
RecycleBin emptied: 1733 bytes

Total Files Cleaned = 235,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: xxxx
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 10272010_175155

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


ESET log
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK

Danke und noch einen schönen Tag
Christine

Bei sfc /scannow ist das Leerzeichen zwischen sfc und /scannow wichtig.

Hallo Daniel,

ich habe die Windows Befehle kopiert und eingegeben, so dass das Leerzeichen auch dabei war.

Probleme kann ich keine mehr feststellen, auch keine Meldung mehr mit geblockten Autostartprogrammen.

Was passiert mit den Trojanern in der Quarantäne?

Gruß
Christine

und sfc öffnete Yahoo ? Oo

Was in Quarantäne ist, ist dort gut aufgehoben.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf denNichts und danach den Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Versuche bitte einmal sfc /scanonce

Hallo Daniel,

anbei das Logfile (hab externe Festplatte drangelassen)

Bei sfc /scanonce hat sich nichts geöffnet.


OTL Logfile:
--- --- ---

Gruß
C

Normalerweise sollte das nun deine Systemdateien beim nächsten Neustart prüfen. :)

Die Datei selbst ist O.K


Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Kannst beide Logs zippen und hochladen :)

Hallo Daniel,

otl ist hier hier gespeichert (kann nicht zippen...):
hxxp://www.file-upload.net/download-2928820/OTL2910.Txt.html

das logfile otlextra ist hier angehängt:OTL EXTRAS Logfile:
--- --- ---

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Systemwiederherstellungpunkte leeren

Windows + R Taste drücken --> cleanmgr ( eingeben ) --> OK
Wähle nun deine Systemplatte (normal C:).
Klicke auf Systemdateien bereinigen --> erneut die Systemplatte wählen --> Reiter Weitere Optionen
und klicke auf Systemwiederherstellung und Schattenkopien bereinigen.


Schritt 2

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Note, sollte es nicht gehen versuch es bitte mit cofi /uninstall


Schritt 3

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 4

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 5

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Daniel,

Schritte 1 bis 4 habe ich durchgeführt - alles ok, 10% freier Plattenplatz! Den Rest erledige ich dann so nach und nach ...

Allerdings habe ich noch folgende Programme (für die Bereinigung) auf dem Rechner gespeichert

ccleaner
ccsetup236
osam autorun
securityCheck
WECheck
JavaRa
Sysprot
mbam-clean
ESET online sCanner

Soll ich die alle über Systemsteuerung deinstalliern bzw vom Desktop löschen?

Jedenfalls ganz herzlichen Dank für Eure Hilfe, alle freundlichen und hilfreichen Ratschläge! Was hätte ich nur ohne Euch getan....? :dankeschoen:
Und eine kleine Spende ist auch unterwegs, denn ich finds wirklich beeindruckend, wie Ihr alle hier den Leuten helft.

Ein schönes verlängertes Wochenende!
Christine

Hy,

Ja kannst DU alles löschen bzw deinstallieren :)


Froh das wir helfen konten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere möge bitte einen eigenen Thread erstellen