"spyware protection", malacuxatx.exe und a0104769.exe
 

Hallo,

seit vorgestern habe ich ein Problem.

Es fing damit an, dass ich eine Meldung von Windefender und "spyware protection" auf den Bildschirm bekam, die mich zum Download von Windefender aufgefordert hat.
Duch mein Zone-Lab Antivir konnte ich auch die angeforderten Internetverindungen unterbinden.
Ich habe nichts installiert und den Vorgang so gut es ging abgebrochen.
Bei der Suche ob irgendetwas auf dem Rechner trotzdem zurückgeblieben ist, habe ich die Dateien

a) c:\Dokumente und Einstellungen\******\Anwendungsdaten\defender.exe
b) c:\WINDOWS\Pefetch\DEFENDER.EXE-13F97B13.pf

und den Link
c:\Dokumente und Einstellungen\******\spyware protection gefunden der auf a) verweist.

Die Datei a) und den Link habe ich gelöscht.

Was soll ich mit b) tun?

Um weiter ganz sicher zu gehen, ob mein Rechner jetzt sauber ist habe ich OTL und Malwarebytes Anti-Malware auf den Rechner geladen und
Scans im abgesicherten Modus bzw als Admin ohne Netzverbindung durchgeführt.

Die OTL-Auswertungen sagen mir wenig aber Malwarebytes hat 5 Schädlinge gefunden. Die Auswertungen werde ich gleich posten, mit der Bitte, dass jemand sich diese anschaut und mir Tipps gibt wie ich weitermachen soll.

Reicht es im ersten Schritt die 5 Problemdateien/Registryeinträge mit Malwarebytes Anti-Malware zu entfernen?

Die Schädlinge sind:

1.) malacuxatx.exe
das soll laut hxxp://www.greatis.com/appdata/d/m/malacuxatx.exe_Removal.htm
ein Trojaner und Spyware sein.
malacuxatx.exe hat drei der 5 Treffer von Malwarebytes verursacht.

2.) A0104769.exe das in einem Pfad direkt in c:\system volume information\.... befindet

3.) gibt es einen registry-Eintrag der als Trojan.Agent klassifiziert wurde.

Kann ich eine begonne Malwarebytes-Session wieder aufnehmen, oder muss ich den Scan erneut durchführen, dann mit Malwarebytes die Dateien entfernen kann?

Gibt es noch andere Wege den Rechner zuprüfen.

Danke vor ab schon einmal

Matthias


Die Scans habe ich als Dateien hochgeladen.
Im Zip-File sind die OTL-Ergebnisse.

Danke
Matthias

Hallo michhatserw,



vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst - doofe Fragen gibt es nicht.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:




Wiederhol zuerst den Malwarebytesscan und lasse am Ende die Funde löschen*. Vorher bitte über den Reiter "Aktualisieren" auf den neusten Stand bringen und wieder einen Vollscan machen.
*Achtung: Den Fund im Ordner "System Volume Information" und weitere nach Möglichkeit noch bestehen lassen! Das ist deine Systemwiederherstellung und evtl. benötigen wir den Punkt noch.


Dann wiederhole im normalem Modus (also nicht dem abgesicherten) den OTL-Scan nach folgender Anleitung:





1.) Systemscan mit OTL
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Und du machst mir das Durchsehen der Logs einfacher, wenn du sie direkt hier in deine Antwort einfügst anstatt sie anzuhängen. Vor das Log schreibst du dann bitte [Code] und am Ende des Logs schreibst du [/Code]
Deine Logs scheinen nicht so groß zu sein und das müsste gehen :)

Hallo,

eine Anmerkung zu dem Fund in "System Volume Information" habe noch,
mir scheint dort die Ursache zu liegen, dass immer wenn ich mit meinem Admin-User auf der Maschine arbeite, die Systemauslastung auf 100% geht, das passt auch zu dem was ish bei HiJacKThis.de über die gefundene Datei
a0104769.exe gelesen habe.

Ich werde also versuchen den Ordner nicht zu löschen. Selbst mit Adminrechten komme ich in den Ordner nicht hinein.

Das MemeoBackup von Seagate, dass ich für die Systemsicherung verwende
ist dauernd am Dateien sichern auch wenn nichts auf dem Rechner geschieht und scheint laut TaskManager den Rechner damit vollauszulasten.
Kann es sein, daß a0104769.exe das MemeoBackup dazu verwendet den Rechner auszulasten? Zusätzlich ist zu bemerken, daß von MemeoBackup auf eine externe Platte gesichert wird, die als Laufwerk U:\ angebunden ist.
Hier wird m. E. garnicht in "System Volume Information" geschrieben.

Wenn ich das Fenster von Memeobackup öffne, sehe ich, dass ständig gesichert (alle 3-5 Sekunden) wird, ohne dass auf dem Rechner irgendwas getan/geändert wird. Zusätzlich nimmt sich das memeoBackup immer mehr Arbeitspeicher. Wenn ich MemeoBuckup im TaskManager beende, normalisiert sich die Systemauslastung.


Ich hoffe die Zusatzinfo rundet das vielleicht bisher unvollständige Bild ein wenig ab.

Die Aktion mit Malwarebytes werde ich durchführen und versuchen die
a0104769.exe mit zu beseitigen, wenn ich Pech habe, sind die Info in "System Volume Information" verloren. Ich werde vorher noch ein paar Sachen sichern und ggf vor der Einspielung scannen.

Danke und viele Grüße
Matthias

Hallo rea,

ich habe den Malwarebytes-Scan durchgeführt und die Löschung vorgenommen.

Zusätzlich habe ich anschließend den OTL-Scan gemacht.

Hier sind die Ergebnisse:

Malwarebytes-Scan


OTL Extras.txt

OTL Logfile:
--- --- ---
[/Code]

OTL Logfile:
--- --- ---
[/Code]


Die OTL-Scan liefen nur für aktuellen Nutzer, hätte ich alle Nutzer einbeziehen sollen?

Ich werde es auf jeden Fall noch einmal für alle Nutzer machen und wenn nötig posten.

Ich hoffe die Infos reichen ersteinmal für für deine weiteren Untersuchungen.

Danke und viele Grüße
Matthias

Ich poste die Anleitungen nicht damit du es dann doch ganz anders machst :confused:

*Achtung: Den Fund im Ordner "System Volume Information" und weitere nach Möglichkeit noch bestehen lassen! Das ist deine Systemwiederherstellung und evtl. benötigen wir den Punkt noch.
Das heisst, dass du die Datei bestehen lassen solltest... Es kann der (zugegeben: seltene) Fall eintreten, dass wir dein System während der Bereinigung mittels SW wiederherstellen müssen und man sagt so schön: Besser einen verseuchten Systemwiederherstellungspunkt, als gar keinen.


Alles, was in dem Ordner gespeichert wird, unter anderem deine Datei A0104769.exe sind lediglich zur Systemwiederherstellung gedacht und die wird erst dann aktiv, sofern du einen alten Punkt wiederherstellst. Wenn du sie nicht verwendest, wird die datei vermutlich rein gar nichts anstellen.
Malware speichert sich gern mal in der Systemwiederherstellung, da viele Windowsuser bei PC-Problemen zuerst einmal auf sie zurück greifen, da das ja oft bei Problemen auch greift, aber dann trotzdem weiterhin ihre Malware am PC haben.
Um die Systemwiederherstellung kümmern wir uns eh später noch seperat.
Systemwiederherstellung


Zu dem MemeoBackup: Ich kenn das Programm grade überhaupt nicht, aber sollte es tatsächlich so sein, dass es alle 3-5 Sekunden irgendwelche Dateien sichert würd ich mich nicht wundern, wenn der PC dann permanent arbeitet und der Prozess alles auslastet.


Also nochmal: Halte dich genau exakt an die Anleitungen! Mit OTL unter allen Usern scannen ist überhaupt nicht nötig.
Es ist wichtig, dass du dich an die Anleitungen hältst und nicht selber irgendwelche Aktionen startest, sonst kann ich dir mit der Malware nicht helfen!

Hallo rea,

sorry, ich hatte deine Anleitung so verstanden, dass alle Treffer zu löschen seien. Deine Formulierung war für mich interpretationsfähig und ich habe sie leider falsch ausgelegt. Jetzt habe ich verstanden, was der Sinn deiner Anweisung war, mir war nicht klar, dass es besser sein kann durch die Systemwiederherstellung ein verseuchtes System hin zustellen statt gar keines und Du diese Möglichkeit offen halten wolltest.
Und dass die Datei ungefährlich ist, solange sie dort steht, konnte ich nicht ahnen, ich habe nicht täglich mit Malware zutun. Nochmal sorry.
Ist die Möglichkeit der Systemwiederherstellung jetzt verloren oder der Erfolg ggf. ungewiss.
Es wäre trotzdem toll, wenn Du mir weiterhelfen könntest.

Das mit dem MemeoBackup werde ich noch weiter beobachten und nach etwas suchen, dass nicht diese Effekte hat.

Danke und viele Grüße

Okay, kein Problem :) Tut mir leid, wenn es so unklar rüberkam beim nächsten Mal einfach nachfragen wenn etwas unklar ist. Wir können natürlich noch weiter bereinigen, ich schau morgen in die Logs.

1.) Deinstallation von Software

• -> Start
• -> Systemsteuerung
• -> Software
• Wähle nun jeweils eine Software aus:
  
  Code:

  ---

  PDFCreator Toolbar

  ---

• -> ändern/entfernen und deinstallieren.

Deinstalliere bitte jede Software aus dieser Liste, die vorhanden ist.





2.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Arcor Online]  File not found
O4 - HKCU..\Run: [Arcor Online]  File not found
O32 - AutoRun File - [2006.10.13 13:50:51 | 003,834,762 | R--- | M] (Macromedia, Inc.) - H:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2006.10.17 16:24:41 | 000,000,041 | RH-- | M] () - H:\autorun.inf -- [ CDFS ]
O32 - AutoRun File - [2003.04.07 10:30:18 | 000,000,050 | R--- | M] () - M:\AUTORUN.INF -- [ CDFS ]
O32 - AutoRun File - [2006.11.30 06:45:30 | 000,000,132 | ---- | M] () - U:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{edd7ecc1-8b17-11d9-980a-806d6172696f}\Shell\AutoRun\command - "" = D:\Setup.exe -- File not found
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Autorun.exe -- [2006.10.13 13:50:51 | 003,834,762 | R--- | M] (Macromedia, Inc.)
O33 - MountPoints2\U\Shell\AutoRun\command - "" = U:\Install FreeAgent Tools.exe -- [2007.02.09 02:29:48 | 146,041,088 | ---- | M] (Seagate
[2010.10.20 12:08:26 | 000,021,504 | ---- | C] () -- C:\WINDOWS\jestertb.dll
[2009.04.16 12:24:14 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2009.04.16 12:24:14 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2009.04.16 12:24:14 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2009.04.16 12:24:14 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.) Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.





4.) Gmer - Rootkitscan
Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.





5.) Einstellungen prüfen

Stelle sicher, dass bei dir alle Ordner und Dateien angezeigt werden:

• Starte den Windows Explorer (Rechtsklick auf Start -> Explorer)
• => Extras
• => Ordneroptionen
• => Ansicht
• Ändere folgende Einstellungen:
  • Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
  • Entferne den Haken bei Geschützte Systemdateien ausblenden
  • Setze den Haken bei Inhalte von Systemordnern anzeigen
  • Unter "Versteckte Dateien und Ordner" setzt du den Punkt bei Alle Dateien und Ordner anzeigen

6.) Dateiüberprüfung auf Virustotal
Besuche www.virustotal.com
Suche dort nacheinander folgende Dateien und lade sie über den Button "Send file" hoch.
Die Überprüfung kann einige Minuten dauern. Wenn die datei bereits geprüft wurde, lasse sie erneut prüfen. Poste mir die Ergebnisse mit Kopf und allem in Codetags hier in den Thread.
Wenn eine Datei nicht zu finden ist, sag mir bitte Bescheid.

Hallo rea,


Punkt 1 ist erledigt.


Was soll in Punkt 2 Fixen mit OTL

Klick auf .

bedeuten?
Gibt es irgendwann im OTL einen Button mit Punkt "." ?


Zu Punkt 6.
ich soll die Dateien auf meinem Rechner suchen und hochladen, ok?
Wie kann eine Datei schon einmal geprüfft worden sein, ich habe sie doch noch garnicht hochgeladen?
Kann ich Punkt 6 vorziehen um die Wartezeit zu verkürzen oder ist die Reihenfolge der Punkte auch hier essentiell.


Grundsätzliche Fragen:

Ist es ein Problem, wenn ich die notwendigen Programme jetzt schon runterlade oder dürfen diese erst direkt vor der Benutzung runtergeladen werden? Ersteres würde vielleicht ein wenig Zeit sparen.


Ich habe diverse Anwendungen in der Quick-Startliste soll ich diese auch beenden bzw da rausnehmen?

Darf ich Punkt5 auch jetzt schon prüfen? Ich glaube die Einstellung sind schon so gesetzt.

Danke für die weitere Hilfe.

VG
Matthias

Nein, da ist der "OK"-Button gemeint, ist wohl verlorengegangen.

Richtig :)

Sie wurden dann von anderen Usern bereits hochgeladen von ihren Computern. Das liegt dann am gleichen Dateinamen und dem Ort wo sie sich befindet.

Halte dich bitte an die Reihenfolge der Anleitung!

Kannst du gerne auf einmal runterladen, wichtig ist der Zeitpunkt der Ausführung.

Erklär mir bitte, was du nun genau mit Quickstartleiste meinst?

Es ist wirklich viel einfacher, wenn du einfach der Reihe nach abarbeitest! Es würde ganz schon kompliziert werden, wenn wir für die einzelnen Schritte immer noch extra Abmachungen treffen würden oder findest du nicht.
Wenn die Einstellungen denn schon so stehen sollten, musst du das halt nur noch überprüfen und fertig. Eine Bereinigung dauert schon seine Zeit und die musst du dir nehmen, wenn du das hier machen möchtest.

Gerne ;) Dann lass mal was sehen.

hallo rea,

ich werde mich morgen vormittag dran setzen, dann bekommst Du anschliesend auch was zu sehen.


Quickstartleiste:
Ich dachte, so heißt der Teil der Taskleiste in der schon die Icons einiger Dienste zu sehen sind, die im Hintergrund laufen, z.B. Virenscanner, Druckerdeamon, Lanverbindungen etc..

Gute Nacht!

Matthias

Wenn wir fertig sind, kannst du die Leiste ändern wie du möchtest :)
Nachti!

Hallo rea,

ich habe ein neues Problem während das Laufes von GMER
kam es zum Blue-Screen.

MACHINE_CHECK_EXCEPTION

Kann das am Bildschirmschoner liegen?
Den habe ich vergessen abzuschalten.

Vor dem Lauf von GMER hatte ich Alcohol52 deinstalliert, da ich keine Lust hatte Defogger runterzuladen. Ich bin mir nicht sicher ob ich danach noch einmal gebootet hatte.

Ich werde den Rechner neustarten und den Bildschirmschoner deaktivieren, damit ich den Rechner während des Laufes von GMER völlig in Ruhe lassen kann.

Ich melde mich wieder, wenn der GMER durch ist oder ich weitere Fehler bekomme.

PS.:
Ist es normal, daß nach dem OTL-Fix mein Zone Labs Antivirus etc. nicht mehr automatisch gestartet wird?

PPS.:
Während des OTL-Fixes war die die externe Platte an U:\ nicht angeschlossen muss ich den ganzen Fix wiederholen. Von U:\ sollte etwas gelöscht werden, reicht nur diesen Teil des Fixes zu wiederholen?

Ich seh da zum Fix grade keine Verbindung, aber das lässt sich ja später evtl wieder ändern damit der Start wieder automatisch ist.
Es gibt sowieso genug Menschen, die dir raten würden Zonealarm gar nicht mehr zu benutzen, weil es sich nicht lohnt. Aber das ist deine Entscheidung.

Nein, eine Wiederholung ist nicht nötig, einfach weiter der Anleitung nach und alles posten was gepostet werden soll :)

Sorry, ich seh grad erst, dass du nicht die Firewall Zonalarm meinst, sondern den Antivirus. Davon solltest du dich natürlich nicht trennen, obwohl ich dir jetzt spontan einen Wechsel vorschlagen würde auf zb Avira Antivir Personal in der Free Edition.

Hallo rea,

hier kommen jetzt meine Ergebnisse.

1. PDFCreator Toolbar deinstallieren Erledigt

2. OTL-Fix
Bis auf
O33 - MountPoints2\U\Shell\AutoRun\command - "" = U:\Install FreeAgent Tools.exe -- [2007.02.09 02:29:48 | 146,041,088 | ---- | M] (Seagate )

durchgeführt. Laufwerk U:\ war nicht eingeschaltet.

3. Desinfizierung/Absicherung externer Medien

Lief durch nachdem ich alle USB-Sticks schreibbar gemacht hatte.
Keine weiteren Fehler gemeldet.


4. Gmer - Rootkitscan

Ich habe vor dem Lauf Alcohol52 deinstalliert und evtl den Reboot vergessen.

GMER stürzte im ersten Durchlauf mit Blue-Screen ab.
Daher gibt es keinen Log für Teil 1

Nach Restart des Rechners neuer Lauf mit folgendem Ergebnis.

gespeichert nach dem Scan zu Begin des Gmer-Laufes
Enthält weniger Daten als beim ersten Versuch zu sehen waren, das habe ich allerdings nicht gespeichert.


GMER Logfile:
GMER Logfile:

Log am Ende des GMER-Laufes

--- --- ---

--- --- ---

--- --- ---

--- --- ---



5. Einstellungen prüfen
Einstellungen wurde wie angefordert gesetzt.

6. Virustotal Überprüfung für

C:\WINDOWS\system32\DRIVERS\a19346b.sys
C:\WINDOWS\System32\Drivers\a19346c.sys

konnte nicht erfolgen, da Dateien nicht "mehr" auf dem Rechner zu finden.
War aber in der Log-Anzeige des abgrochenen GMER-Laufes zu sehen.


Ergebnis für

C:\Programme\Familien-Internet\Zeiten\user.exe

Ich hoffe das hilft weiter.

Ich werde jetzt Schluss machen für heute und wünsche ein paar schöne Feiertage.

Tschüß
Matthias

Okay, die folgende Datei solltest du dann bitte ebenfalls noch bei Virustotal hochladen und überprüfen lassen:
Kann sein, dass sie nicht die ist für die sie sich ausgibt.


C:\Programme\Familien-Internet
Wann hast du das Programm installiert und benötigst du es? Was kannst du mir sonst dazu sagen?



Ich benötige dann nochmal zwei neue Logfiles von OTL:

1.) Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Ich wünsche ebenfalls frohe Festtage und bis dann :)

Hallo rea,

hier sind die gewünschten Infos.

1. VirusTotal für

C:\WINDOWS\system32\drivers\atapi.sys

2. C:\Programme\Familien-Internet

Das Programm habe ich installiert. Es stellt Funktionaltäten zur Beschränkung
von Internetzugängen unter XP zur Verfügung. Diese Funktionalitäten gibt wohl in Vista und sind hier nachgebildet soweit es geht.

Die Quelle ist hier : hxxp://www.tolldrio.de

Der Entwickler wirkte auf mich vertrauenswürdig, als ich ihn kennengelernt habe.

3. Neuer OTL-Scan

OTL Logfile:
--- --- ---



[/code]

OTL Logfile:
--- --- ---

[/code]

Bin gespannt, ob Du noch etwas findest, daß nicht auf meinem PC seinsollte.

Die Familien-Internet-Anwendung werde ich wahrscheinlich deinstallieren.

Bei ein paar anderen Sachen bin ich auch am überlegen, ob ich sie runterschmeise, ich frage mich immer nur ob das dann auch immer vollständig gelingt.

Ich habe hier den neuesten Kasperski liegen, kann ich den zusätzlich zu Zonelabs-Antivirus installieren und nutzen?


Bis bald
Matthias

Hast du den Flash Disinfector auch auf deinem Laufwerk U:\ angewandt?



1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - No CLSID value found.
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Antivirus-Profi-Paket.lnk = C:\Programme\Antivirus-Profi-Paket\avk.exe File not found
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.) Malwarebytes Antimalware
Scanne erneut mit dem Programm. Bringe es vorweg über den Reiter "Aktualisierung" auf den neuesten Stand. Wähle dann den "Vollständigen Suchlauf". Lasse die Funde löschen, es sei denn es werden noch welche im Ordner "System Volume Information" gemacht, die nicht löschen.
Poste mir das Log hierher.





3.) ESET Online Scan

Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit dem ESET Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• ESET Online Scanner
  • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP/Vista und Win 7
    
  • Anmerkung für Vista und Windows 7 User: Bitte den Browser unbedingt Als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Kennst du den CCleaner? Den kann man nach Deinstallationen nutzen und Überreste aus zb der Registry entfernen.
Anleitung

Nein besser ist nur ein einziges Antivirenprogramm zu nutzen. Es ist dabei wichtig, ob das Programm einen Echtzeitscanner (oder Guard, Wächter) am laufen hat. Zwei davon sollte man nicht benutzen, da sie sich gegenseitig ablenken und Malware unter Umständen so nicht mehr entdeckt werden kann.

Hallo rea,

die Platte U:\ sollte eingeschaltet gewesen sein.
Ich hatte auch alle meine USB-Sticks eingesteckt.
Die von meinem Sohn sind noch nicht geprüft.
Wann und wie kann ich diese prüfen?

Nur beim OTL-Fix fehlte das laufwerk U:\.


Für den ESET-Scan auch die USB-Sticks anschliesen?


Ich werde jetzt mit dem neuen OTL-FIX anfangen und dann morgen mit malwarebytes weitermachen.

Kann ich ESET-Scan vorab downloaden?
Wann/woher wird das Firefox-Addon runtergeladen, geschieht dass während des ESET-Scans?

Danke und Grüße
Matthias

Wiederhol bitte den Schritt mit dem Flash Disinfector noch einmal mit den externen Datenträgern nachdem du den Online Scan mit Eset gemacht hast.

Sind die denn an diesem PC schonmal angesteckt gewesen?

Was genau ist dein Laufwerk U:\? Ist das ein USB-Stick? Kannst du darauf sonst zugreifen?

Kannst du gerne tun.

Manche Fragen erübrigen sich, wenn man die Anleitung abarbeitet :)

Hallo rea,

U:\ ist eine externe USB-Festplatte auf der auch meine automatische
Dateisicherung liegt. Meistens ist die Platte ausgeschaltet, wenn ich am Rechner sitze, deswegen
vergesse ich auch manchmal sie einzuschalten, wenn sie gebraucht wird, das muss ich dann nachholen.


Mein Sohn benutzt ständig meinen PC daher sind die USB-Sticks
auch öfter an diesem Rechner, das heißt auch diese sind zu scannen, oder?

Ich schaue, ob ich alle USB-Sticks auf einmal anschliesen kann.
Kann ich den Scan mit Flash-Desinfector auch mehrfach machen und jedesmal andere Sticks anschliesen?


Hier sind die Ergebnisse des neuen OTL-Scans und des Malwarebytes-Scans
und von ESET.

1. OTL

2. Malwarebytes-Scan




3. ESET-Scan

Mehr kam dabei nicht als log raus, oder habe ich etwas falsch gemacht.



Ich werde jetzt ESET deinstallieren und dann noch einmal den Flash-Desinfector bemühen. Erst einmal nur mit den schon einmal benutzten Sticks.
Ich habe jetzt den Flash-Desinfector über alle Sticks (auch die von Sohnemann) laufen lassen, ich hoffe das war kein großer Fehler.

VG
Matthias

Okay, gibts noch Probleme mit dem PC?

Hallo rea,

mir sind im Moment keine bekannt.

Schliese ich richtig aus deiner Aussage, dass Du den Rechner jetzt wieder für clean ansiehst.

Auf jeden Fall vielen Dank für die Zeit und Arbeit die Du in meinen Rechner investiert hast, kannst Du mir sagen wieviel Zeit Du investiert hast, ich habe kein Gefühl dafür, wie aufwendig das für dich ist/ war.

Noch einmal zu Deinem Tipp mit Avira: Ist der deutlich besser/aktueller als mein
Zonelabs-Antivirus oder der Kasperski.

Danke und liebe Grüße
Matthias

1.) Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.
Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.





2.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter.

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.






3.) Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.





4.) Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

Wenn das erledigt ist, sind wir fertig :)


Gute Frage, ich zähle nie mit :'D Aber es werden schon ein paar Stunden gewesen sein, ich bin noch recht neu dabei und glaub fast die langsamste hier :o.

Ich kann Avira nur empfehlen, da ich es selber nutze und zufrieden damit bin :) Es gibt tägliche Updates, es ist für Heimanwender kostenlos, die Konfiguration ist nicht zu kompliziert und in Tests schneidet es auch gut ab.
Aber wenn du mit Kaspersky gut zurecht kommst, dann nutz es :daumenhoc Denn das ist eigentlich das wichtigste, dass man damit zurecht kommt. Was den direkten Vergleich zu Avira angeht, würd ich dir einfach mal nahelegen dir ein paar Testberichte im Internet anzusehen oder Vergleiche zwischen den einzelnen Programmen und das für dich selbst zu entscheiden.

Hallo rea,


Die letzten Aktionen sind wie beschrieben durchgeführt.
Malwarebytes werde ich auf dem Rechner lassen und immer wieder einmal damit scannen. Da er nicht ständig aktiv ist, sollte er sich nicht mit einem anderen Virenscanner beharken.

Ich wollte mich noch einmal bei Dir bedanken, daß Du die Geduld und Zeit aufgebracht hast mir zu helfen.
Der PC scheint wieder OK zu sein, ich werde mich jetzt umschauen, was ich, außer aufpassen, noch tun kann, damit ich nicht so schnell wieder hier aufschlage.


Von mir aus kannst Du den Thread schließen. Oder hast Du noch Verhaltensregeln, die du mir mitgeben willst?

Danke und Grüße
Matthias

Gern geschehen :)

Schau doch mal in den folgenden Thread, dort werden viele Tipps gegeben damit man nicht so schnell wieder Opfer von Malware wird:

Sicherheit im Internet


An diesem Board werden fertige Threads nicht geschlossen. Solltest du in einiger Zeit wieder Probleme durch Malware haben, erstell dann aber bitte ein neues Thema.