PUM.Hijack.taskmanager
 

Hallo,
gestern habe ich mir einen von den o.g. eingefangen. Ich habe bereits hier im Forum gestöbert und auch schon einige maßnamen getroffen wie z.b. unhide.exe sowie mbam. Jetzt habe ich mir OTL runtergeladen und sowit gescannt. Doch nun brauche ich doch ein bisschen hilfe, weil ich natürlich nicht allein so eine benutzdefinierte fix durchführen kann.
Es wäre schön wenn mir jemand dabei helfen könnte.

liebe grüße
Micha

OTL'1

Poste bitte alle Logs von malwarebytes

Hallo Arne,
erstmal vielen dank das Du dich meinem Problem annimmst.
Habe insgesamt 3 Logs wobei auf zweien nichts mehr zu sehen ist.

Log1
Log2
Log3
Liebe grüße
Micha

Wer hat dir den Rechner installiert? FAT32 für die Systempartition ist mehr als ungünstig!
Können wir aber später mit convert auf NTFS ziehen.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ok, das ist gemacht.
hier noch das Log:

Den Rechner habe ich damals schon so gekauft. Das war vom "Werk" aus schon alles so drauf.
Und wo kommt eigentich dieser ganze Babylon kram her?

Liebe grüße
Micha

Erinner mich später an die Umwandlung zu NTFS falls ich das vergessen sollte.


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Jep ist auch erledigt.
Und hier die Log:
liebe grüße
Micha

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey Arne,
CF warnt mich wegen meines Avira obwohl ich es inaktiv geschaltet habe. Bekomme das nicht komplett abgeschaltet.

Notfalls deinstallieren, aber wenn der Regenschirm eingeklappt ist sollte das reichen

Ja hat gereicht habe nochmal im Leitfaden rumgelesen.
so und da ist die log von CF:

liebe grüße
Micha

Ok. Erstmal sollten wir zu NTFS wandeln. Ein Backup aller wichtigen Daten auf externe Platte jetzt kann nicht schaden.

Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Ein Backup auf eine externe FP. Leider besitze ich sowas nicht. Soll ich die schritte trotzdem so ausführen auch ohne backup? Oder habe ich einfach was falsch verstanden? :stirn::pfeiff:

Ein Backup ist für den Fall der Fälle. Noch nie ist mir bei convert was in die Luft gegangen ;)
Aber Backups sollte man eh immer haben

ok werde deinen Rat beherzigen wollte sowieso irgendwann noch ne externe FP haben. aber jetzt erstmal die NTFS sache.... geht los jetzt :-)

Hey Arne,
ist erledigt das System ist konvertiert. Aber was genau sind die vorteile davon? bin bereit für den nächsten schritt. :daumenhoc

NTFS ist das sicherere und robustere Dateisystem. FAT/FAT32 sind alte DOS-Dateisysteme. Neue Windowsversionen lassen sich garnicht mehr auf FAT-Partitionen installieren (Gott sei dank)

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alles gemacht und hier die Logs dazu

1. Gmer
2. Osam
3. MBRCheck

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

so hier die logs von mbam und SASW

Woher kommen die ganzen sachen schon wieder?
Ich bewege mich im moment auf nicht sehr vielen seiten.
Trojaner board
youtube
Amazon
MeinVZ
und das wars im großen und ganzen schon...

Und hier das ergebnis von ESET

Sagt dir die Datei was?
Ansonsten nur Cookies.

Nein die sagt mir nichts. Hab sie mal bei Fileresearch nachgucken lassen, aber die sagen mir auch nichts dazu. auch Virustotal sagte nichts. im verzeichnis steht sie unter pumpa.state
Und was ist Filehunter eigentlich für ein Verzeichnis? Gehört das dahin? Ich meine ist das eine Windows komponente?!

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

so das wäre auch gemacht.

Avenger Log:
Und hier Der link zu Backup.zib

File-Upload.net - backup.zip

OK, hier der Link zum Backup. Hab das anders nicht hin bekommen."Link einfügen" wollte nicht so wie ich wollte. :rolleyes:

Nachstehend das Log von Avenger:

Diesen Beitrag bitte Löschen, hab nur was versucht und mich verklickt...

Sieht eher nach einem Fehlalarm aus, können wir ignorieren.

Sonst alles wieder ok soweit?

Ja der Comp rennt wieder ganz gut.
Danke dir für deine Mühe.

Kann ich dich OT nochmal was fragen?

1. Was hab ich mit dem link verkehrt gemacht?
2. Gibt es eine möglichkeit als nicht IT'ler mehr über Logfile analyse zu lernen? Ich bin jetzt neugierig geworden und schon viel am lesen. Aber finde nicht so die richtigen seiten darüber. Oder "darfst" du mir da nicht weiter auskunft geben?

Garnichts. Das Board wandelt http automatisch in hxxp um, damit die Links nicht klickbar sind (ok bei mir nicht :D)

http://www.trojaner-board.de/88896-a...ner-board.html



Dann wären wir durch! :abklatsch:

Die Programme können alle wieder runter. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hab ich alles schon geändert..
Thunderbird anstatt Outlook
Firefox Anstatt IE
Alles mit Secunia auf den neusten stand gebracht
sowie PW's geändert

Danke Arne