Hallo Trojaner-Board-Team,

erst einmal: super, dass es so eine Hilfeseite wie Eure gibt und dass ihr anderen in Eurer Freizeit helft. Das sei an dieser Stelle auch einmal gesagt.

Nun zu meinem Problem. Vorgestern ließ ich den PC über Nacht an um eine Berechnung laufen zu lassen, dabei hat sich scheinbar ein Windows Update installiert. Nach diesem Windows Update kam es zum ständigen Abstürzen des Firefox, das auch mit Neuinstallation etc. behoben werden konnte. Den Tag über konnte ich auch ohne Firefox arbeiten und habe SpyBotSearchAndDestroy laufen lassen sowie AntiVir auf den neuesten Stand gebracht und einen fehlerlosen Scann des Systems durchgeführt. Natürlich habe ich dann abends kurzzeitig den IE genutzt. Ich weiß nicht ob es daran lag, abends kam jedoch der berühmte Bildschirm der GVU, ich möge doch bitte 100 € zahlen. Nach einer Systemwiderherstellung vor den Updates konnte ich dann wieder alles starten. Der Firefox ist weiterhin instabil wie die Sau, was man/ich von ihm nicht gewohnt ist und jetzt hat auch AntiVir angeschlagen und meinte "Symmi" wäre am werkeln.

Mit Eurer Anleitung habe ich die nachfolgenden Logs erstellt. Wäre super, wenn ihr mir helfen könntet, da auf diesem PC wichtige Arbeiten erledigt werden müssten.

Merci!

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [] File not found 
O4 - HKCU..\Run: [] File not found 
O4 - HKCU..\Run: [AdobeBridge] File not found 
O4 - HKCU..\Run: [IExplorer Util] C:\Users\Strauss\AppData\Roaming\ie_util.exe File not found 
O4 - HKCU..\Run: [Tirui] C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
[2012.08.28 22:16:36 | 083,023,306 | ---- | C] () -- C:\ProgramData\nud0repor.pad 
[2012.07.25 00:22:10 | 000,053,760 | ---- | C] () -- C:\Users\Strauss\AppData\Roaming\msconfig.dat 
 
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Strauss\*.tmp
C:\Users\Strauss\AppData\Local\{*}
C:\Users\Strauss\AppData\Local\Temp\*.exe
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

4. Schritt

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Danke für die schnelle Antwort! Hier die Log-Files nach OTL. Malwarebyte arbeitet gerade noch:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Tirui deleted successfully.
C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
C:\ProgramData\nud0repor.pad moved successfully.
C:\Users\Strauss\AppData\Roaming\msconfig.dat moved successfully.
========== FILES ==========
C:\ProgramData\lsass.exe moved successfully.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\Strauss\*.tmp not found.
File\Folder C:\Users\Strauss\AppData\Local\{*} not found.
File\Folder C:\Users\Strauss\AppData\Local\Temp\*.exe not found.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
Invalid Switch: c :Commands [emptytemp]
 
OTL by OldTimer - Version 3.2.69.0 log created on 11142012_160735

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Hier das Logfile von adwcleaner.exe:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.007 - Datei am 14/11/2012 um 17:58:05 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Strauss - STRAUSS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default 
Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1894 octets] - [14/11/2012 17:58:05]

########## EOF - C:\AdwCleaner[R1].txt - [1954 octets] ##########
         

Und hier der Log, nachdem adwcleaner gelöscht hat:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.007 - Datei am 14/11/2012 um 18:04:36 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Strauss - STRAUSS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default 
Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js

C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [2019 octets] - [14/11/2012 17:58:05]
AdwCleaner[S1].txt - [2057 octets] - [14/11/2012 18:04:36]

########## EOF - C:\AdwCleaner[S1].txt - [2117 octets] ##########
         

Bitte das Malwarebytes Logfile posten!
(Reiter Logberichte)

Hier der Log von heute Nachmittag, der gefehlt hat:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Strauss :: STRAUSS-PC [Administrator]

Schutz: Aktiviert

14.11.2012 16:14:22
mbam-log-2012-11-14 (16-14-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 773870
Laufzeit: 1 Stunde(n), 37 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\msconfig.dat (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\Igod\qeufu.exe (Trojan.Agent.EDDGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Strauss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Hier der Code des Scans von gerade eben:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.14.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Strauss :: STRAUSS-PC [Administrator]

Schutz: Deaktiviert

14.11.2012 21:07:19
mbam-log-2012-11-14 (21-07-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 775238
Laufzeit: 2 Stunde(n), 51 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Sehr gut!

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Soweit ich's beurteilen kann läuft wieder alles stabil, inkl. der eingangs angesprochene Firefox... nur der Lüfter fährt recht dauerhaft auf Volllast. Hol jetzt mal Emsisoft Anti-Malware und führe den Deinen nächsten Schritt durch.

Deinstalliere Spybot.
Deaktiviere alle Plugins in Firefox und sage bescheid, ob er weiter abstuertzt.

Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss. Hab vorher geschrieben, dass alles stabil läuft.

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 15.11.2012 01:11:49

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	15.11.2012 01:18:00

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8) 	gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class 	gefunden: Exploit.Java.CVE-2012-0507.BB (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8) 	gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8) 	gefunden: Trojan.Generic.7701155 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\Users\Strauss\AppData\Local\Mozilla\Firefox\Profiles\nlr4y5tm.default\Cache\4\CF\1585Ed01 -> (INFECTED_JS) 	gefunden: JS:Trojan.Iframe.S (B)

Gescannt	868749
Gefunden	26

Scan Ende:	15.11.2012 04:01:42
Scan Zeit:	2:43:42
         

Kann es sein, dass der letzte Eintrag von Emsisoft etwas mit dem Dauerlaufen meines Lüfters zu tun hat?

Zitat:

Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss.

Hab mich verlesen.

Spybot ist trotzdem kontraproduktiv.

Sehr gut!

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ein erneuter Scan heute morgen hat das Teil bzgl. Firefox nicht mehr gezeigt:

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 15.11.2012 01:11:49

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	15.11.2012 07:44:25

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8) 	gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class 	gefunden: Exploit.Java.CVE-2012-0507.BB (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class 	gefunden: Exploit.Java.CVE-2012-1723.N (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class 	gefunden: Exploit.Java.CVE-2012-1723.M (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8) 	gefunden: Gen:Variant.Symmi.4661 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8) 	gefunden: Trojan.Generic.7701155 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8) 	gefunden: Trojan.Script.477458 (B)

Gescannt	784680
Gefunden	25

Scan Ende:	15.11.2012 10:33:31
Scan Zeit:	2:49:06
         

Werde dann anschließend mit dem nächsten Schritt weitermachen. Der Lüfter läuft dauerhaft auf Anschlag...

Spybot habe ich deinstalliert. Hier der Log von Eset

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=36882
esets_scanner_update returned -1 esets_gle=12
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=af664bed2236a54c8d241b7b53a7075e
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-15 08:56:47
# local_time=2012-11-15 09:56:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 68750 104633498 0 0
# compatibility_mode=8192 67108863 100 0 31428 31428 0 0
# scanned=574286
# found=4
# cleaned=4
# scan_time=9360
C:\Users\Strauss\Desktop\Alte Firefox-Daten\user.js	JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Users\Strauss\Downloads\OptimizerPro.exe	a variant of Win32/SpeedingUpMyPC application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\3dc84d3c-330a7ee9	multiple threats (deleted - quarantined)	00000000000000000000000000000000	C
E:\Alte Firefox-Daten\user.js	JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
         

Zitat:

C:\Users\Strauss\Downloads\OptimizerPro.exe

Finger weg von solchem Dreck.

Bitte mal ausfuehren:
http://www.trojaner-board.de/72874-s...eparieren.html

Danach:
- neustarten

Laeuft der Luefter immer noch?

Diese .exe kenn ich nicht. Ich nehme an, das Tool hat sie entfernt weil sie in dem Ordner nicht mehr zu finden ist?

Starte mal die Systemsuche und melde mich dann wieder.

Lüfter läuft noch wie ein Großer.

Sag bescheid, was der Scan ergeben hat.

Welcher Prozess verursacht soviel Last?

Einige Systemdateien sind fehlerhaft. Es kam aber keine Aufforderung die in der Anleitung angesprochene DVD einzulegen.

Ich hab eine Auslastung von 0 % und 3 on 8 Gib Arbeitsspeicher sind belegt. Es läuft nichts, was ansatzweise so viel Leistung ziehen könnte, dass der Lüfter Vollgas gibt. Der schaltet sich normalerweise nur so krass zu, wenn ich irgendwelche Berechnungen laufen lasse.