Hallo Stefan,





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Dein Nachbar hat dir bereits geholfen:
  
  Zitat:

  Zitat von sbie

  Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...

  Warum hast du das nicht erwähnt?
• Warum wurde ComboFix ausgeführt?
  Bitte lesen: ComboFix
• Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.
• Welche Tools wurden neben ComboFix und OTL noch eingesetzt?
• Gibt es sonst noch etwas, was ich wissen sollte?
• Welche Probleme hast du derzeit noch mit deinem Rechner?
• Wann hast du dich mit Windows 7 Recovery infiziert?

Dein Rechner ist immer noch mit Malware infiziert.

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• alle Logfiles von MBAM,
• das Logfile von ComboFix,
• die Beantwortung der gestellten Fragen und
• alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Hallo M-K-D-B,
erst einmal vielen Dank das Du immer noch an der Tastaur 'klebst', ohne deine Hilfe wären viele ohne Hilfe.
Weiss auch nicht ganz genau was alle bisher lief, ich versuche alle Fragen zu beantworten, hoffentlich bekomme ich das mit den Zitaten usw hin.. und lade alle hoch..

Zitat:

Zitat von M-K-D-B

Hallo Stefan,
Dein Nachbar hat dir bereits geholfen:
Warum hast du das nicht erwähnt?

Als oberflächlich alle Viren verschwanden war ich sehr froh, wer die nun erledigt hat und wie ...... Große Entschuldigung der Nichterwähnung

Zitat:

Zitat von M-K-D-B

Warum wurde ComboFix ausgeführt?

Ich sach nur Nachbar :-), Logfile kommt...

Zitat:

Zitat von M-K-D-B

Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.

Genau da war es, siehe Anhang.

Zitat:

Zitat von M-K-D-B

Welche Tools wurden neben ComboFix und OTL noch eingesetzt?

Sowas wie unhide , nachdem ''Windows 7 Recovery' und alles gelöscht schien, lies ich meine Hände von der Tastastur und (Viertel)Profis an den PC (Er ist aber trotzdem noch mein guter Nachbar, aber nach Diktat verreist)

Zitat:

Zitat von M-K-D-B

Gibt es sonst noch etwas, was ich wissen sollte?

Das fällt mir doch immer erst später ein.... :-(
IE 9 wurde am am 9. auf IE 8 'runtergelevelt', da ohne youtube Ton
Nachdem ich Extras.txt nicht gefunden habe, habe ich otl nachmal laufen lassen, also nochmal nach gmer
Malwarebytes (wer hat das eigentlich gestartet) bringt Fehler wie Failed to perform desired action, Error 2 oder 5

Zitat:

Zitat von M-K-D-B

Welche Probleme hast du derzeit noch mit deinem Rechner?

Meine Tochter sagt 'facebook' wurde plötzlich geschlossen.
Dort kann sie auch nicht mehr diese komischen Spiele ausführen da der IE immer neu lädt oder neu startet..
Teilweise verlinkung auf Werbe oder andere Suchseiten.., extrem langsame Suchzeit auf google, manchmal war google nach Suchaufruf erst relativ 'leer', flashplayer youtube ihne ton..

Zitat:

Zitat von M-K-D-B

Wann hast du dich mit Windows 7 Recovery infiziert?

Gesehen selbst habe ich es am 9.6.11, da war der Bock fett..

Zitat:

Zitat von M-K-D-B

Dein Rechner ist immer noch mit Malware infiziert.

Ich habs geahnt, aufregen nützt aber nichts.

Zitat:

Zitat von M-K-D-B

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.

Ich kann ich fast vorstellen wie es mit Ignoranten ;-)) zu arbeiten, aber das sind nun mal die Eigenheiten der Mensch.. von Mir..

Zitat:

Zitat von M-K-D-B

alle Logfiles von MBAM

Ich bin kein Freund der Windows 7 Suchfunktion, vorher konnte ich direkt im Explorer ... , siehe Anhang, eins habe ich gefunden mbam-log-2011-06-09 (21-31-31)
Ausschnitte aus den protection log hast du ja schon.

Zitat:

Zitat von M-K-D-B

das Logfile von ComboFix

Hochgeladen, das war einfach, war ja direkt auf C:

Zitat:

Zitat von M-K-D-B

die Beantwortung der gestellten Fragen und
alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Nach gutem und reinem Gewissen (hoffentlich nichts vergessen und kaum Schreibfehler)
Für den Stress lad ich Dich mal zum Bier ein.
Gruß Stefan

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Hallo Stefan,

Zitat:

Zitat von sbie

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Dafür gibt es die sogenannten Code-Boxen über dem Textfeld.
Das Symbol dafür sieht in etwas so aus: #




Schritt # 1: ComboFix.exe löschen
Lösche bitte die vorhandene Datei ComboFix.exe von deinem Desktop.





Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix.

Moin M-K-D-B,

bei Ausführung ComboFix erschien kein Fenster 'Rückfrage Wiederherstellungskonsole', das zweite auch nicht, dafür ist der IE (geöffnet um die Anweisungen zu lesen) sofort gestorben. Den AntiVir Guard habe ich deaktiviert.

Und hier das neu Logfile:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-12.04 - xxxxx 13.06.2011  14:56:24.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.2941.1890 [GMT 2:00]
ausgeführt von:: c:\users\xxxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-13 bis 2011-06-13  ))))))))))))))))))))))))))))))
.
.
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\x\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\xx\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\xxx\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\Gast\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-12 20:33 . 2011-06-12 20:33	--------	d-----w-	c:\users\xxxx\AppData\Roaming\ICQ
2011-06-11 21:00 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-11 17:24 . 2011-06-11 17:24	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-11 17:24 . 2011-06-11 17:29	--------	d-----w-	c:\programdata\NOS
2011-06-11 17:24 . 2011-06-11 17:24	--------	d-----w-	c:\program files\NOS
2011-06-11 13:12 . 2011-06-11 13:43	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2011-06-11 13:12 . 2011-06-11 13:13	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-06-11 12:00 . 2011-06-11 12:00	112	----a-w-	c:\users\xxx\AppData\Roaming\srvblck2.tmp
2011-06-11 12:00 . 2011-06-11 12:00	--------	d-----w-	c:\users\xxx\AppData\Roaming\xmldm
2011-06-11 12:00 . 2011-06-11 12:00	--------	d-----w-	c:\users\xxx\AppData\Roaming\UAs
2011-06-11 11:48 . 2011-06-11 11:48	--------	d-----w-	c:\users\xxx\AppData\Roaming\kock
2011-06-10 20:48 . 2011-06-10 20:50	--------	d-----w-	c:\program files\ICQ6Toolbar
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\programdata\ICQ
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\users\xxxxx\AppData\Roaming\ICQ
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\program files\ICQ7.5
2011-06-10 11:54 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3DAA3D08-5939-4DFF-AF56-7ABF6257B3FB}\mpengine.dll
2011-06-10 04:43 . 2011-06-10 04:43	--------	d-----w-	c:\users\xx\AppData\Roaming\Malwarebytes
2011-06-09 19:58 . 2011-06-09 19:58	--------	d-----w-	c:\users\xxx\AppData\Roaming\Malwarebytes
2011-06-09 19:36 . 2011-06-09 19:36	--------	d-----w-	c:\users\xxxx\AppData\Roaming\Malwarebytes
2011-06-09 19:18 . 2011-06-09 19:18	--------	d-----w-	c:\users\xxxxx\AppData\Roaming\Malwarebytes
2011-06-09 19:18 . 2011-06-09 19:18	--------	d-----w-	c:\programdata\Malwarebytes
2011-06-09 19:18 . 2011-06-11 21:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-06-05 18:49 . 2011-06-05 18:49	--------	d-----w-	c:\users\xxx\AppData\Local\TVU Networks
2011-05-24 05:41 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-05-23 18:45 . 2011-05-23 18:45	--------	d-----w-	c:\users\x\AppData\Roaming\Avira
2011-05-20 15:47 . 2011-05-20 15:47	--------	d-----w-	c:\program files\Common Files\Plasmoo
2011-05-15 18:07 . 2011-05-15 18:07	--------	d-----w-	c:\users\xxx\AppData\Local\FreePDF_XP
2011-05-15 16:57 . 2011-05-15 16:57	--------	d-----w-	c:\users\xxx\AppData\Roaming\OpenOffice.org
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 18:25 . 2011-05-02 18:25	739840	----a-w-	c:\windows\system32\d2d1.dll
2011-05-02 18:25 . 2011-05-02 18:25	283648	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-05-02 18:25 . 2011-05-02 18:25	1619456	----a-w-	c:\windows\system32\WMVDECOD.DLL
2011-05-02 18:25 . 2011-05-02 18:25	135168	----a-w-	c:\windows\system32\XpsRasterService.dll
2011-05-02 18:25 . 2011-05-02 18:25	801792	----a-w-	c:\windows\system32\FntCache.dll
2011-05-02 18:25 . 2011-05-02 18:25	728448	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-05-02 18:25 . 2011-05-02 18:25	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-05-02 18:25 . 2011-05-02 18:25	3181568	----a-w-	c:\windows\system32\mf.dll
2011-05-02 18:25 . 2011-05-02 18:25	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-05-02 18:25 . 2011-05-02 18:25	218624	----a-w-	c:\windows\system32\d3d10_1core.dll
2011-05-02 18:25 . 2011-05-02 18:25	196608	----a-w-	c:\windows\system32\mfreadwrite.dll
2011-05-02 18:25 . 2011-05-02 18:25	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2011-05-02 18:25 . 2011-05-02 18:25	1495040	----a-w-	c:\windows\system32\ExplorerFrame.dll
2011-05-02 18:25 . 2011-05-02 18:25	1170944	----a-w-	c:\windows\system32\d3d10warp.dll
2011-05-02 18:25 . 2011-05-02 18:25	107520	----a-w-	c:\windows\system32\cdd.dll
2011-05-02 18:25 . 2011-05-02 18:25	1074176	----a-w-	c:\windows\system32\DWrite.dll
2011-04-20 17:15 . 2010-06-20 20:55	307200	----a-w-	c:\windows\system32\TubeFinder.exe
2011-04-09 06:13 . 2011-05-11 06:13	3957632	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 06:13	3901824	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-03-20 15:58 . 2010-09-15 18:56	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"Remote Control Editor"="c:\program files\Common Files\TerraTec\Remote\TTTvRc.exe" [2010-09-13 1695816]
"ICQ"="c:\program files\ICQ7.5\ICQ.exe" [2011-06-10 124216]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-04-06 8555040]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
c:\users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 136176]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 136176]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 NDNdisprot;NetDetect NDIS Driver;c:\windows\system32\DRIVERS\ndndisprot.sys [2008-01-01 21504]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 20992]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-09-22 579072]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-03-19 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-30 136360]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-11-05 230912]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 21:05]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 21:05]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.1.2
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-06-13  15:02:55
ComboFix-quarantined-files.txt  2011-06-13 13:02
.
Vor Suchlauf: 9 Verzeichnis(se), 561.738.043.392 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 561.982.484.480 Bytes frei
.
- - End Of File - - 2DF9835E67235713DD93A7FCB3D6913E
         

--- --- ---

Klappt wunderbar mit #
In dem Log habe ich den Admin auf 5x gestellt, die anderen 4 User von 1x bis 4x geändert.

Gruß, Stefan

Hallo Stefan,





Schritt # 1: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code: Alles auswählenAufklappen

ATTFilter

Folder::
%appdata%\xmldm
%appdata%\UAs
%appdata%\kock

File::
%appdata%\srvblck2.tmp
         

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 2: Malwarebytes' Anti-Malware deinstallieren
Downloade Dir bitte MBAM-clean.exe
und speichere die Datei auf dem Desktop

• Bitte deinstalliere Malwarebytes via Systemsteuerung --> Programme deinstallieren
• Starte den Rechner neu auf.
• Starte die mbam-clean.exe.
• Das Tool wird erneut einen Neustart verlangen. Dies bitte zulassen.

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix,
• das Logfile von MBAM und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B,
hier meine Rückmeldung.

im Anhang
1. ComboFix02.txt
2. mbam log
3. otl.txt
4. extras.txt

Zwischendurch kam die mbma Meldung
19:40:55 xxxx IP-BLOCK 64.120.141.163 (Type: outgoing, Port: 49364, Process: iexplore.exe)

Gruß, Stefan

Hallo sbie,






Schritt # 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
[2011.06.08 18:48:02 | 000,000,000 | ---D | C] -- %appdata%\Microsoft\Windows\Start Menu\Programs\Windows 7 Restore
[2011.06.08 18:48:20 | 000,000,637 | ---- | M] () -- %userprofile%\Desktop\Windows 7 Restore.lnk
[2011.06.08 18:48:20 | 000,000,160 | ---- | M] () -- C:\ProgramData\~32104184r
[2011.06.08 18:48:20 | 000,000,144 | ---- | M] () -- C:\ProgramData\~32104184
[2011.06.08 18:48:00 | 000,000,336 | ---- | M] () -- C:\ProgramData\32104184

:files
%appdata%\srvblck2.tmp
%appdata%\xmldm
%appdata%\UAs
%appdata%\kock

:commands
[emptytemp]
         

• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition

• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt # 3: Systemscan mit OTL

• Starte bitte OTL.exe und drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix,
• das Logfile von SAS und
• das neue Logfile von OTL (OTL.txt).