Moin,
ich hatte folgende Trojaner und ähnliches Zeugs auf meinem Rechner.
Begonnen hat als mit einer Meldung wie Festplatte oder Sektor defekt, dann startet das Programm 'Windows 7 Recovery', Hammer.

Trojaner und Viren habe ich mit Hilfe Avira und Malwarebytes entfernen können, hier die Liste der Viren:
C:\ProgramData\SkMtEGuPVoS.exe ist das Trojanische Pferd TR/Kazy.26024.5
AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc

Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD

AppData\Local\Temp\Low\Adobe_Flash_Player.exe Ist das Trojanische Pferd TR/Kazy.25880.4
AppData\Local\Temp\Low\R66v.exe Ist das Trojanische Pferd TR/Kazy.25880.4

Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Agent.IY
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.S
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.V
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.X
Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y

AppData\Local\Temp\Low\Adobe_Flash_Player.exe' Ist das Trojanische Pferd
TR/Dldr.Dapato.eu.1


Avira hat entfernt:

Beginne mit der Suche in 'C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe'
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Dapato.eu.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abc03f6.qua' verschoben!

Beginne mit der Desinfektion:
C:\Users\xxxx\AppData\Local\Temp\Low\Recycle.Bin\Recycle.Bin.exe
[FUND] Ist das Trojanische Pferd TR/Jorik.SpyEyes.nc
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b101a7a.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\47b9d066-7d4eb6ee
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '538435af.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\3bd8d795-7de7a4f1
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01d96f3a.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\R66v.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '67982084.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\Low\Adobe_Flash_Player.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.25880.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22670dc8.qua' verschoben!
C:\Users\xxx\AppData\Local\Temp\jar_cache6565206885944589810.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d433fa4.qua' verschoben!

Beginne mit der Desinfektion:
C:\ProgramData\SkMtEGuPVoS.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.26024.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a075981.qua' verschoben!


Malwarebytes hatte folgendes Endergebnis:
c:\programdata\32104184.exe (Trojan.FakeMS) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE3B.exe (Trojan.Agent) -> No action taken.
c:\Users\xxyxx\AppData\Local\Temp\EE5B.dll (Trojan.Agent) -> No action taken.
c:\Users\xxxx\AppData\Local\Temp\Low\tmpECB5.tmp (Trojan.FakeMS) -> No action taken.



Aber der PC verhält nun noch ungewöhnlich, nach Neustart und Anmelden (nicht als Admin) gibt es schon zwei IE Prozesse, bei google Suche wird auf teilweise andere Suchseiten wir searchmirror weitergeleitet, der ie scheint sich zu verschlucken läuft dann aber weiter, der flashplayer gibt keine Ton mehr von sich (Systemtöne funken, mediaplayer ist auch mit Ton), zwischendurch hatte der IExplorer nach Start in Adressleiste 'aboutSecurity' stehen, Wunsche habe ich ausgeführt, Meldung kommt nicht mehr.

Malwarebytes (ist erst seit 2 Tagen aktiviert) hat diese Logeinträge:
10:10:41 xxxxx IP-BLOCK 208.87.32.68 (Type: outgoing, Port: 51348, Process: iexplore.exe)
10:11:45 xxxx IP-BLOCK 94.63.149.95 (Type: outgoing, Port: 51366, Process: services.exe)
23:12:14 xxxx IP-BLOCK 208.73.210.29 (Type: outgoing, Port: 49977, Process: iexplore.exe)


Was muss ich tun?
Gruß, Stefan

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis.

Hallo M-K-D-B,
danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' kümmerst.

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Das ist der Inhalt von :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:10 on 12/06/2011 (xxxxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Gruß, Stefan

Hallo Stefan,

Zitat:

Zitat von sbie

danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' kümmerst.

Es sind ja Ferien.

Zitat:

Zitat von sbie

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Ja, geht in Ordnung. Einfach weitermachen.
Danke schon mal für das erste Logfile.

Hallo M-K-D-B,
ja, Ferien, ich hab nur Pfingstfrei ...
hier die nächsten Logfiles, siehe Anhang.
Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...
Gruß, Stefan

Hallo Stefan,





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Dein Nachbar hat dir bereits geholfen:
  
  Zitat:

  Zitat von sbie

  Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...

  Warum hast du das nicht erwähnt?
• Warum wurde ComboFix ausgeführt?
  Bitte lesen: ComboFix
• Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.
• Welche Tools wurden neben ComboFix und OTL noch eingesetzt?
• Gibt es sonst noch etwas, was ich wissen sollte?
• Welche Probleme hast du derzeit noch mit deinem Rechner?
• Wann hast du dich mit Windows 7 Recovery infiziert?

Dein Rechner ist immer noch mit Malware infiziert.

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• alle Logfiles von MBAM,
• das Logfile von ComboFix,
• die Beantwortung der gestellten Fragen und
• alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.