ich würde emsisoft nutzen.
und, bei k:
so gut wie nicht heißt du nutzt sie, nutzen solltest du sie nicht, denn du weist nicht, was evtl. vorhandene trojaner dort tun können, spam versand ddos angriffe auf fremde websites, kurz gesagt straftaten.
deinstaliere mal dein av. neustart und hohl dir emsisoft.
Emsisoft Anti-Malware für besten Schutz - Gratis Entfernen von Viren, Bots, Spyware, Keylogger, Trojaner und Rootkits
geh jetzt zu 30 tage testen.
und teste das programm, wenn du damit auskommst, geb ich dir nen link zu ner 50 % rabatt aktion die wir an nem andern forum gestartet haben.
wird also nen günstiger einkauf.
weiter gehts:

lade den CCleaner standard:
CCleaner - Standard
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ein wenig verspätet kommt die liste, musste mein netzwerk (karte) nach ner spontanen lan-party reparieren...sry!

habe die liste erweitert mit: unsicher = bekannt, aber länger nicht gebraucht, unter umständen aber notwendig.

emisoft gefällt eigentlich ganz gut, auch komm ich damit recht gut zurecht...
gibt's die aktion etwa noch?

Hallo Michael,



ich übernehme hier für markusg.


Bist du weiterhin an einer Bereinigung interessiert?
Wie läuft dein Rechner derzeit?
Gibt es Probleme? Wenn ja, beschreibe diese bitte so gut es geht.

hallo!
vielen dank erstmal für die übernahme!
natürlich bin ic interessiert daran...hast du dir die install.txt angeschaut?

mit dem programm Anti-Malware von emisoft komme ich recht gut klar und ich hab vor, es zu erwerben. hast du eventuell auch den link von dem markusg sprach?

der rechner läuft im moment ganz gut, hin und wieder gibt es jedoch javascript errors ("null-error"), die aber keine bedeutung haben...im moment läuft sonst noch alles nach plan...

ist denn noch ein virus drauf auf der ehemaligen infizierten festplatte oder net?

Hallo w3sp,




Wenn ich das hier richtig verstehe, hast du zwei Festplatten mit jeweils einer Windows-Installation:

Eine mit den Laufwerken C, D, G und H
und
eine zweite mit dem Laufwerk K:



Wir können uns für jedes aufgemachte Thema nur um eine Festplatte mit Windows-Installation kümmern (sonst wird das alles zu unübersichtlich).

Zitat:

Zitat von w3sp

natürlich bin ic interessiert daran...hast du dir die install.txt angeschaut?

Ich benötige neue Logfiles, da die zuletzt geposteten Informationen zu lange zurück liegen.

Zitat:

Zitat von w3sp

mit dem programm Anti-Malware von emisoft komme ich recht gut klar und ich hab vor, es zu erwerben. hast du eventuell auch den link von dem markusg sprach?

Tut mir Leid, ich habe keinen Link zu einer Rabattaktion. Ich empfehle grundsätzlich nur kostenlose Virenscanner hier auf Trojaner Board. Bitte gib mir Bescheid, ob du weiter bei Emsisoft bleiben oder auf zu einem kostenlosen Produkt wechseln möchtest.

Zitat:

Zitat von w3sp

ist denn noch ein virus drauf auf der ehemaligen infizierten festplatte oder net?

Diese Frage kann ich dir ohne Logfiles nicht beantworten.



Also, wir untersuchen nun die 1. Festplatte mit den Laufwerken C, D, G und H:





Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.





Schritt # 1: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 2: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 3: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
ctfmon.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von Defogger,
• das Logfile von GMER und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

wie meinst du das bei GMER mit "Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)".
welche festplatten soll ich scannen, die c d g h?

markusg meinte ich muss k: formatieren wegen dem backdoor...deshalb kann ich da ja nen anderen thread öffnen!

Hallo w3sp,

Zitat:

Zitat von w3sp

wie meinst du das bei GMER mit "Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)".
welche festplatten soll ich scannen, die c d g h?

Steht alles in der Anleitung. Systemplatte (bei dir C:\) muss angehakt sein, alle anderen sollen nicht angehakt sein.

Zitat:

Zitat von w3sp

markusg meinte ich muss k: formatieren wegen dem backdoor...deshalb kann ich da ja nen anderen thread öffnen!

Am besten, wenn wir hier fertig sind.

Hallo w3sp,


aufgrund privater Feierlichkeiten bin ich voraussichtlich ab Sonntag Nachmittag wieder online.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

hier sind die dateien!

Auf Wunsch des Users wird das Thema weiter bearbeitet.




Hallo w3sp,

Zitat:

Zitat von w3sp

hier sind die dateien!

In Zukunft bitte alle Logfiles mithilfe von Code-Boxen direkt mit deiner nächsten Antwort einfügen. Anhänge bedeuten nur zusätzliche Arbeit für mich.

Zitat:

"{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4

Woher stammt dein Adobe CS4?

Zitat:

DRV - [2011.07.02 21:13:42 | 000,039,000 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\HookCentre.sys -- (HookCentre)
DRV - [2011.07.02 21:13:41 | 000,074,456 | ---- | M] (G Data Software AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\MiniIcpt.sys -- (GDMnIcpt)

Du hattest vor kurzem G-DATA installiert. Ich nehme an, dass du es mittlerweile wieder deinstalliert hast, oder?

Zitat:

FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 8118

Hast du diesen Proxy-Server für Firefox eingestellt? Kennst du ihn?

Zitat:

defogger_enable by jpshortstuff (23.02.10.1)
Log created at 19:39 on 29/07/2011 (Michael Raible)

Parsing file...
HKCUAEMON Tools Lite -> Value set successfully
SPTD -> Enabled (0)

Es macht wenig Sinn, wenn du erst notwendige Treiber mit Defogger deaktivierst und dann wieder aktivierst. Das bedeutet nur mehr Arbeit und bringt uns nicht wirklich voran.





Schritt # 1: Registry Cleaner
Ich sehe, dass Du sogenannte Registry Cleaner am System hast.
In deinem Fall CCleaner und TuneUp Utilities 2009.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.





Schritt # 2: FileSharing Programme
Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall eMule und µTorrent.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.





Schritt # 3: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
• Suche in der Liste Software mit dem folgenden Namen
  • Mirar
  • Facemoods Toolbar
  • Ask Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 5: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• eine Rückmeldung bezüglich aller geforderten Deinstallationen,
• das Logfile von Defogger und
• das Logfile von aswMBR.

mirar finde ich in software, aber wenn ich auf ändern/entfernen klicke, downloadet er eine uninstaller.exe
diese gehört zu mirar, ist ungefährlich (antivir war eingeschaltet), aber findet keine mirar dateien...

und der scan soll schon ein quickscan sein oder?
das ist die voreinstellung nach AVScan:

Hallo w3sp,

Zitat:

Zitat von w3sp

und der scan soll schon ein quickscan sein oder?

Standardmäßig sollte bei aswMBR ein Quick-Scan ausgewählt sein, ja.

Du sollst an den Einstellungen nichts verändern, sondern nur das tun, was in der Anleitung steht.

Hallo,
in dem Fall vielen Dank!

@ Fragen:

1) Ich bin ein grafikdesigner, somit gehört Adobe CS4 zu meinem standart-equipment, ich habe es einst von amazon gekauft

2) G-Data hatte ich installiert, jedoch, weil es abgelaufen ist, wieder aus der software-liste deinstalliert.

3) der proxy ist korrekt, ich kenn ihn, er steht in meinen firefox einstellungen. allerdings ist er im moment deaktiviert...

4) das war wohl ein missverständnis. ich dachte, "nach der bereinigung" heißt nach den schritten in dem beitrag, die du mir geschildert hast. in dem fall lasse ich den treiber deaktiviert bis dieser thread abgeschlossen ist.


@ Deinstallationen:

Schritt #1:
- CCleaner habe ich nie benutzt, lediglich draufgehabt, es ist deinstalliert.
- TuneUp möchte ich behalten ich wegen seiner defragmentierungs-funktion und übersicht über systemeigenschaften.

Schritt #2:
- eMule war ebenfalls lediglich installiert, es hat nie funktioniert und ich hab es nie benutzt. es ist deinstalliert.
- utorrent brauch ich, falls ich mal größere sachen von chip.de herunterladen möchte, deshalb wollte ich es ebenfalls behalten.

Schritt #3:
- Die Ask Toolbar und Facemoods Toolbar ist deinstalliert.
- das mit mirar habe ich bereits geschildert: er downloadet einen uninstaller, der jedoch nach ausführung keine mirar dateien findet. wie kann ich die restlichen dateien löschen??

Schritt #4:
- Das defogger logfile poste ich nun mit dieser antwort.

Schritt #5:
- das gleiche gilt mit dem log von aswMBR

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-01 19:36:11
-----------------------------
19:36:11.234    OS Version: Windows 5.1.2600 Service Pack 3
19:36:11.234    Number of processors: 1 586 0x207
19:36:11.234    ComputerName: W3SP  UserName: 
19:36:11.468    Initialize success
19:38:18.265    AVAST engine defs: 11080100
19:38:51.875    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0
19:38:51.875    Disk 0 Vendor: WDC_WD50 05.0 Size: 476940MB BusType: 3
19:38:51.875    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0
19:38:51.875    Disk 1 Vendor: SAMSUNG_ TM10 Size: 152627MB BusType: 3
19:38:51.890    Disk 0 MBR read successfully
19:38:51.890    Disk 0 MBR scan
19:38:51.953    Disk 0 unknown MBR code
19:38:51.968    Disk 0 scanning sectors +976768065
19:38:52.015    Disk 0 scanning C:\WINDOWS\system32\drivers
19:39:10.515    Service scanning
19:39:12.515    Modules scanning
19:39:18.218    Disk 0 trace - called modules:
19:39:18.234    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll IdeChnDr.sys 
19:39:18.250    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8739a030]
19:39:18.250    3 CLASSPNP.SYS[f762ffd7] -> nt!IofCallDriver -> \Device\00000087[0x87380ca8]
19:39:18.250    5 ACPI.sys[f75a5620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0[0x87361030]
19:39:18.843    AVAST engine scan C:\WINDOWS
19:39:30.203    AVAST engine scan C:\WINDOWS\system32
19:42:31.218    AVAST engine scan C:\WINDOWS\system32\drivers
19:42:50.406    AVAST engine scan C:\Dokumente und Einstellungen\Michael Raible
19:50:52.781    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:55:21.828    Scan finished successfully
20:20:51.437    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Michael Raible\Desktop\MBR.dat"
20:20:51.453    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Michael Raible\Desktop\aswMBR.txt"
         

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:21 on 01/08/2011 (Michael Raible)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
         

grüße w3sp!