Hallo Computer-Cracks,

ich befürchte, dass ich mir zwei Trojaner eingefangen habe.
Wie weiß ich nicht, da ich mich daran erinnern kann, etwas herunter geladen zu haben.
Der Avira-Guard zeigte mir heute die beiden Trojaner TR/ATRAPS.Gen2 und TR/Sirefef.AG.35 an, ansonsten bemerke ich keine Einschränkungen.

Ich kann diese in Quarantäne schieben, aber scheinbar nicht löschen.

Ich habe einen alten Rechner mit Windows XP, SP 3.

Was soll/kann/darf ich nun tun?

WARNUNG: Ich habe von Computer-Software Null Ahnung.

Für Hilfe wäre ich SEHR SEHR dankbar.

Gruß
Heimelzwerg

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

4.
Rechtsklick auf den AntiVir-Schirm in der Taskleiste -> AntiVir starten -> Übersicht -> Ereignisse
jeden Fund markieren -> Rechtsklick auf Funde -> Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.
► auch wenn komplette Scanergebnis von Antivir vorliegt bzw spechert hast, bitte posten!

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles, die Du posten möchtest)[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
kira

Hallo,

zunächst einmal vielen Dank für die kurzfristig angebotene Unterstützung.
Anbei das Logfile

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.24.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: *** [Administrator]

24.05.2012 20:15:54
mbam-log-2012-05-24 (20-15-54).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 311285
Laufzeit: 1 Stunde(n), 37 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\n.) Gut: (%systemroot%\system32\wbem\wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\whoopi\Lokale Einstellungen\Anwendungsdaten\{25e64059-14e2-716c-025c-43734aac8f77}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\80000000.@ (Trojan.Sirefef) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Es wurden nun vier "Schädlinge" gefunden.

OTL lässt sich auf meinem Rechner nicht ausführen:
[highlight]OTL hat ein Problem festgestellt und muss beendet werden.
Die installierten Programme:

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	29.06.2011		11.2.202.235
Adobe Reader X (10.1.0) - Deutsch	Adobe Systems Incorporated	07.07.2011	119,9MB	10.1.0
Avance AC'97 Audio		29.06.2011		
Avira Free Antivirus	Avira	24.05.2012		12.0.0.1125
Avira SearchFree Toolbar plus Web Protection	Ask.com	24.05.2012	3,78MB	1.15.1.0
Avira SearchFree Toolbar plus Web Protection Updater	Ask.com	24.05.2012		1.2.1.22229
CCleaner	Piriform	23.05.2012		3.19
CorelDRAW 10_TV		24.05.2012		
ElsterFormular	Landesfinanzdirektion Thüringen	24.05.2012		13.1.1.8479p
EPSON-Drucker-Software		24.05.2012		
FreePDF (Remove only)		24.05.2012		
Google Earth	Google	01.01.2012	92,8MB	6.1.0.5001
GPL Ghostscript 8.71		24.05.2012		
HP Precisionscan Pro 3.1	Hewlett-Packard	07.07.2011	68,9MB	3.1.4.0000
IrfanView (remove only)	Irfan Skiljan	24.05.2012		4.30
Java(TM) 6 Update 29	Oracle	27.10.2011	91,1MB	6.0.290
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	24.05.2012		1.61.0.1400
Medion Flash XL				
Microsoft Office Basic Edition 2003	Microsoft Corporation	13.07.2011	285MB	11.0.5614.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	01.07.2011	10,2MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	22.03.2012	10,2MB	9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	24.05.2012	11,1MB	10.0.40219
Mozilla Firefox 12.0 (x86 de)	Mozilla	01.07.2011		12.0
Mozilla Maintenance Service	Mozilla	15.05.2012		12.0
NVIDIA Windows 2000/XP Display Drivers		24.05.2012		
RedMon - Redirection Port Monitor		24.05.2012		
SmartControl	Portrait Displays, Inc.	27.11.2011		2.00.021
VLC media player 1.1.11	VideoLAN	29.09.2011		1.1.11
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	29.06.2011		
Windows Internet Explorer 8	Microsoft Corporation	01.07.2011		20090308.140743
Windows XP Service Pack 3	Microsoft Corporation	01.07.2011		20080414.031514
         

Scans von Avira

Code: Alles auswählenAufklappen

ATTFilter

Exportierte Ereignisse:

24.05.2012 22:12 [System Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\whoopi\Lokale Einstellungen\Temporary 
      Internet Files\Content.IE5\U6598LO6\8[1].exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Sirefef.P.308' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7537d7.qua' 
      verschoben!

24.05.2012 20:53 [Echtzeit Scanner] Malware gefunden
      In der Datei 
      'C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\80000000.@'
      wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AG.35' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

24.05.2012 20:53 [Echtzeit Scanner] Malware gefunden
      In der Datei 
      'C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\800000cb.@'
      wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen2' [trojan] gefunden.
      Ausgeführte Aktion: Zugriff verweigern

24.05.2012 20:34 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\whoopi\Lokale 
      Einstellungen\Temporary Internet Files\Content.IE5\U6598LO6\8[1].exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.P.308' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

24.05.2012 20:34 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\whoopi\Lokale 
      Einstellungen\Temporary Internet Files\Content.IE5\U6598LO6\8[1].exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.P.308' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

24.05.2012 20:12 [Browser Schutz] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://hotelcheaptravel.org/"
      wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] 
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert
         

Ergebnis der beiden Komplettscans

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 24. Mai 2012  20:05

Es wird nach 3746664 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17     232200 Bytes  24.05.2012 18:04:05
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:22:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 23:31:36
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:58:50
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 10:43:53
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 18:03:21
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 18:03:22
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 18:03:22
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 18:03:22
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 18:03:22
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 18:03:22
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 18:03:22
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 18:03:23
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 18:03:23
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 18:03:26
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 18:03:28
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 18:03:31
VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 18:03:34
VBASE018.VDF   : 7.11.30.208     2048 Bytes  23.05.2012 18:03:35
VBASE019.VDF   : 7.11.30.209     2048 Bytes  23.05.2012 18:03:35
VBASE020.VDF   : 7.11.30.210     2048 Bytes  23.05.2012 18:03:35
VBASE021.VDF   : 7.11.30.211     2048 Bytes  23.05.2012 18:03:35
VBASE022.VDF   : 7.11.30.212     2048 Bytes  23.05.2012 18:03:35
VBASE023.VDF   : 7.11.30.213     2048 Bytes  23.05.2012 18:03:36
VBASE024.VDF   : 7.11.30.214     2048 Bytes  23.05.2012 18:03:36
VBASE025.VDF   : 7.11.30.215     2048 Bytes  23.05.2012 18:03:36
VBASE026.VDF   : 7.11.30.216     2048 Bytes  23.05.2012 18:03:36
VBASE027.VDF   : 7.11.30.217     2048 Bytes  23.05.2012 18:03:36
VBASE028.VDF   : 7.11.30.218     2048 Bytes  23.05.2012 18:03:36
VBASE029.VDF   : 7.11.30.219     2048 Bytes  23.05.2012 18:03:36
VBASE030.VDF   : 7.11.30.220     2048 Bytes  23.05.2012 18:03:37
VBASE031.VDF   : 7.11.30.240    47616 Bytes  24.05.2012 18:03:38
Engineversion  : 8.2.10.68 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  06.02.2012 23:31:09
AESCRIPT.DLL   : 8.1.4.19      455034 Bytes  24.05.2012 18:04:03
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.5       606579 Bytes  26.04.2012 16:41:32
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.2.16.13     807287 Bytes  24.05.2012 18:04:00
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  26.04.2012 16:41:32
AEHEUR.DLL     : 8.1.4.28     4800886 Bytes  24.05.2012 18:03:55
AEHELP.DLL     : 8.1.21.0      254326 Bytes  24.05.2012 18:03:39
AEGEN.DLL      : 8.1.5.28      422260 Bytes  26.04.2012 16:41:31
AEEXP.DLL      : 8.1.0.40       82292 Bytes  24.05.2012 18:04:03
AEEMU.DLL      : 8.1.3.0       393589 Bytes  20.01.2012 23:21:29
AECORE.DLL     : 8.1.25.6      201078 Bytes  26.04.2012 16:41:31
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Kurze Systemprüfung nach Installation
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\setupprf.dat
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 24. Mai 2012  20:05

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipmGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdisrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1006' Dateien ).



Ende des Suchlaufs: Donnerstag, 24. Mai 2012  20:05
Benötigte Zeit: 00:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   1047 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   1047 Dateien ohne Befall
      2 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
         

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 23. Mai 2012  17:48

Es wird nach 3743229 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  07.07.2011 15:59:35
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  07.07.2011 15:59:35
LUKE.DLL       : 10.3.0.5       45416 Bytes  07.07.2011 15:59:36
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 12:22:40
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  07.07.2011 15:59:36
AVREG.DLL      : 10.3.0.9       88833 Bytes  13.07.2011 16:20:10
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 10:49:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:52:59
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:07:04
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 18:14:13
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 07:40:07
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 11:07:40
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 11:07:40
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 11:07:40
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 11:07:40
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 11:07:40
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 11:07:40
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 11:07:40
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 11:07:40
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 11:07:40
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 14:31:16
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 17:43:39
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 15:43:56
VBASE017.VDF   : 7.11.30.144     2048 Bytes  21.05.2012 15:43:59
VBASE018.VDF   : 7.11.30.145     2048 Bytes  21.05.2012 15:44:05
VBASE019.VDF   : 7.11.30.146     2048 Bytes  21.05.2012 15:44:18
VBASE020.VDF   : 7.11.30.147     2048 Bytes  21.05.2012 15:44:19
VBASE021.VDF   : 7.11.30.148     2048 Bytes  21.05.2012 15:44:19
VBASE022.VDF   : 7.11.30.149     2048 Bytes  21.05.2012 15:44:20
VBASE023.VDF   : 7.11.30.150     2048 Bytes  21.05.2012 15:44:20
VBASE024.VDF   : 7.11.30.151     2048 Bytes  21.05.2012 15:44:20
VBASE025.VDF   : 7.11.30.152     2048 Bytes  21.05.2012 15:44:21
VBASE026.VDF   : 7.11.30.153     2048 Bytes  21.05.2012 15:44:21
VBASE027.VDF   : 7.11.30.154     2048 Bytes  21.05.2012 15:44:22
VBASE028.VDF   : 7.11.30.155     2048 Bytes  21.05.2012 15:44:22
VBASE029.VDF   : 7.11.30.156     2048 Bytes  21.05.2012 15:44:22
VBASE030.VDF   : 7.11.30.157     2048 Bytes  21.05.2012 15:44:23
VBASE031.VDF   : 7.11.30.202   277504 Bytes  23.05.2012 15:44:47
Engineversion  : 8.2.10.68 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  25.10.2011 17:22:15
AESCRIPT.DLL   : 8.1.4.19      455034 Bytes  11.05.2012 11:07:58
AESCN.DLL      : 8.1.8.2       131444 Bytes  29.01.2012 17:55:19
AESBX.DLL      : 8.2.5.5       606579 Bytes  13.03.2012 17:20:01
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 05:08:19
AEPACK.DLL     : 8.2.16.13     807287 Bytes  11.05.2012 11:07:57
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  11.05.2012 11:07:54
AEHEUR.DLL     : 8.1.4.28     4800886 Bytes  17.05.2012 17:44:44
AEHELP.DLL     : 8.1.21.0      254326 Bytes  11.05.2012 11:07:45
AEGEN.DLL      : 8.1.5.28      422260 Bytes  11.05.2012 11:07:44
AEEXP.DLL      : 8.1.0.40       82292 Bytes  17.05.2012 17:44:46
AEEMU.DLL      : 8.1.3.0       393589 Bytes  21.04.2011 05:52:17
AECORE.DLL     : 8.1.25.6      201078 Bytes  15.03.2012 18:28:55
AEBB.DLL       : 8.1.1.0        53618 Bytes  21.04.2011 05:52:16
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  21.04.2011 05:52:39
AVPREF.DLL     : 10.0.3.2       44904 Bytes  07.07.2011 15:59:35
AVREP.DLL      : 10.0.0.10     174120 Bytes  07.07.2011 15:59:36
AVARKT.DLL     : 10.0.26.1     255336 Bytes  07.07.2011 15:59:35
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  07.07.2011 15:59:35
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:59:50
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  21.04.2011 05:52:38
NETNT.DLL      : 10.0.0.0       11624 Bytes  21.04.2011 05:52:50
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  07.07.2011 15:59:33
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  07.07.2011 15:59:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 23. Mai 2012  17:48

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'floater.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'HookManager.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTHtml.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'DitExp.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpctrl.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdisrvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '393' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.AG.35
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\WINDOWS\SoftwareDistribution\Download\135f556a3c3a0ab3e50bf1825305f902\BIT3.tmp
  [0] Archivtyp: CAB SFX (self extracting)
  --> _sfx_0004._p
      [WARNUNG]   Die Datei konnte nicht geschrieben werden!
  [WARNUNG]   Die Datei konnte nicht geschrieben werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\' <Samsung2>
Beginne mit der Suche in 'F:\' <Slave1>
Beginne mit der Suche in 'G:\' <RECOVER>

Beginne mit der Desinfektion:
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\800000cb.@
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44938520.qua' verschoben!
C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\80000000.@
  [FUND]      Ist das Trojanische Pferd TR/Sirefef.AG.35
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c04aa87.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 23. Mai 2012  19:42
Benötigte Zeit:  1:49:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10454 Verzeichnisse wurden überprüft
 504252 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 504250 Dateien ohne Befall
  13520 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
 255134 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

1.
Deinstalliere:

Zitat:

Avira SearchFree Toolbar plus Web Protection Ask.com
Avira SearchFree Toolbar plus Web Protection Updater

Info
Hinweise zum Einsatz von Freeware-Version Avira AntiVir Personal:
Hier klicken zum Weiterlesen:
-> http://www.chip.de/news/AntiVir-Serv..._45444953.html
► Wer möchte diese Adware auf seinen Rechner haben?!
Lieber ohne Webguard, als mit ein Adware...

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  mbr.exe -t > C:\mbr.log & C:\mbr.log
           

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

Hallo,

leider lassen sich

Avira SearchFree Toolbar plus Web Protection Ask.com
Avira SearchFree Toolbar plus Web Protection Updater

nicht deinstallieren.

Fehlermeldung ist, dass alle Internet Explorer Fenster geschlossen werden sollen, obwohl gar keine geöffnet sind.

Hier die logs:

Code: Alles auswählenAufklappen

ATTFilter

GMER Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-29 18:55:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 SAMSUNG_SP1654N rev.BV100-50
Running: lgg9nike.exe; Driver: C:\DOKUME~1\whoopi\LOKALE~1\Temp\uwrdiuob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C2306C                  ZwClose
SSDT            F7C23026                  ZwCreateKey
SSDT            F7C23076                  ZwCreateSection
SSDT            F7C2301C                  ZwCreateThread
SSDT            F7C2302B                  ZwDeleteKey
SSDT            F7C23035                  ZwDeleteValueKey
SSDT            F7C23067                  ZwDuplicateObject
SSDT            F7C2303A                  ZwLoadKey
SSDT            F7C23008                  ZwOpenProcess
SSDT            F7C2300D                  ZwOpenThread
SSDT            F7C2308F                  ZwQueryValueKey
SSDT            F7C23044                  ZwReplaceKey
SSDT            F7C23080                  ZwRequestWaitReplyPort
SSDT            F7C2303F                  ZwRestoreKey
SSDT            F7C2307B                  ZwSetContextThread
SSDT            F7C23085                  ZwSetSecurityObject
SSDT            F7C23030                  ZwSetValueKey
SSDT            F7C2308A                  ZwSystemDebugControl
SSDT            F7C23017                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
 
--- --- ---
         

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP1654N rev.BV100-50 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x82F6EAB8]
3 CLASSPNP[0xF758EFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000055[0x82F6AF18]
5 ACPI[0xF74E4620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x82F93D98]
kernel: MBR read successfully
user & kernel MBR OK
         

Software mit Revo Uninstaller deinstallieren

Downloade von Revo Group die Freeware-Version des Revo Uninstallers

• Doppelklick auf die revosetup.exe.
• Installiere das Tool in den vorgegebenen Pfad.
• Doppelklick auf das Icon Revo Uninstaller.
• Doppelklicke nacheinander folgende Software aus der Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  (reinschreiben was bei Dir unter Systemsteuerung-> Software/Programme steht)
  Avira SearchFree Toolbar plus Web Protection 
  Avira SearchFree Toolbar plus Web Protection Updater
           

• Bestätige die Deinstallation mit Ja.
• Belasse die Einstellung der Deinstallationsroutine auf Moderat und klicke auf weiter.
• Das Tool wird nun nach übrig gebliebenen Registry-Einträgen auf dem Rechner suchen. Klicke auf weiter.
• Klicke auf den Button Markiere alle, klicke auf löschen und weiter und bestätige mit Ja.
• Zum Schluss sucht das Tool evtl. noch nach übrig geblieben Dateien und Ordnern.
• Prüfe die Ordner und Dateien und klicke ggfs. auf den Button Markiere alle, klicke auf weiter und bestätige mit Ja.

Starte den Rechner neu.

Ist erledigt.
Avira sagt mir nun, dass der Browserschutz deaktiviert wurde und ich die Tollbar wieder installieren soll.
Ist mein Rechner trotzdem sicher?

Gruß
Heimelzwerg

Hallo,

auf meine letzten geposteten Logs habe ich leider noch kein Feedback erhalten.
Ich weiß, es ist Sommer und ihr habt bestimmt viel zu tun.
Ich wüsste nur gerne, ob mein PC nun virenfrei ist und ich wieder wie gewohnt arbeiten kann.
Welche Antiviren bzw. Trojanersoftware sollte ich mir installieren, um zukünftig solche Angriffe zu vermeiden?

Gruß
Heimelzwerg.

Obwohl Kaspersky nicht gefunden hat, Eset aber schon:

Zitat:

C:\WINDOWS\Installer\{25e64059-14e2-716c-025c-43734aac8f77}\U\800000cb.@ möglicherweise Variante von Win32/Agent.TEO Trojaner Gesäubert durch Löschen - in Quarantäne kopiert

nicht weniger als

Zitat:

win32.ZAccess

- das heißt, handelt es sich um ein schwer behandelbaren Problem

Da Du Online Banking betreibst:
Ich würde an Deiner Stelle das System gleich neu installieren und deine Bank verständigen, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!
- einen Backdoor mit Rootkitfunktionalität

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Zitat:

Erklärung:
Speicherresident nennt man Programme oder Programmteile, deren Daten während des Rechnerbetriebs nicht routinemässig auf Datenträger wie die Festplatte geschrieben und bei Bedarf wieder in den Arbeitsspeicher eingelesen werden, sondern die ganze Zeit im Arbeitsspeicher verbleiben.
Dazu gehören im Allgemeinen die für den Rechnerbetrieb zentralen und häufig durchgeführten Teile des Betriebsystems oder beim Programmablauf eines Anwendungsprogrammes ständig wiederkehrende Programmroutinen.
Einerseits verkürzen speicherresidente Programme die Zugriffszeiten, weil die für das Einlesen der Daten vom Datenträger in den Arbeitsspeicher benötigte Zeit entfällt. Andererseits verringern sie die verfügbare Kapazität des Arbeitsspeichers.
Speicherresident sind auch viele Viren, die dafür sorgen, dass das Betriebssytem sie die ganze Zeit im Arbeitsspeicher hält, von wo aus sie andere Programme infizieren können.

Tipps & Rat:

➊
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

➌
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)