Hallo allerseits,

ich hatte gestern ein sehr dubioses Vorkommnis auf meinem Laptop und wäre für jeden Rat sehr dankbar!

Zu meinem Laptop:

• Windows Vista Home Premium
• Version 6.0.6001 Service Pack 1 Build 6001
• 32 Bit (X86-basierter PC)
• Virenschutz: kostenlose Avira-Version sowie die Windows Firewall
• Sonstiges: Es gibt auf dem Laptop 2 Benutzerkonten. Fürs Internet wird ausschließlich ein Besucherkonto verwendet, nicht das Administatorkonto.

Zunächst einmal ein vielleicht damit zusammenhängendes, seltsames Vorkommnis von vorgestern: Beim Hochfahren behauptete der Laptop, dass Windows beim letzten Verwenden aufgrund eines BlueScreens nicht ordnungsgemäß heruntergefahren werden konnte. Besagten Bluescreen hab ich aber nie zu Gesicht bekommen...


Der Vorfall: Nun also zu gestern: Ich war gerade im Internet unterwegs (auf NeoGAF), als sich plötzlich in der Mitte meines Bildschirms ein graues Rechteck bildete, das schließlich den ganzen Bildschirm belegte. Schließlich sah man irgendein US-Behördenlogo (bin gerade in den USA) mit Text darunter. Da ich gleich an einen Trojaner gedacht hab, hab ich das ganze nur panisch übeflogen. Erinnern kann ich mich nur noch an folgendes:

• Text, der mir vorwarf, Copyright Infringement begangen zu haben
• Unten auf der Seite ein Feld mit dem Logo irgendeines Zahlungstransaktionsanbieters

Außerdem bin ich ziemlich sicher, dass es KEIN Feld bezüglich Webcam-Recordings o.ä. gegeben hätte (wobei ich aber auch gar keine Webcam habe).

Habe selbst ein wenig im Internet recherchiert und diese Seite gefunden:
hxxp://botcrawl.com/how-to-remove-the-fbi-moneypak-ransomware-virus-fake-fbi-malware-removal/

An der dort vorgeschlagenen manuellen Problemlösung habe ich mich versucht, aber obwohl ich versteckte Ordner anzeigen ließ konnte ich keine einzige der dort erwähnten Dateien finden.

Die Screenshots im obigen Link sehen aber definitiv anders aus als das, was ich zu Gesicht bekam.

Nach dem Vorfall / mein bisheriges Vorgehen:

1. Das graue Fenster (weiß nicht, ob es ein IE-Fenster oder etwas anderes war) ließ sich problemlos schließen, es hatte ein rot unterlegtes "X" rechts oben in der Ecke gegeben
2. Habe dann den PC heruntergefahren, was scheinbar nicht ganz geklappt hat
3. Neustart im abgesicherten Modus als Benutzer (der Account, der betroffen ist), alles hat funktioniert
4. Neustart im regulären Modus als Benutzer (ebenfalls der betroffene Account), vollständige Prüfung mit Avira (kein Fund) und Windows Defender (kein Fund)
5. Im abgesicherten Modus als Administator Malwarebytes installiert und vollständigen Scan durchgeführt (kein Fund)
6. Im abgesicherten Modus als Administator Norton Internet Security heruntergeladen und vollständigen Scan durchgeführt (kein Fund)

Hier mal noch die Logfiles:
Avira

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 21. Oktober 2012  16:38

Es wird nach 4362953 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 1)  [6.0.6001]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : LAPTOP

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes   1/25/2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes   6/28/2011 19:17:42
AVSCAN.DLL     : 10.0.5.0       57192 Bytes   6/28/2011 19:17:42
LUKE.DLL       : 10.3.0.5       45416 Bytes   6/28/2011 19:17:43
LUKERES.DLL    : 10.0.0.0       13672 Bytes   1/14/2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes   6/28/2011 19:17:43
AVREG.DLL      : 10.3.0.9       88833 Bytes   7/16/2011 07:40:26
VBASE000.VDF   : 7.10.0.0    19875328 Bytes   11/6/2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  12/14/2010 16:23:01
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  12/20/2011 08:22:47
VBASE003.VDF   : 7.11.21.238  4472832 Bytes    2/1/2012 13:28:23
VBASE004.VDF   : 7.11.26.44   4329472 Bytes   3/28/2012 20:02:13
VBASE005.VDF   : 7.11.34.116  4034048 Bytes   6/29/2012 20:53:06
VBASE006.VDF   : 7.11.41.250  4902400 Bytes    9/6/2012 13:58:25
VBASE007.VDF   : 7.11.45.207  2363904 Bytes  10/11/2012 13:14:19
VBASE008.VDF   : 7.11.45.208     2048 Bytes  10/11/2012 13:14:19
VBASE009.VDF   : 7.11.45.209     2048 Bytes  10/11/2012 13:14:19
VBASE010.VDF   : 7.11.45.210     2048 Bytes  10/11/2012 13:14:20
VBASE011.VDF   : 7.11.45.211     2048 Bytes  10/11/2012 13:14:20
VBASE012.VDF   : 7.11.45.212     2048 Bytes  10/11/2012 13:14:20
VBASE013.VDF   : 7.11.45.213     2048 Bytes  10/11/2012 13:14:21
VBASE014.VDF   : 7.11.46.65    220160 Bytes  10/16/2012 00:56:26
VBASE015.VDF   : 7.11.46.66      2048 Bytes  10/16/2012 00:56:27
VBASE016.VDF   : 7.11.46.67      2048 Bytes  10/16/2012 00:56:27
VBASE017.VDF   : 7.11.46.68      2048 Bytes  10/16/2012 00:56:27
VBASE018.VDF   : 7.11.46.69      2048 Bytes  10/16/2012 00:56:27
VBASE019.VDF   : 7.11.46.70      2048 Bytes  10/16/2012 00:56:27
VBASE020.VDF   : 7.11.46.71      2048 Bytes  10/16/2012 00:56:27
VBASE021.VDF   : 7.11.46.72      2048 Bytes  10/16/2012 00:56:27
VBASE022.VDF   : 7.11.46.73      2048 Bytes  10/16/2012 00:56:27
VBASE023.VDF   : 7.11.46.74      2048 Bytes  10/16/2012 00:56:27
VBASE024.VDF   : 7.11.46.75      2048 Bytes  10/16/2012 00:56:28
VBASE025.VDF   : 7.11.46.76      2048 Bytes  10/16/2012 00:56:28
VBASE026.VDF   : 7.11.46.77      2048 Bytes  10/16/2012 00:56:28
VBASE027.VDF   : 7.11.46.78      2048 Bytes  10/16/2012 00:56:28
VBASE028.VDF   : 7.11.46.79      2048 Bytes  10/16/2012 00:56:28
VBASE029.VDF   : 7.11.46.80      2048 Bytes  10/16/2012 00:56:28
VBASE030.VDF   : 7.11.46.81      2048 Bytes  10/16/2012 00:56:28
VBASE031.VDF   : 7.11.46.146   131584 Bytes  10/17/2012 00:56:29
Engineversion  : 8.2.10.184
AEVDF.DLL      : 8.1.2.10      102772 Bytes   7/12/2012 22:35:25
AESCRIPT.DLL   : 8.1.4.60      463227 Bytes   10/5/2012 20:53:31
AESCN.DLL      : 8.1.9.2       131444 Bytes   10/5/2012 20:53:31
AESBX.DLL      : 8.2.5.12      606578 Bytes   6/19/2012 18:04:56
AERDL.DLL      : 8.1.9.15      639348 Bytes   9/12/2011 12:05:17
AEPACK.DLL     : 8.3.0.38      811382 Bytes   10/5/2012 20:53:30
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes   10/5/2012 20:53:29
AEHEUR.DLL     : 8.1.4.118    5423480 Bytes  10/14/2012 13:14:42
AEHELP.DLL     : 8.1.25.2      258423 Bytes  10/14/2012 13:14:31
AEGEN.DLL      : 8.1.5.38      434548 Bytes   10/5/2012 20:53:20
AEEXP.DLL      : 8.2.0.6       115060 Bytes  10/14/2012 13:14:42
AEEMU.DLL      : 8.1.3.2       393587 Bytes   7/12/2012 22:35:12
AECORE.DLL     : 8.1.28.2      201079 Bytes   10/5/2012 20:53:20
AEBB.DLL       : 8.1.1.0        53618 Bytes   4/24/2010 14:16:19
AVWINLL.DLL    : 10.0.0.0       19304 Bytes   3/28/2011 14:14:57
AVPREF.DLL     : 10.0.3.2       44904 Bytes   6/28/2011 19:17:42
AVREP.DLL      : 10.0.0.10     174120 Bytes   6/10/2011 10:16:55
AVARKT.DLL     : 10.0.26.1     255336 Bytes   6/28/2011 19:17:42
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes   6/28/2011 19:17:42
SQLITE3.DLL    : 3.6.19.0      355688 Bytes   6/17/2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes   3/28/2011 14:14:57
NETNT.DLL      : 10.0.0.0       11624 Bytes   3/28/2011 14:15:04
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes   6/28/2011 19:17:41
RCTEXT.DLL     : 10.0.64.0      98664 Bytes   6/28/2011 19:17:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 21. Oktober 2012  16:38

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ENMTRAY.EXE' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Communications_Helper.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSLoader.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '176' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSer.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2029' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Sonntag, 21. Oktober 2012  18:52
Benötigte Zeit:  2:13:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  25621 Verzeichnisse wurden überprüft
 568062 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 568062 Dateien ohne Befall
   3244 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 652964 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

Malwarebytes Quickscan

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.22.06

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19328
[Name entfernt] :: LAPTOP [Administrator]

Schutz: Aktiviert

10/22/2012 7:42:02 PM
mbam-log-2012-10-22 (19-42-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 252244
Laufzeit: 46 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Malwarebytes (vollständiger Scan) und Norton (vollständiger Scan) kann ich seltsamerweise nicht finden. Vieleicht weil ich beide im abgesicherten Modus ausgeführt habe? Ich erinnere mich jedoch noch, dass beide keine Funde hatten. Malwarebytes hatte ca. 400.000 Daten durchsucht, Notron knapp 800.000.

Zum Schluss noch zwei vielleicht etwas blöde Fragen:

1. Könnte das evtl. statt eines Trojaners auch einfach nur ein Pop-Up gewesen sein?
2. Angenommen ich habe einen Trojaner auf dem Laptop: Kann ich dann gefahrlos einen anderen Laptop an Internetkabel und Router anschließen oder wird der andere Laptop dann auch infiziert? Und wie sieht es mit USB-Maus und Tastatur des betroffenen Laptops aus?

Herzlichen Dank für eure Hilfe!

hi
wieso nur sp1, servicepack 2 gibts schon seit langem.
deinstaliere norton wieder.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo markusg,

vielen Dank für deine Antwort!

Inzwischen ist die Situation eine etwas andere:
Zwar konnten Norton und Malwarebytes beim vollständigen Scan (im normalen, nicht im abgesicherten Modus) nichts finden, Norton Auto Protect hat jedoch ein trojanisches Pferd gefunden und in Quarantäne verschoben.

Norton bezeichnet es lediglich als "Trojan Horse".

Hier mal die Details:

File Actions:
73487397hel[1]jpg., das sich in die Temporary Internet Files des Besucherkontos eingeschlichen hatte, wurde entfernt und in Quarantäne verschoben.

Registry Actions:
HKEY_USERS\S-1-5-21-3573858955-714797138-1008185153-1004\Software\Microsoft\Windows\CurrentVersion\Run->svñhîst
wurde von Norton entfernt.

Inzwischen erinnere ich mich auch, dass mir, als das Bild auftauchte, plötzlich unter "zuletzt verwendet" eben dieses jpg angezeigt wurde. Außerdem hatte sich ein neues Fenster geöffnet, laut dem ich eben dieses jpg nicht löschen könne.

Soll ich trotz des Trojaners in der Quarantäne Norton löschen?
Vielen Dank für deine Hilfe!

ja.
weiter mit otl bitte.