Wieviel Adware ist denn da noch drauf?!
Hast du iwelche Software installiert nach JRT und adwCleaner?

Nur MBAM und den Eset-Online-Scanner.

Erscheint mir auch ein bisschen viel.

Ich hab für den Eset-Scan meine zwei USB-Sticks und meine externe Festplatte mit angeschlossen und durchsuchen lassen. Zudem habe ich bei den Optionen im Eset Häkchen gesetzt bei "Scan for potentially unwanted applications" und "Scan for potentially unsafe applications". War das vielleicht zu viel des Guten?

Weil wenn ich mir die Funde so ansehe:
- EaseUS Todo Backup ist ein Programm um Dateien zu sichern
- CDBurnerXP und FoxitReader sind eigentlich auch normale Programme
- die Ask-Toolbar lasse ich mir als "unwanted" eingehen
- ImgBurn kenn ich nicht, ist von einer Bekannten, hab ich aber nie ausgeführt die .exe
- Atube Catcher lass ich mir auch noch eingehen, ist das Malware-belastet?
- tb_free sollte ich kennen, hab aber momentan keine Ahnung was das ist
- Key8finderinstaller könnte auch belastet sein, sucht von einem installierten Windows den Key aus der Registry
- sweetimsetup.exe WinOFFSetup.exe free-wma-mp3-converter.exe P2PMaxDEaTube_aTube10280.exe registrybooster.exe und zlsSetup_70_483_000_en.exe sind alles alte Installationsdateien die ich auf diesem System noch nie ausgeführt habe
- Axcrypt hab ich von nem relativ PC-versierten Bekannten zum verschlüsseln von online geteilten Dateien mit sensiblen Inhalten

Wie gehts weiter?
Soll ich nochmal einen Scan ohne "potentially unwanted applications" laufen lassen?

Bitte JRT und adwCleaner neu runterladen, dann nochmal neu ausführen

Wie du hier schon beschrieben hast hab ich JRT und ADW-Cleaner nochmals heruntergeladen und neu installiert. Beim ADW-Cleaner bekam ich wieder eine Warnung von Sophos, das mich wieder nicht auf die Website zum Download lassen wollte.

Die Logs sehen beide sauber aus:
JRT:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.2.2 (07.22.2013:2)
OS: Windows 7 Professional x64
Ran by Stefan on 25.07.13 at 23:23:26,31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders



~~~ FireFox

Emptied folder: C:\Users\Stefan\AppData\Roaming\mozilla\firefox\profiles\w3p8t5fg.default\minidumps [3 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 25.07.13 at 23:28:40,79
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

ADW nach einmaligem Neustart:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.306 - Datei am 25/07/2013 um 23:40:20 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)
# Benutzer : Stefan - BRELLA-SEPP
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Stefan\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\Stefan\AppData\Roaming\Mozilla\Firefox\Profiles\w3p8t5fg.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\frcfezmz.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v28.0.1500.72

Datei : C:\Users\Stefan\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [338 octets] - [20/07/2013 10:11:33]
AdwCleaner[S2].txt - [5304 octets] - [20/07/2013 10:12:23]
AdwCleaner[S3].txt - [1129 octets] - [25/07/2013 23:40:20]

########## EOF - C:\AdwCleaner[S3].txt - [1189 octets] ##########
         

Ok, dann nochmal Tempfolder löschen mit TFC, dann sollten wir eigentlich so gut wie durch sein

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

TFC hat fast 5 GB gelöscht.
Ist das normal?

Wenn wir "so gut wie durch" sind:
Was war jetzt wirklich an Malware drauf? Nur der eine Registry-Wert den MBAR schon am Start ohne Suchlauf gefunden hat?
Was ist mit den Funden vom ESET-ONline-Scanner?

Ich hab doch erwähnt, dass die Funde in TEMP mit TFC geleert werden. Und wieviel in TEMP ist ist ja wohl bei jedem Rechner unterschiedlich. Wer sich kaum um das Löschen der TEMP-Pfade kümmert ist das schon üblich.
Den anderen Mist zB im Downloadordner mit Tool- und Adware Setups solltest du vllt mal selbst leeren, es macht absolut keinen Sinn derartige Setups von Freeware bis zum St. Nimmerleinstag aufzubewahren

Zitat:

Zitat von cosinus

Ich hab doch erwähnt, dass die Funde in TEMP mit TFC geleert werden.

Das hab ich so nicht verstanden, entschuldige.

Zitat:

Zitat von cosinus

Und wieviel in TEMP ist ist ja wohl bei jedem Rechner unterschiedlich. Wer sich kaum um das Löschen der TEMP-Pfade kümmert ist das schon üblich.

Das ist mir klar. Kannst du mir neben der Datenträgerbreinigung von Windows eine gute Möglichkeit nennen, wie man ordentlich regelmäßig die Temp-Pfade leeren kann?

Zitat:

Zitat von cosinus

Den anderen Mist zB im Downloadordner mit Tool- und Adware Setups solltest du vllt mal selbst leeren, es macht absolut keinen Sinn derartige Setups von Freeware bis zum St. Nimmerleinstag aufzubewahren

Leuchtet ein, werde ich machen.

Bin jetzt dann ab Dienstag eine Woche lang im Urlaub, daher möchte ich dir jetzt schon mal für die kompetente Hilfe danken! Du hast mir da echt gut weitergeholfen! Das werde ich auch in Form einer Spende für das Trojaner-Board honorieren.

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Danke für den Hosts-File-Tipp.

Bei Cookies akzeptiere ich eigentlich keine Drittanbietercookies (außer mit Chrome, da besuche ich aber zu 80 % nur Facebook). Im Firefox erlaube ich Cookies nur für meine regelmäßig besuchten Seiten (Trojanerboard, eBay) und da auch nur wenn es für die Funktion nötig ist (deswegen Chrome für Facebook).

Mein System sieht soweit gut aus, vielen Dank nochmal!

Dann wären wir durch!


Falls du noch Lob oder Kritik loswerden möchtest => Lob, Kritik und Wünsche - Trojaner-Board

Die Programme, die hier zum Einsatz kamen, können alle deinstalliert werden. (Tools wie zB FRST einfach per Rechtsklick vom Desktop löschen)

Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.