Sagt dir

Zitat:

HKLM\...\Run: [Unattend0000000001{BFA3D12B-66DD-4617-923A-E864BC7D20B5}] => C:\Windows\test.bat

etwas ?

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\S-1-5-21-2829335788-446563168-3763627994-1004\...\Run: [EfetOciwg] => regsvr32.exe "
HKU\S-1-5-21-2829335788-446563168-3763627994-1004\...\Run: [IlibUtdi] => regsvr32.exe "
hosts:
emptytemp:
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Nein, das sagt mir nichts. Ich kenne mich damit auch wirklich nicht gut genug aus. Ich habe gerade in den Ordner geschaut und sehe da keine test.bat, obwohl versteckte Dateien und geschützte Systemdateien laut Ordneroptionen angezeigt werden sollen. Sollte mir das was sagen? Ist das nicht gut?

Nach dem Neustart nach dem Fix erscheinen jetzt die Fehlermeldungen nicht mehr. Hier der Fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 07-12-2014 01
Ran by Perdita at 2014-12-10 15:36:12 Run:2
Running from C:\Users\Perdita\Downloads
Loaded Profile: Perdita (Available profiles: Perdita)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
HKU\S-1-5-21-2829335788-446563168-3763627994-1004\...\Run: [EfetOciwg] => regsvr32.exe "
HKU\S-1-5-21-2829335788-446563168-3763627994-1004\...\Run: [IlibUtdi] => regsvr32.exe "
hosts:
emptytemp:
*****************

HKU\S-1-5-21-2829335788-446563168-3763627994-1004\Software\Microsoft\Windows\CurrentVersion\Run\\EfetOciwg => value deleted successfully.
HKU\S-1-5-21-2829335788-446563168-3763627994-1004\Software\Microsoft\Windows\CurrentVersion\Run\\IlibUtdi => value deleted successfully.
C:\Windows\System32\Drivers\etc\hosts => Moved successfully.
Hosts was reset successfully.
EmptyTemp: => Removed 8.2 GB temporary data.


The system needed a reboot. 

==== End of Fixlog ====
         

Eset hat beim ersten Versuch einen Unerwarteten Fehler 2002 gemeldet, beim zweiten Versuch lief es aber so durch.
Das "Bedrohungen erkannt!"-Fenster ist noch offen. Es bietet mir an, die Dateien in der Quarantäne löschen zu lassen. Soll ich das machen?


fixlog:

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 07-12-2014 01
Ran by Perdita at 2014-12-10 16:17:45 Run:3
Running from C:\Users\Perdita\Downloads
Loaded Profile: Perdita (Available profiles: Perdita)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
HKLM\...\Run: [Unattend0000000001{BFA3D12B-66DD-4617-923A-E864BC7D20B5}] => C:\Windows\test.bat
*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Unattend0000000001{BFA3D12B-66DD-4617-923A-E864BC7D20B5} => value deleted successfully.

==== End of Fixlog ====
         

checkup:

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.91  
 Windows 7  x86 (UAC is disabled!)  
 Out of date service pack!! 
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
 Java(TM) 6 Update 37  
 Java version 32-bit out of Date! 
 Adobe Flash Player 10 Flash Player out of Date! 
 Adobe Flash Player 	15.0.0.246  
 Adobe Reader 10.1.3 Adobe Reader out of Date!  
 Mozilla Firefox (34.0.5) 
 Google Chrome 16.0.912.75  Google Chrome out of date!  
````````Process Check: objlist.exe by Laurent````````  
 Microsoft Small Business Business Contact Manager BcmSqlStartupSvc.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

eset:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7623
# api_version=3.0.2
# EOSSerial=226f9a7802ed464a9408013cbc64f5a9
# engine=21491
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-12-10 04:49:44
# local_time=2014-12-10 05:49:44 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.1.7600 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 11004 169861375 0 0
# scanned=343766
# found=3
# cleaned=2
# scan_time=4359
sh=8967669893B7731CC5A705D741BA566BF983D449 ft=0 fh=0000000000000000 vn="HTML/Ransom.B Trojaner" ac=I fn="C:\Users\All Users\bqmglahhesfspfd\main.html"
sh=8992F72873D09212597E582A16F8D9BC60E6A22A ft=1 fh=e21391a34e842ffc vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="C:\AdwCleaner\Quarantine\C\Program Files\Common Files\DVDVideoSoft\TB\ConduitInstaller.exe.vir"
sh=8967669893B7731CC5A705D741BA566BF983D449 ft=0 fh=0000000000000000 vn="HTML/Ransom.B Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\ProgramData\bqmglahhesfspfd\main.html"
         

Ja möchtest du.

Avira ist deinstalliert. Combofix ist nach über vierzig Minuten noch nicht durch gewesen. Anders als heute morgen ließ sich aber die Maus noch bewegen.

Ist bzw. war denn erkennbar das Combofix noch arbeitet ?

Ich habe die ganze Zeit über keine Veränderung gesehen. Wenn da zwischendurch wie bei den anderen Programmen irgendetwas auftauchen sollte, was mich darüber informiert, was gerade durchsucht wird, dann passiert das nicht.

Ok, wenn es noch läuft, dann brech es ab und starte den Rechner nochmal komplett neu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Und bitte nochmal neue FRST Logs. Haken setzen bei addition.txt dann auf Scan klicken

Ich hab den Fix noch gemacht, aber ich hab auch die Programme löschen lassen und der Fixlog ist jetzt anscheinend auch weg - auf jeden Fall stand da drin, dass die Verzeichnisse nicht gefunden wurden und deswegen wurde wohl auch nichts gelöscht.

Dass nichts mehr aktuell ist, überrascht mich nach so langer Zeit ohne Internet leider überhaupt nicht. ^^' Ich habe jetzt Deine Schritte durchgeführt. Avira ist jetzt auch wieder installiert und es gibt keine Probleme. Ich würde noch gerne wissen, was jetzt eigentlich los war? Was hatte ich mir eingefangen und warum hat es Combofix bei der Arbeit behindert?

Danke sehr für die Hilfe (und auch für das Entfernen der fraglichen Adobe-Sache)!

Combofix hängt sich auch manchmal an ganz normalen Sachen auf. Woran es hier lag kann ich so nicht sagen.

Ne Menge agressive Adware war drauf, auch scheinbar Reste von nem "Erpresser Trojaner", ich würd auf jeden Fall Passwörter ändern, sicher ist sicher.

Okay, das habe ich gemacht. Dann hab vielen Dank!