Hallo ihr hilfsbereiten user. Ich habe folgendes Problem:

- Windows updates werden blockiert.
- Updates von MS Security Essentials auch -> manuell geladen
- ständig schlägt die Firewall alarm ("Portüberwachungstool?"...) -> werde von einem Portscanner attackiert
- Firefox öffnet ständig tabs mit Werbung oder Suchmaschinen oder leitet mich auf seiten, die von wot als gefährlich eingestuft sind.
- Habe schon alle möglichen Programme versucht. Alle können nichts finden (Hijackthis, Avira, MSE, Spybot, Malw.bytes, Rootkitrevealer etc.)
- wenn ich cofi starten will, bekomm ich einen bluescreen kurz vor Ende des ersten Ladebalkens. (irq less or equal...)

Brauche dringend einen Rat.
Danke!

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Poste die Logfiles in Code-Boxen. Dadurch sparst du Platz.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich möchte dich nun darauf hinweisen, dass ich hier noch in Training bin und jede Antwort zuerst von einem Mitglied des Kompetenzteams freigegeben werden muss. Dies kann eine leichte Verzögerung der Antworten hervorrufen. Ich bedanke mich für deine Geduld.




Schritt # 1: Load.exe ausführen
Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.html.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.
Wichtig: Falls Du das Tool erneut startest, nutze den CleanUp Button nicht ohne Anweisung.

Anleitung:
http://www.trojaner-board.de/89918-l...e-larusso.html





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort die Logfiles von

• Malwarebytes' Anti-Malware,
• Defogger (läuft nur auf 32 bit Systemen),
• Gmer (läuft nur auf 32 bit Systemen) und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B, erstmal vielen Dank für deine schnelle Hilfe. Ich habe alle Anweisungen befolgt. Das Problem besteht nach wie vor. Gerade wurde ich wieder auf eine Suchmaschine geleitet, die nach "Trojaner auf USB-Stick gesucht hat". Stange! Meine Log-Files findest du im Anhang. Ich hoffe es kommt was raus bei der Analyse.

Hi WomTom,




Schritt # 1: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (XKJNLSB)
SRV - File not found [On_Demand | Stopped] -- -- (UZLBKJJ)
SRV - File not found [On_Demand | Stopped] -- -- (MHJHWCDYNE)
SRV - File not found [On_Demand | Stopped] -- -- (JHJXF)
[2011.01.28 16:10:55 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW
@Alternate Data Stream - 201 bytes -> C:\ProgramData\TempFC5A2B2
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:9B013599
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:FED912DB
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:A8ADE5D8
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:5FC2B7D7
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TempDB01966 
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 3: Rootkitscan mit Rootkit Unhooker
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Entpacke die .rar Datei auf deinem Desktop. ( Rechtsklick --> hier entpacken )
  Solltes du keine Zip Software auf deinem Rechner haben downloade dir bitte 7zip und installiere es.
• Öffne den neuen Ordner und starte die RKU3.8.388.590.exe.
• Wähle als Sprache English und installiere RKU im vorgegebenen Pfad.
• Trenne Dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter. Besonders den deiner Anti Virensoftware.
• Start --> Alle Programme und im Ordner Rootkit Unhooker LE die Datei RKU starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Klicke auf den Report Tab und danach auf Scan
• Setze ein Häckchen bei

  • Drivers
  • Stealth Code
  • Files
  • Code Hooks

  Entferne alle anderen Hacken
  

• Wenn Du gefragt wirst welcher Bereich gescannt werden soll, gehe sicher das deine Systemplatte ( meistens C: ) angehackt ist.
• Klicke OK
• Wenn der Scan beendet wurde

  File --> Save Report

  klicken.
• Speichere die Datei als RKU.txt auf dem Desktop.
• Klicke Close

Hinweis: Solltest Du folgende Warnung bekommen

Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK





Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix ,
• das Logfile des TDSS Killers und
• das Logfile von RKU.

So, habe alles gemacht. TDSSKiller hat was gefunden. Allerdings im PowerDVD-Ordner; weiß nicht ob das was echtes war. Ich habe das Gefühl, dass sich die Symptome etwas verbessert haben. Mein Festplatte ackert nicht mehr die ganze Zeit. Mit den relinks im Browser muss mich mal gucken, ob da noch was kommt. Allerdings zeigt meine Firewall immer noch Zugriffversuche wenn ich im Outlook mails abhole und vereinzelt beim surfen. Ist aber weniger geworden (vorher ging das die ganze Zeit). Wenn ich die IPs checke, die mich attackieren, sind die vom japanischen Provider KDDI CORPORATION und dem deutschen Provider Host Europe GmbH aus Köln). Die anderen IPs haben irgendwas mit Google Nameservern zu tun (z.B 209.85.149.101).

Anbei findest du meine Logs
Vielen Dank!

Hallo WomTom,




Schritt # 1: Wichtiger Hinweis

• Bitte achte darauf, dass du alle Anleitungen sorgfältig durchliest und sie genau so ausführst. Dein OTL-Fix ist unvollständig:
  
  Zitat:

  Error: No service named UZLBKJJ) SRV - File not found [On_Demand | Stopped] -- -- (MHJHWCDYNE) SRV - File not found [On_Demand | Stopped] -- -- (JHJXF was found to stop!
  Service\Driver key UZLBKJJ) SRV - File not found [On_Demand | Stopped] -- -- (MHJHWCDYNE) SRV - File not found [On_Demand | Stopped] -- -- (JHJXF not found.

  Daher versuchen wir den OTL-Fix gleich nochmal. Achte darauf, dass du ALLES aus der unten stehenden CodeBox bei OTL einfügst.

Schritt # 2: Fix mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (XKJNLSB)
SRV - File not found [On_Demand | Stopped] -- -- (UZLBKJJ)
SRV - File not found [On_Demand | Stopped] -- -- (MHJHWCDYNE)
SRV - File not found [On_Demand | Stopped] -- -- (JHJXF)
@Alternate Data Stream - 201 bytes -> C:\ProgramData\TempFC5A2B2
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:9B013599
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:FED912DB
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:A8ADE5D8
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:5FC2B7D7
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TempDB01966 

:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: ComboFix umbenannt ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer - InfoSpyware

Firefox User:
Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke
Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK.


**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile des OTL-Fix und
• das Logfile von ComboFix.