google leitet automatisch um/Antivir meldet immer wieder Funde
 

Guten Tag erstmal!

Mein Problem began so, dass mich google plötzlich auf auf andere Seiten umleitete als ich anklickte. Da kam mir das erste Mal etwas "spanisch" vor.
Wenig später fand meine Avira Antivir personal einige Schädlinge. Dann hat sich mal das Microsoft Alert dazugeschaltet und anscheinend irgendein MS Antivirus automatisch installiert.Systemwiederherstellung half auch nichts. Nachdem es nicht besser wurde, habe ich mal die Schritte die man vor der thread Eröffnung machen soll durchgeführt.(Logs kommen dann unten) Nachdem was MBAM was fand und auch löschte bin ich wieder ins I-net gegangen und die Funde von Avira(10.0.0.567) begannen wieder. Einmal bekam ich auch eine Sicherheitswarnung, dass jemand versucht Passwörter und Daten vom PC zu stehlen--> da bin ich dann sofort W-LAN abgedreht-->Meldung kam trotzdem noch ein paar mal und Icons haben sich selbstsändig am Desktop installiert!

Hab dann noch mal AviraAntivir durchlaufen lassen und MBAM wo wieder einige Funde waren. Seit dem ist es wieder minimal besser.

Seit neuestem(ich denk das war nach den Schritten die hier angegeben sind) bekomme ich beim einschalten also wenn der PC schon hochgefahren ist immer diese Fehlermeldung: "Fehler beim Laden von C://Users/***/AppData/local/kbrfoc.dll Das angegebene Modul wurde nicht gefunden."

Da ich nicht mehr weiter weiß hoffe ich nun, dass ich hier hilfe finde. In folgendem Thread habe ich schon sowas ähnliches gefunden. Bei mir findet gmer aber anscheinend nichts: h**p://www.trojaner-board.de/80670-google-leitet-um-browser-stuertzen-oft-ab-pc-haengt-scan-gemacht-wie-weiter-3.html#post489244

Danke schon mal im voraus!!!

Nun die ganzen logs:

OTL:OTL Logfile:
--- --- ---

Extras:OTL Logfile:
--- --- ---

MBAM:(1.Scan)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5008

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

31.10.2010 20:01:58
mbam-log-2010-10-31 (20-01-58).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159528
Laufzeit: 11 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
C:\Users\***\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent) -> Unloaded process successfully.
C:\Users\***\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\***\Desktop\Load.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\FEEC.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\7ACE.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Shell) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) -> Delete on reboot.
C:\Users\***\AppData\Local\Temp\0.027093661708496253.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\010112010146116101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\0101120101465155.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.

MBR:
Windows 6.0.6002 Disk: WDC_WD32 rev.11.0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


PS: vorm letzten MBAM-Scan bekam ich immer wenn ich den IE8 aufmachen wollte eine Melung von MS alert, wegen einem trojaner. Keine Ahnung ob das noch was hilft.

Und hier noch die Funde von Avira:
klxriuclgrxtg[1].pdf
24C2.tmp
shell.exe
shell.exe
shell.exe
0.354302539589438.exe
0.16522045979743294.exe
4a7f31c5-182bbfda
bc99f53-6979b679
dwm.exe
tmpCF8F.tmp.exe
tmp364D.tmp
asd35C0.tmp.exe
5-direct[1].ex
jar_cache5854833125150505284.tmp

Danke nochmals im voraus und ich hoffe, dass mir jemand helfen kann.
Bin leider EDV-technisch nicht sehr bewandert :-(

mfg

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hab ich nun gemacht.

hier der log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5016

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

02.11.2010 00:10:40
mbam-log-2010-11-02 (00-10-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 315816
Laufzeit: 1 Stunde(n), 35 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\D:\Programme\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\16M6J74Z\setup[1].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4J5W26JX\setup[1].exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4J5W26JX\setup[2].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IDW8GK59\setup[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IDW8GK59\setup[2].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RAFCUPTB\setup[1].exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RAFCUPTB\setup[2].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RAFCUPTB\setup[3].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Programme\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

mfg

Ich denk mal ich hab den Thread im falschen unterverzeichnis aufgemacht! :headbang:

Ist das recht schlimm? Und wie kann ich das sonst jetzt noch ändern?

mfg

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

1.Meldung: The system requires a reboot to finish removing files. Click Ok to reboot now.
2.Meldung: Die in der Registrierung angegebene Anwendung "C:/Users/Mustermann~1/AppData/Local/Temp/dwm.exe konnte nicht geladen oder gestartet werden. Stellen Sie sicher, dass die Datei vorhanden ist, oder entfernen Sie den Eintrag mit Bezug auf diese Datei aus der Registrierung.

danach hab ich den OTL wieder als admin ausgeführt und dann kam der log:

All processes killed
========== OTL ==========
Process dwm.exe killed successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
File G:\LaunchU3.exe not found.
========== FILES ==========
C:\Users\***\AppData\Local\Temp\dwm.exe moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator

User: All Users

User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11503997 bytes
->Java cache emptied: 43767878 bytes
->FireFox cache emptied: 49278447 bytes
->Opera cache emptied: 250366 bytes
->Flash cache emptied: 738 bytes

User: ***
->Temp folder emptied: 69937535 bytes
->Temporary Internet Files folder emptied: 47929304 bytes
->Java cache emptied: 111452204 bytes
->Opera cache emptied: 3996750 bytes
->Flash cache emptied: 45505 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 754098951 bytes
RecycleBin emptied: 25553855 bytes

Total Files Cleaned = 1.066,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 11022010_224903

Files\Folders moved on Reboot...
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\WYKPNK8X\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[1].htm not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\O49YKCMU\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[1].htm not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\O49YKCMU\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[2].htm not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\O49YKCMU\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[3].htm not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\O49YKCMU\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[4].htm not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\O49YKCMU\0wtoGBftvelvAxPkBkTChrBhI1WtzbFfxoMRioF07hxP34Dfw5+_I+ALxBkNeqGVhRcjgBWodOCCFnQcu2h_eAi8Buc1PhnqbXxcK4FXR97Z330sIrWR6lik2Hr NSRIqDUPZLN4LpInIGY9GbrSNq8dKvM0EpeYSxsQ=[1].gif not found!
File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\DUJ3UCY3\(compatible%3B+MSIE+7.0%3B+Windows+NT+6.0%3B+Trident%2F4.0%3B+SLCC1%3B+.NET+CLR+2.0.50727%3B+Media+Center+PC+5.0%3B+.NET+CL R+3.5.30729%3B+InfoPath.2%3B+.NET+CLR+3.0[1].htm not found!
C:\Users\***\AppData\Local\Temp\E23.tmp moved successfully.
File\Folder C:\Users\***\AppData\Local\Temp\~DFD9E5.tmp not found!
File\Folder C:\Users\***\AppData\Local\Temp\~DFD9F0.tmp not found!
File\Folder C:\Users\***\AppData\Local\Temp\~DFDA4E.tmp not found!
File\Folder C:\Users\***\AppData\Local\Temp\~DFDA59.tmp not found!
File\Folder C:\Users\***\AppData\Local\Temp\~DFDBA3.tmp not found!
File\Folder C:\Users\***\AppData\Local\Temp\~DFDBAE.tmp not found!
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TIR16TT0\92390-google-leitet-automatisch-um-antivir-meldet-immer-wieder-funde[1].html moved successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\6PMESAJ4\ads[7].htm moved successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5SY5BTKC\ads[7].htm moved successfully.
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\07P7SLSH\ads[7].htm moved successfully.

Registry entries deleted on Reboot...

mfg hyperbel und jetzt schon mal recht herzlichen Dank, dass du dich um mein Problem annimmst!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Die 2.Fehlermeldung kam wieder. genauso die mit dem dll modul.
Ist das ein Problem?

Weiters konnte ich nicht mehr ins Internet gehen.(Wäre schon nett wenn das auch wieder mal geht ;-) ) Aus diesem Grund habe ich alle Dateien von einem anderen PC heruntergeladen!

hier nun der log vom combofix:
Combofix Logfile:
--- --- ---

SG hyperbel

Seit wann genau funktioniert die Verbindung ins Internet nicht mehr?

Bin mir leider nicht sicher aber nach dem letzten otl auf jeden fall nicht mehr.

Vorher kann ich leider nicht genau sagen da ich auch öfters von einem anderen pc aus ins netzt gegangen bin--> aus angst dass sich wieder viren einschleichen.

update von adaware ging zb.(weil da braucht man ja keinen browser)

mfg hyperbel
danke arne/cosinus dast dir da zeit nimmst dafür

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ja mach ich sofort
hab ich mir da was schlimmeres eingefangen oder kann man jetzt schon sagen was das ist?

mfg hyperbel

jetzt hab ich idiot leider den gmer log irgendwie verloren. Kann ich den wieder wo finden? Das Programm hatte geschrieben scan has stopped.

die anderen logs:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: MSI
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Micro-Star International
System Product Name: EX620
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 149):
0x81E4E000 \SystemRoot\system32\ntkrnlpa.exe
0x81E1B000 \SystemRoot\system32\hal.dll
0x8040D000 \SystemRoot\system32\kdcom.dll
0x80414000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80484000 \SystemRoot\system32\PSHED.dll
0x80495000 \SystemRoot\system32\BOOTVID.dll
0x8049D000 \SystemRoot\system32\CLFS.SYS
0x804DE000 \SystemRoot\system32\CI.dll
0x80603000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8067F000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8068C000 \SystemRoot\system32\drivers\acpi.sys
0x806D2000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806DB000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E3000 \SystemRoot\system32\drivers\pci.sys
0x8070A000 \SystemRoot\System32\drivers\partmgr.sys
0x80719000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8071C000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x80726000 \SystemRoot\system32\drivers\volmgr.sys
0x80735000 \SystemRoot\System32\drivers\volmgrx.sys
0x8077F000 \SystemRoot\System32\drivers\mountmgr.sys
0x89E07000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x89EE0000 \SystemRoot\system32\drivers\atapi.sys
0x89EE8000 \SystemRoot\system32\drivers\ataport.SYS
0x89F06000 \SystemRoot\system32\drivers\fltmgr.sys
0x89F38000 \SystemRoot\system32\drivers\fileinfo.sys
0x89F48000 \SystemRoot\system32\DRIVERS\Lbd.sys
0x89F57000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A00C000 \SystemRoot\system32\drivers\ndis.sys
0x8A117000 \SystemRoot\system32\drivers\msrpc.sys
0x8A142000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A20B000 \SystemRoot\System32\drivers\tcpip.sys
0x8A2F5000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A40A000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A51A000 \SystemRoot\system32\drivers\volsnap.sys
0x8A553000 \SystemRoot\System32\Drivers\spldr.sys
0x8A55B000 \SystemRoot\System32\Drivers\mup.sys
0x8A56A000 \SystemRoot\System32\drivers\ecache.sys
0x8A591000 \SystemRoot\system32\drivers\disk.sys
0x8A5A2000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8A5C3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A5D9000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A5E4000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8A5ED000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8DE09000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8E546000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8E5E7000 \SystemRoot\System32\drivers\watchdog.sys
0x8E5F3000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8A17D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8A3E9000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8E605000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8E692000 \SystemRoot\system32\DRIVERS\Rtlh86.sys
0x8E6B4000 \SystemRoot\system32\DRIVERS\athr.sys
0x8E79A000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8E7AD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8E7B8000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8E7C3000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8E7C7000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8E7D0000 \SystemRoot\system32\DRIVERS\enecir.sys
0x8E7E8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8A1BB000 \SystemRoot\System32\Drivers\tosrfcom.sys
0x8A1CB000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8078F000 \SystemRoot\system32\DRIVERS\storport.sys
0x8A200000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8DE00000 \SystemRoot\system32\DRIVERS\RLVrtAuCbl.sys
0x89FC8000 \SystemRoot\system32\DRIVERS\portcls.sys
0x807D0000 \SystemRoot\system32\DRIVERS\drmk.sys
0x805BE000 \SystemRoot\system32\DRIVERS\ks.sys
0x805E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8A000000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8EA0D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8EA30000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8EA3F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8EA53000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8EA68000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8EA78000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8EA7A000 \SystemRoot\system32\DRIVERS\circlass.sys
0x8EA88000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8EA92000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8EA9F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8EAD4000 \SystemRoot\system32\DRIVERS\tosporte.sys
0x8EADF000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8EC02000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8EE11000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0x8EF37000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8EF39000 \SystemRoot\system32\drivers\modem.sys
0x8EF46000 \SystemRoot\system32\DRIVERS\hidir.sys
0x8EF51000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8EF61000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x8EF68000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8EF71000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8EF79000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8EF82000 \SystemRoot\System32\Drivers\Null.SYS
0x8EF89000 \SystemRoot\System32\Drivers\Beep.SYS
0x8EF90000 \SystemRoot\System32\drivers\vga.sys
0x8EF9C000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8EFBD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8EFC5000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8EFCD000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8EFD8000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8EFE6000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8EAF0000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8EB06000 \SystemRoot\system32\DRIVERS\smb.sys
0x8EB1A000 \SystemRoot\system32\drivers\afd.sys
0x8EB62000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8EB94000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8EFEF000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8EBAA000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8EBBD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8EBC3000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8EA00000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8F20A000 \SystemRoot\System32\Drivers\dfsc.sys
0x8F221000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8F243000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8F245000 \SystemRoot\system32\drivers\RTSTOR.SYS
0x8F259000 \SystemRoot\System32\Drivers\tcusb.sys
0x8F264000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8F271000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x97CD0000 \SystemRoot\System32\win32k.sys
0x8F34A000 \SystemRoot\System32\drivers\Dxapi.sys
0x8F354000 \SystemRoot\system32\DRIVERS\monitor.sys
0x97EF0000 \SystemRoot\System32\TSDDD.dll
0x97F10000 \SystemRoot\System32\cdd.dll
0x8F363000 \SystemRoot\system32\drivers\luafv.sys
0x8F37E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8A310000 \SystemRoot\system32\drivers\spsys.sys
0x8F393000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8F3A3000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8F3CD000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8F3D7000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9D607000 \SystemRoot\system32\drivers\HTTP.sys
0x9D674000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9D691000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9D6AA000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9D6BF000 \SystemRoot\system32\drivers\mrxdav.sys
0x9D6E0000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9D6FF000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9D738000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9D750000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9D778000 \SystemRoot\System32\DRIVERS\srv.sys
0x9BC0D000 \SystemRoot\system32\drivers\peauth.sys
0x9BCEB000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9BCF5000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9BD01000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9BD2C000 \SystemRoot\System32\Drivers\fastfat.SYS
0x9BD7B000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x9BDB7000 \??\C:\Users\***~1\AppData\Local\Temp\fwliykod.sys
0x9BD17000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x9BD54000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x771A0000 \Windows\System32\ntdll.dll

Processes (total 62):
0 System Idle Process
4 System
492 C:\Windows\System32\smss.exe
620 csrss.exe
672 C:\Windows\System32\wininit.exe
680 csrss.exe
716 C:\Windows\System32\services.exe
728 C:\Windows\System32\lsass.exe
736 C:\Windows\System32\lsm.exe
912 C:\Windows\System32\svchost.exe
976 C:\Windows\System32\nvvsvc.exe
1004 C:\Windows\System32\svchost.exe
1036 C:\Windows\System32\svchost.exe
1112 C:\Windows\System32\winlogon.exe
1124 C:\Windows\System32\svchost.exe
1164 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1268 C:\Windows\System32\audiodg.exe
1288 C:\Windows\System32\svchost.exe
1304 C:\Windows\System32\SLsvc.exe
1364 C:\Windows\System32\svchost.exe
1516 C:\Windows\System32\svchost.exe
1668 C:\Windows\System32\rundll32.exe
1732 C:\Program Files\Protector Suite QL\upeksvr.exe
1964 C:\Windows\System32\spoolsv.exe
1972 C:\Windows\System32\taskeng.exe
2020 C:\Program Files\Avira\AntiVir Desktop\sched.exe
308 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
508 C:\Windows\System32\svchost.exe
1872 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
2196 C:\Windows\System32\dwm.exe
2308 C:\Windows\explorer.exe
2324 C:\Windows\System32\taskeng.exe
2720 C:\Windows\System32\agrsmsvc.exe
2812 C:\Program Files\System Control Manager\MSIService.exe
2920 D:\Programme\BurnAware Free\NMSAccess32.exe
2968 C:\Windows\System32\svchost.exe
3024 C:\Windows\System32\svchost.exe
3092 C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
3116 C:\Windows\System32\svchost.exe
3164 C:\Windows\System32\SearchIndexer.exe
3724 WmiPrvSE.exe
3980 C:\Program Files\Windows Defender\MSASCui.exe
3996 C:\Windows\System32\rundll32.exe
4008 C:\Windows\RtHDVCpl.exe
4060 C:\Program Files\System Control Manager\MGSysCtrl.exe
4068 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
4092 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2064 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2212 C:\Program Files\Windows Sidebar\sidebar.exe
2160 C:\Windows\ehome\ehtray.exe
2424 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
2632 ehmsas.exe
2124 unsecapp.exe
2592 C:\Program Files\Protector Suite QL\psqltray.exe
3132 C:\Program Files\Windows Sidebar\sidebar.exe
3672 WUDFHost.exe
1764 C:\Windows\System32\SearchProtocolHost.exe
3924 C:\Windows\System32\SearchFilterHost.exe
812 dllhost.exe
4052 dllhost.exe
2564 C:\Users\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`f4100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`f0900000 (NTFS)

PhysicalDrive0 Model Number: WDCWD3200BEVT-22ZCT0, Rev: 11.01A11

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!


mfg hyperbel

Mach den Scan mit gmer notfalls nochmal. Die anderen beiden Logs sehen schonmal ok aus.

Hier der gmer log....bitteschön

GMER Logfile:
--- --- ---

mfg hyperbel

Bin nun drauf gekommen, dass diese Meldungen nur bei dem Nutzer mit eingeschränkten Rechten kommen. Admin bzw User mit allen Rechten funktioniert ohne Fehlermeldungen. Auch das Internet funktioniert dort einwandfrei. (bin nur immer mit eingeschränkten Rechten eingestiegen weil ich mir dachte, dass dort ein virus vl nicht soviel anrichten kann oder ist dieser Gedanke eh falsch?)

sg hyperbel

PS: die kommt bei dem mit eingeschränkten Rechten auch noch immer: "Fehler beim Laden von C://Users/***/AppData/local/kbrfoc.dll Das angegebene Modul wurde nicht gefunden"

Eingeschränkte Rechte sind schon sinnvoll. Man sollte nie mit Adminrechten surfen oder sonstwie alltägliche Dinge verrichten.

Gib Deinem User mit eingeschränkten Rechten mal vorübergehend Adminrechte. Wenn er Adminrechte hat, unter diesem Konto neue OTL-Logs erstellen und posten.

Geht es nicht auch wenn ich als admin einsteige und nochmal die logs mache oder muss ich wirklich meinem User Adminrechte geben?

mfg hyperbel
ist mein PC nunnoch immer verseucht/infiziert?

Du sollst Deinem Benutzer ja auch nur vorübergehend Adminrechte geben! Du musst OTL mit diesem Benutzerkonto ausführen aber ohne Adminrechte hat man u.U. beim Fixen dann wieder Probleme!

Macht es eigentlich eh Sinn, dass wir weiter versuchen alles zu beheben oder läuft es ohnehin darauf hinaus, dass ich neu aufsetzen muss?

mfg hyperbelOTL Logfile:
--- --- ---

Neu aufsetzen musst Du nicht. Es sei denn du willst kein Restrisiko eingehen und bist der Meinung, der Rechner müsste eh mal wieder neugemacht werden :D

Vergewissere Dich, dass du mit dem Benutzerkonto eingeloggt bist, das kürzlich die Adminrechte bekommen hat.
Beende dann alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!



Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

schon erledigt :-)

zur Info: die Fehlermeldungen sind nun nicht mehr gekommen! :Boogie:
dafür hab ich nun am Desktop folgende "hellere" Icons(sieht aus wie versteckte Dateien: desktop.ini ~$leitung.doc und nochmal desktop.ini

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\dfrgsnapnt.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Pfageyifegizutaz deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\***~1\AppData\Local\Temp\dwm.exe deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ac51e08-d830-11de-bd0c-00218556bcd2}\ not found.
File G:\LaunchU3.exe not found.
Folder C:\Users\***\AppData\Roaming\AnVi\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: ***
->Temp folder emptied: 112872 bytes
->Temporary Internet Files folder emptied: 2089732 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: ***
->Temp folder emptied: 35326 bytes
->Temporary Internet Files folder emptied: 148972 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 366928 bytes
RecycleBin emptied: 133450 bytes

Total Files Cleaned = 3,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 11062010_194453

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


MFG hyperbel

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

[QUOTE=hyperbel;586427]Folder C:\Users\***\AppData\Roaming\AnVi\ not found.[QUOTE=hyperbel;586427]


das ist eh kein Problem?

kann ich meinen User eigentlich wieder auf eingeschränkten Rechte umstellen oder wird das erst gemacht wenn wir mit der Reinigung fertig sind?

mfg hyperbel

hier die logs.... ich hoffe ich habe ei superantispyware nichts falsch gemacht!
nach den 2 funden habe ich einfach immer weiter gedrückt und ich glaube die software hat dann entweder das in quarantäne gesteckt oder gelöscht(glaube ich eher).

die trojaner welche gefunden wurden sind immer wieder die gleichen oder?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 5065

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

07.11.2010 15:22:49
mbam-log-2010-11-07 (15-22-49).txt

Scan type: Full scan (C:\|D:\|F:\|)
Objects scanned: 300991
Time elapsed: 1 hour(s), 28 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 3
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/07/2010 at 08:54 PM

Application Version : 4.45.1000

Core Rules Database Version : 5822
Trace Rules Database Version: 3634

Scan type : Complete Scan
Total Scan Time : 01:57:25

Memory items scanned : 632
Memory threats detected : 0
Registry items scanned : 9131
Registry threats detected : 0
File items scanned : 145963
File threats detected : 2

Trojan.Agent/Gen
C:\WINDOWS\MBR.EXE

Trojan.Agent/Gen-DWM[Fake]
C:\_OTL\MOVEDFILES\11022010_224903\C_USERS\***\APPDATA\LOCAL\TEMP\DWM.EXE


mfg hyperbel (vl kannst mir dann auch mal tipps geben wie ich meinen pc besser schützen kann???)
;-)

Da wurden nur Überreste gefunden. Noch Probleme?
Und ja, deinem Standardkonto konntest Du die adminrechte wieder wegnehmen ;)

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Wenn ich das jetzt richtig verstanden habe, war das kein trojaner mehr sondern nur Reste davon? Sollte ich wieder die gleichen Funde/Probleme haben soll ich mich dann nochmal melden?

Weiters folgende Fragen noch:
1) Kann man sagen was nun genau das dieser Virus/Wurm oder was auch immer war und viel wichtiger woher der kam?(ich dachte schon an f***book* von meinen Kindern)

2)Welche Prg kann/soll ich installiert lassen und was soll ich wieder entfernen?

3) Momentan schütze ich mich mit Avira Antivir personal(free) und Ad-Aware. Gibt es besseren kostenlosen Schutz oder sind die in Ordnung?

4) Soll ich meine gesamten Passwörter nun ändern?

5) Weißt du ob der MS Alert ein fake war?

Falls nun wirklich alles in Ordnung ist bedanke ich mich hiermit noch mal ganz herzlich und wünsche dir alles gute für die weitere Zukunft.

mfg hyperbel:party:

PS: ist gm* sicherer als outlook?

Kann man nicht genau sagen, es gibt fast zuviele Möglichkeiten wie Malware ins System kommt. Sei es durch Leichtfertigkeit/Fahrlässigkeit des Anwenders mit Adminrechten oder eine veraltete (und damit verwundbare) Software wie Browser, PDF-Reader oder Flashplugin.

Im Grunde stört garkein Programm.

Der reicht. Auf den Virenscanner allein kommt es eh nicht an wie schon o.g.

Ansonsten wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

werde ich alles machen!!!!

soll ich den IE überhaupt deinstallieren?

vielen vielen herzlich Dank nochmal für deine Hilfe!!!

mfg hyperbel

den opera kann ich noch immer nur als admin starten!
kann man das noch irgendwie beheben?(neuinstallation habe ich schon probiert

PS: was hälts du von systemen wie I2P? Könnnen die auch schützen?

Ja, der muss auch bei Nichtbenutzung ständig aktuell gehalten werden!

Fehlermeldung? Was sagen die NTFS-Zugriffsrechte im Opera-Ordner unter Programme?

Nutz ich nicht. Vor Schädlingen kann das wohl kaum schützen.

opera hab ich hingekriegt!

nun meine Frage: wie kann ich den IE8 endgültig deinstallieren?
bei Softwareupdates hab ich ihn deinstalliert aber er ist noch immer im Startmenü vorhanden und ich kann ihn auch aufmachen!!!

mfg hyperbel

Was hast Du genau gemacht mit Opera?! Denk dran, dass sowas auch für Mitleser von Interesse sein kann, wenn die ähnliche Probleme haben!

Den IE kann man nicht deinstallieren!!
Er ist ein Bestandteil von Windows, Komplettdeinstallation wird nicht funktionieren ohne dass du gleichzeitig bekannte Funktionen von Windows kaputtmachst. Lass ihn drin aber nutze ihn nicht oder nur selten, halte ihn ständig aktuell (geht über Windows-Update/Automatische Updates)

ok danke!!!!

ich weiß zwar nicht ob das richtig war aber nachdem immer die meldung kam, dass der proxy nicht gefunden werden konnte ha ich ihn einfach "aus/abgeschaltet" klingt jetzt eigentlich eh logisch hoff ich mal!!!

PS: ich hab das update für ie8 nun deinstalliert und soll ihn trotzdem updaten? das verstehe ich nicht!!!

mfg hyperbel

PPS: bzgl. kompromitierung---> die Seite ist auch schon etwas älter oder?

Die hättest Du auch mal gleich posten können die Meldung!! Es kam so rüber, dass Opera nicht mal gestartet werden als normaler Benutzer!

Es gibt auch Hotfixes/Patches für den IE8. Deswegen Windows-Update!

Wird von Malte J. Wetz zeitnah aktualisiert, war bisher jedenfalls immer so.
Selbst wenn sie alt wäre (wer definiert wann eine site "alt" ist?), die prinzipiellen Dinge werden sich nicht wirklich ändern…