Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo!

Ich hab heute etwas länger gebraucht, weil ich in der Uni viel zu tun hatte. Hab jetzt aber meine Logs parat. Zumindest die, die ich bekommen habe. Und da sind wir schon beim Problem. Bisher war ich ziemlich zuversichtlich. Aber bin jetzt ziemlich verunsichert. Aber du wirst da mehr draus lesen können:

GMER hat mir keinen Log gegeben. Nur die folgende Nachricht:

"GMER hasn't found any system modification."

Ich muss dazu sagen: Habe beim ersten Durchlauf vergessen, das Internetkabel und damit die Internet Verbindung zu trennen. Habe einen 2. Durchlauf mit exakt den Vorgaben aus der Anleitung mit gleichem Ergebnis gemacht.


Osam hat gut funktioniert. Folgender Log kam dabei heraus:


OSAM Logfile:
Dazu gab es nichts zu sagen.
Anschließend noch der aswMBR Scan. Den habe ich erst wie in der Anleitung versucht. Die Absturz Meldung kam. Dann habe ich den Laptop neu gestartet und nochmal versucht. Wieder die Absturzmeldung. Abschließend habe ich es wie in deinem Hinweis mit AV Scan "none" durchlaufen lassen. Hier der Log:

aswMBR.txt:

Achja: Ich habe nach jedem Scan den Laptop neu gestartet. Und ich schalte jetzt erstmal die Systeme (Defender und Avira Echtzeit Scan) wieder ein.

Wenn wir schon grad dabei sind, würde ich dir gerne noch ein paar Logs hochladen. Als ich Malwarebytes noch laufen hatte, hat das mir ständig Probleme angezeigt. Letztendlich ist es fast immer auf 2 Dateien zurück zu führen: Skype.exe und svchost.exe. Aber siehe selbst:

protection-log-2012-06-29.txt:


protection-log-2012-06-30.txt:


protection-log-2012-07-01.txt:


protection-log-2012-07-02.txt:



protection-log-2012-07-03.txt:



protection-log-2012-07-04.txt:

Danke nochmal, dass du dich meines Problemes angenommen hast, auch wenn es wohl etwas länger dauert.

Viele Grüße, Rumpel

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne!

Hier sind die beiden geforderten Logs. Bei den Durchläufen gab es keine Auffälligkeiten.

mbam-log-2012-07-06 (11-04-52).txt:

Und ein langer Log von Superantispyware mit vielen Funden.

SUPERAntiSpyware Scan Log - 07-06-2012 - 16-35-18.log:

Dazu muss ich sagen: Mobiledit kommt auf den Laptop, weil ich damals keinen passenden Samsung Treiber für mein Handy fand. Natürlich hat das Ding auch nicht funktioniert. Mittlerweile funktioniert das alles über den normalen Weg und ich habe vergessen, das Programm zu löschen. Von mir aus kann das ganze Ding weg, je gründlicher desto besser.

Wie verhalte ich mich jetzt weiter mit den Funden? Ich hoffe, dass du schnell antwortest. Vorerst lasse ich es bei dem Schluss-Bildschirm von Superantispyware. Hab nen Screenshot mit angehängt.

Ich hoffe, ich erhalte jetzt noch eine positive Nachricht von dir, obwohl dieses Programm etwas gefunden hat, was alle anderen Scanner "übersehen" (?) haben.

Viele Grüße, Rumpel

Hallo!

Ich muss grad eine schlechte Nachricht überbringen. Die Entscheidung, was ich mit dem Schlussbildschirm mache, ist gefallen. Nämlich gar nichts. Grad ist meine Betriebssystem abgestürzt. Schöner Blue-Screen mit irgendwelchen Sachen, von denen ich nichts nutzen konnte. Ich glaube, oben irgendwas mit "Driver", aber das war viel zu schnell wieder weg, als das ich da genaue Angaben zu machen könnte.

Und dann hat er neu gestartet. Es erschien die Abfrage, wie ich starten möchte. Ich hab einfach den normalen Modus genommen. Jetzt scheint er ganz normal zu laufen. Vielleicht kannst du dir einen Reim daraus machen.

Viele Grüße, Rumpel

Ich seh da so keinen Zusammenhang

Sieht für mich auch eher nach Fehlalarmen aus. Map&Guide ist ja bei dir mit Sicherheit eine Originalversion oder? :pfeiff:

Das hört sich doch schonmal gut an.

Bleiben aber noch ein paar Fragen offen:

1) Kann man sagen, was das für ein versteckter Treiber war, den Avira ganz am Anfang gefunden hat und durch den ich auf den Rest erst drauf aufmerksam wurde?

2) Wie geht es mit dem Defogger weiter? Ich hab das am Anfang ausgeführt, aber er hat nichts gefunden:

defogger_disable.log:

3) Während der Scans habe ich unter anderem auch 2 externe Festplatten durchlaufen lassen (siehe Post #3). Sind die sauber, oder wie kontrolliert man am besten externe Medien (Festplatten, USB-Sticks)? Kann man den Laptop so einrichten, dass Malware, die sich auf einem externen Medium befindet nicht automatisch mit dem einstecken aktiv wird, sodass man die Chance hat, das Medium erst über den Weg, den du mir hoffentlich in der Antwort zum ersten Teil der Frage beschreibst, zu kontrollieren?

4) Kann ich beruhigt wieder online-banking und andere Geldgeschäfte (z.B. Amazon,...) über den Laptop abwickeln?

5) Was hat es mit den ganzen Malwarebytes Logs aus Post #17 auf sich? Gerade die, wo die svchost.exe geblockt wurde?

6) Kannst du mir noch helfen, das System auf einen aktuellen Stand zu bringen, falls es Stellen gibt, die nicht die neuesten Updates aufweisen? Gerade Einstellungen zu Java scheinen ja augenscheinlich falsch zu sein, da hier vermutlich das Einfallstor war.

Auf jeden Fall schonmal vielen, vielen Dank für die Mühe, die du dir gibst um den Leuten hier zu helfen.

Viele Grüße, Rumpel

Nein dafür war die Meldung von AntiVir für mich zu ungenau

der defogger ist wenn überhaupt nur relevant wenn man virtuelle optische Laufwerke installiert hat zB mit DaemonTools

Automatische Wiedergabe komplett deaktivieren!
Ansonsten kann man USB-Speicher genauso scannen wie die interne Platte, was soll da auch groß unterschieden werden

Auf eigene Gefahr
Wer sicher banken will kann sich ja ein Linux parallel installieren oder Sicheres Online-Banking mit Bankix | c't verwenden

Kann ich nicht eindeutig zuordnen - so ist das heutzutage mit dem allgemeinen "Funkfeuer" es lässt sich kaum noch bei solchen Meldungen feststellen ob da was legitim ist oder nicht
Zudem war skype da auch stark protokolliert ich würde daher auf einen Zusammenhang mit skype schließen



Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => http://www.adobe.com/software/flash/about/
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne!

Das hat mir schon sehr weitergeholfen. Mehr als die Sachen aus AntiVir kann ich dir zum ersten Fund leider auch nicht sagen. Dann wird es ein Mysterium bleiben.

Zum Defogger noch einmal: DaemonTools habe ich installiert, damit ich Iso Dateien abspielen kann und nicht immer CDs einlegen muss. Das läuft allerdings nicht permanent. Ist da noch etwas ausgeschaltet, oder kann ich Daemon wie bisher (also vor Defogger) benutzen?

Zur automatischen Wiedergabe: Ist das Menü Systemsteuerung -> Hardware & Sound -> Automatische Wiedergabe richtig? Ich hab den Haken da rausgenommen. Also dürfte ja jetzt eigentlich nichts mehr automatisch kommen. Das ist auch schonmal gut.

Den Rest habe ich auch befolgt. PDF Reader rausgeschmissen, XChange Viewer installiert und Flash, Java, etc aktualisiert. Auch Secunia hab ich installiert. Einen Durchlauf hat er gemacht und mir gesagt, dass alle Programme bis auf Daemon aktuell sind. Da setz ich mich ran, wenn ich mit dem Defogger sicher bin. Secunia gefällt mir auf alle Fälle von Anfang an sehr gut. Genau sowas hab ich gebraucht. Einer, der auf mich aufpasst... ;o)

Ich hab noch ein paar alte Programme drauf, die da einfach nur schlummern und einfach weg können. Deinstalliert man die am besten über die Systemsteuerung? Oder sollte man erst gucken, ob die einen uninstaller irgendwo im Installationsordner oder Startmenü mitgeliefert haben? Ich hab bei solchen Sachen immer Angst, dass irgendwo noch komische Dateileichen übrig bleiben. Aber vielleicht sind die auch nur halb so schlimm.

Mit OTL hab ich einige Programme gelöscht, die wir gebraucht haben. Den Rest manuell. Malwarebytes behalte ich. Macht es Sinn, den permanent neben Avira AntiVir laufen zu lassen, oder nur in Regelmäßigen abständen, um das System einmal zu checken?
Und was ist mit Superantispyware? Behält man den auch besser?

Und dann möchte ich noch eine Frage los werden: Wo ist der Unterschied, ob ich Malwarebytes im Programm sage, dass er nicht beim Windows-Start starten soll oder in msconfig? Ich hab es im Programm gemacht, er startet nicht, steht in msconfig aber dennoch angehakt drin. Das wundert mich etwas, aber vielleicht kannst du Licht ins Dunkel bringen.

Vielen Dank für die ausführliche Hilfe!!! :applaus:

Viele Grüße, Rumpel

Hallo!

Kannst du bitte noch meine letzten Fragen beantworten? Gerade auch die den Defogger betreffend. ich habe seitdem noch nicht wieder auf Daemon zurückgreifen müssen. Trotzdem wüsste ich da gerne bescheid. Denn es steht ja ausdrücklich drin, dass man Re-Enable nur nach Anweisung drücken soll.

Außerdem ist mir aufgefallen, dass seit unserer Arbeit auf den beiden Partitionen jeweils ein Ordner namens $RECYCLE.BIN befindet. Wie verfahre ich mit dem? Oder gehört der jetzt dazu?

Ich danke dir für deine Hilfe. Respekt für den Aufwand, den du hier betreibst!!! :dankeschoen:

Viele Grüße, Rumpel

defogger ist nur relevant wenn du virtuelle optische Laufwerke installiert hast mit daemontools oder so und ja, da wir durch waren dachte ich eigentlich, dass es logisch ist den defogger wieder zu reaktivieren :pfeiff:

Ist Google bei dir kaputt? :confused: