Malware (Trojaner, Virus?) GamePlayLab / CrossFire.Gen hat sich breitgemacht
 

Hallo!

Habe mir wohl irgendwas eingefangen, mit großer Sicherheit als DriveBy oder beim Ansehen eines Videos im Internet:

1) Mein Firefox-Browser (nicht der Internet-Explorer!) leitet mich beim Aufruf bestimmter Seiten (z. B. www.sueddeutsche.de) auf die Seite hxxp://www.dubizzle.com/ um. Das hat mich irritiert. Andere Auswirkungen habe ich bislang noch nicht bemerkt.

2) Scan mit Malwarebytes (aktuelle Datenbank) ergibt mehrfache Befunde: PUP.GamePlayLab (10x), Adware.GamePlayLab (1x), PUP.CrossFire.Gen (4x).

Nach Eurer Anleitung habe ich dann mit OTL gescannt und OTL.txt sowie Extras.txt als Zip-File beigegeben.

Zusätzlich habe ich die Malwarebytes-Logfiles mit beigegeben:

1 - Ein älteres vom letzten sauberen Scan.
2 - Das von dem Scan, bei dem die Infektion festgestellt wurde.
3 - Das vom Scan nach der Bereinigung.

Nachdem ich die von Malwarebytes aufgezeigten Scans in die Quarantäne gestellt habe, besteht dieses mysteriöse Umleitungsproblem beim Firefox weiter. Nochmal definitiv: ich gebe www.sueddeutsche.de ein und komme gleich auf dubizzle.com.

Anmerkung:

Ich habe meinen Computer-Accountnamen gemäß Eurer Anleitung durch *** ersetzt; den Computernamen (benutze ich blöderweise auch andernorts als Benutzernamen) durch "yyy".

Das PW für die Logfiles.zip-Dateien lautet "Trojanerproblem 2012". Habe das nur gesetzt, weil die Zip-Dateien so nicht als Quasi-Klartext und für alle Zukunft dann automatisiert durchsuchbar im Internet stehen. Dass ich es hier begleitend mitreinschreibe, wäre in dieser Hinsicht ja unproblematisch. Bitte nicht böse sein wegen der Verpasswortung - ist echt Wahnsinn, wieviel man aus so einem Logfile über jemanden erfahren kann! Ich fühl mich schon ganz nackig ... (Muss man sich schämen fürs Civilization-Spielen? ;)

Hoffe, ich habe alles richtig (und es Euch nicht irgendwie schwer) gemacht. Übrigens: ich bin gerade in der heißen und verzweifelten Prüfungsphase zum Abschluss meines Fortbildungsstudiums, gegen akut drohende Arbeitslosigkeit ... Deshalb würden sich ich und meine Familie ganz arg über einen wieder gesicherten Computer freuen ... Jetzt schon 1000 Dank für Eure Hilfe!

PS. Außer dieser seltsamen Umleitung - was macht dieses GamePlayLab-Zeugs eigentlich?

:hallo:

Bitte keine Passwoerter, das ist nur nervig.
Anonymisieren reicht doch vollkommen aus!
Hier gibts abertausende solcher Logs.


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Vielen Dank für Deine Antwort!

OK, keine Passwörter - sorry. Hier das Log (das mit dem Code-Tag kriege ich nicht hin, daher einfach nur der einkopierte Text der Logdatei). Den Firefox habe ich letztens übrigens (unter Datenverlust) neu aufgesetzt. Jetzt werde ich zwar nicht mehr auf dubizz umgeleitet, aber dass das Problem damit erledigt sei, scheint mir doch zu einfach ...

Ach ja - nen guten Morgen noch!

PS. Hinter *** verbergen sich mein und der Name/Account meiner Frau. Hätte ich das durch verschiedene Strings ersetzen sollen? Wird schon nichts machen, lasse es also so.




# AdwCleaner v1.800 - Logfile created 08/12/2012 at 04:58:28
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium (64 bits)
# User : *** - yyy
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\***\AppData\Local\Winamp Toolbar
Folder Found : C:\Users\Günter.yyy\AppData\Local\Winamp Toolbar
Folder Found : C:\Users\***\AppData\Local\Temp\AskBarDis
Folder Found : C:\Users\Günter.yyy\AppData\Local\Temp\AskBarDis
Folder Found : C:\Users\***\AppData\LocalLow\pdfforge
Folder Found : C:\Users\***\AppData\LocalLow\Search Settings
Folder Found : C:\ProgramData\Winamp Toolbar
Folder Found : C:\Program Files (x86)\AskBarDis
Folder Found : C:\Program Files (x86)\Winamp Toolbar
File Found : C:\Users\***\AppData\Local\Temp\Uninstall.exe

***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Key Found : HKCU\Software\AppDataLow\AskBarDis
Key Found : HKCU\Software\AppDataLow\Software\Conduit
Key Found : HKCU\Software\Cr_Installer
Key Found : HKCU\Software\Winamp Toolbar
Key Found : HKLM\SOFTWARE\Classes\AppID\winamptbServer.exe
Key Found : HKLM\SOFTWARE\Classes\S
Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch
Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch.1
Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand
Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand.1
Key Found : HKLM\SOFTWARE\Classes\WinampTb.Downloader
Key Found : HKLM\SOFTWARE\Classes\WinampTb.Downloader.1
Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo
Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo.1
Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams
Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams.1
Key Found : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper
Key Found : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper.1
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winamp Toolbar
Key Found : HKLM\SOFTWARE\Winamp Toolbar
[x64] Key Found : HKCU\Software\AppDataLow\AskBarDis
[x64] Key Found : HKCU\Software\AppDataLow\Software\Conduit
[x64] Key Found : HKCU\Software\Cr_Installer
[x64] Key Found : HKCU\Software\Winamp Toolbar
[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\winamptbServer.exe
[x64] Key Found : HKLM\SOFTWARE\Classes\S
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch.1
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand.1
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.Downloader
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.Downloader.1
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo.1
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams.1
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper
[x64] Key Found : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper.1
[x64] Key Found : HKLM\SOFTWARE\Software

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{B27D9527-3762-4D71-963D-FB7A94FDD678}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{0702A2B6-13AA-4090-9E01-BCDC85DD933F}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45A2-B558-1755C3F6253B}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{622FD888-4E91-4D68-84D4-7262FD0811BF}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{6EF4E91D-DDD5-4478-BCA7-DA04435934C0}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{841FD004-57A2-4B49-BBDB-5897394619DB}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{B0DE3308-5D5A-470D-81B9-634FC078393B}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{B38D6EDE-390B-4620-8365-29E16459EBDA}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{F20F11FD-203E-45A9-B7BB-AFC1B4FEA7A6}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{FE178B09-C8AA-4734-804D-1849BCCA0C29}
Key Found : HKLM\SOFTWARE\Classes\Interface\{0F54B66A-21CF-4548-AE59-A6B83EE6676F}
Key Found : HKLM\SOFTWARE\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Key Found : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Key Found : HKLM\SOFTWARE\Classes\Interface\{51A971CA-D36E-4D13-A799-2CF0A491D04D}
Key Found : HKLM\SOFTWARE\Classes\Interface\{56FBEA9F-EF93-4318-B75F-A96FC7C7BD7B}
Key Found : HKLM\SOFTWARE\Classes\Interface\{78B3C85E-44FF-4DC8-B3AD-156F39DC75E5}
Key Found : HKLM\SOFTWARE\Classes\Interface\{841FD004-57A2-4B49-BBDB-5897394619DB}
Key Found : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Key Found : HKLM\SOFTWARE\Classes\Interface\{E1164984-B567-47BD-A7FF-240C2594404A}
Key Found : HKLM\SOFTWARE\Classes\Interface\{E19FDA06-5BDF-43C2-B794-BCD8A4C2051F}
Key Found : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Key Found : HKLM\SOFTWARE\Classes\Interface\{FAB076F5-E4DD-4EA4-AFEE-F18BF972B057}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{538CD77C-BFDD-49B0-9562-77419CAB89D1}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\{B27D9527-3762-4D71-963D-FB7A94FDD678}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{0F54B66A-21CF-4548-AE59-A6B83EE6676F}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{51A971CA-D36E-4D13-A799-2CF0A491D04D}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{56FBEA9F-EF93-4318-B75F-A96FC7C7BD7B}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{78B3C85E-44FF-4DC8-B3AD-156F39DC75E5}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{841FD004-57A2-4B49-BBDB-5897394619DB}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{E1164984-B567-47BD-A7FF-240C2594404A}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{E19FDA06-5BDF-43C2-B794-BCD8A4C2051F}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
[x64] Key Found : HKLM\SOFTWARE\Classes\Interface\{FAB076F5-E4DD-4EA4-AFEE-F18BF972B057}
[x64] Key Found : HKLM\SOFTWARE\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
[x64] Key Found : HKLM\SOFTWARE\Classes\TypeLib\{538CD77C-BFDD-49B0-9562-77419CAB89D1}
[x64] Key Found : HKLM\SOFTWARE\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
[x64] Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
[x64] Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
[x64] Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ixt14uh6.default\prefs.js

Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\poq0eflx.default\prefs.js

Found : user_pref("extensions.crossriderapp3491.adsOldValue", -1);

Profile name : default
File : C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\h5yxyg2p.default\prefs.js

Found : user_pref("extensions.crossriderapp3491.adsOldValue", -1);

*************************

AdwCleaner[R1].txt - [11498 octets] - [12/08/2012 04:58:28]

########## EOF - C:\AdwCleaner[R1].txt - [11627 octets] ##########

Sehr gut! :daumenhoc

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Wie ich sehe, haben Milch und Kekse auch Dich wachgehalten ;) Oder Du bist Frühaufsteher ...

Was ich Dir bieten kann, ist das Logfile der AdwCleaner-Löschaktion - kopiere ich gleich ein. Emisoft Antimalware kann ich nicht installieren: da kommt eine Meldung, dass ich zuerst das Win-7-Service-Pack 1 installieren müsse. Habe ich noch nicht installiert. Also folge ich der Anleitung unter hxxp://windows.microsoft.com/de-de/windows7/learn-how-to-install-windows-7-service-pack-1-sp1# , aber mein Rechner meldet nur, dass er Update-mäßig bereits auf dem neuesten Stand sei - kein Angebot, ein Service-Pack installieren zu können.

Emisoft Antimalware läuft also nicht bei mir. Vielleicht gibt es eine Alternative? Hier erst mal das AdwCleaner-Logfile - und wieder einmal ein Dankeschön!





# AdwCleaner v1.800 - Logfile created 08/12/2012 at 06:01:27
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium (64 bits)
# User : *** - yyy
# Running from : C:\Users\***\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\***\AppData\Local\Winamp Toolbar
Folder Deleted : C:\Users\Günter.yyy\AppData\Local\Winamp Toolbar
Folder Deleted : C:\Users\***\AppData\Local\Temp\AskBarDis
Folder Deleted : C:\Users\Günter.yyy\AppData\Local\Temp\AskBarDis
Folder Deleted : C:\Users\***\AppData\LocalLow\pdfforge
Folder Deleted : C:\Users\***\AppData\LocalLow\Search Settings
Folder Deleted : C:\ProgramData\Winamp Toolbar
Folder Deleted : C:\Program Files (x86)\AskBarDis
Folder Deleted : C:\Program Files (x86)\Winamp Toolbar
File Deleted : C:\Users\***\AppData\Local\Temp\Uninstall.exe

***** [Registry] *****
[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Key Deleted : HKCU\Software\AppDataLow\AskBarDis
Key Deleted : HKCU\Software\AppDataLow\Software\Conduit
Key Deleted : HKCU\Software\Cr_Installer
Key Deleted : HKCU\Software\Winamp Toolbar
Key Deleted : HKLM\SOFTWARE\Classes\AppID\winamptbServer.exe
Key Deleted : HKLM\SOFTWARE\Classes\S
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.AOLTBSearch.1
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.AOLToolBand.1
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.Downloader
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.Downloader.1
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.ToolbarInfo.1
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams
Key Deleted : HKLM\SOFTWARE\Classes\WinampTb.ToolbarParams.1
Key Deleted : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper
Key Deleted : HKLM\SOFTWARE\Classes\WinampTbServer.AolToolbarHelper.1
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Winamp Toolbar
Key Deleted : HKLM\SOFTWARE\Winamp Toolbar
[x64] Key Deleted : HKLM\SOFTWARE\Software

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{B27D9527-3762-4D71-963D-FB7A94FDD678}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{0702A2B6-13AA-4090-9E01-BCDC85DD933F}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45A2-B558-1755C3F6253B}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{622FD888-4E91-4D68-84D4-7262FD0811BF}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{6EF4E91D-DDD5-4478-BCA7-DA04435934C0}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{841FD004-57A2-4B49-BBDB-5897394619DB}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{B0DE3308-5D5A-470D-81B9-634FC078393B}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{B38D6EDE-390B-4620-8365-29E16459EBDA}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F20F11FD-203E-45A9-B7BB-AFC1B4FEA7A6}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{FE178B09-C8AA-4734-804D-1849BCCA0C29}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{0F54B66A-21CF-4548-AE59-A6B83EE6676F}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{51A971CA-D36E-4D13-A799-2CF0A491D04D}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{56FBEA9F-EF93-4318-B75F-A96FC7C7BD7B}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{78B3C85E-44FF-4DC8-B3AD-156F39DC75E5}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{841FD004-57A2-4B49-BBDB-5897394619DB}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E1164984-B567-47BD-A7FF-240C2594404A}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E19FDA06-5BDF-43C2-B794-BCD8A4C2051F}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{FAB076F5-E4DD-4EA4-AFEE-F18BF972B057}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{538CD77C-BFDD-49B0-9562-77419CAB89D1}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25CEE8EC-5730-41BC-8B58-22DDC8AB8C20}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}]
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{0F54B66A-21CF-4548-AE59-A6B83EE6676F}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{51A971CA-D36E-4D13-A799-2CF0A491D04D}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{56FBEA9F-EF93-4318-B75F-A96FC7C7BD7B}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{78B3C85E-44FF-4DC8-B3AD-156F39DC75E5}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{841FD004-57A2-4B49-BBDB-5897394619DB}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E1164984-B567-47BD-A7FF-240C2594404A}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E19FDA06-5BDF-43C2-B794-BCD8A4C2051F}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
[x64] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{FAB076F5-E4DD-4EA4-AFEE-F18BF972B057}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ixt14uh6.default\prefs.js

Deleted : user_pref("extensions.hxxps_everywhere.Blekko", true);
Deleted : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\poq0eflx.default\prefs.js

Deleted : user_pref("extensions.crossriderapp3491.adsOldValue", -1);

Profile name : default
File : C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\h5yxyg2p.default\prefs.js

Deleted : user_pref("extensions.crossriderapp3491.adsOldValue", -1);

*************************

AdwCleaner[R1].txt - [11537 octets] - [12/08/2012 04:58:28]
AdwCleaner[S1].txt - [8950 octets] - [12/08/2012 06:01:27]

########## EOF - C:\AdwCleaner[S1].txt - [9078 octets] ##########

Spiele alle Updates ein inkl. SP1 !

OK, weiter im Text:

Habe also alles ignoriert, was mir der Computer gesagt hat, das Service Pack 1 manuell runtergeladen (über chip.de) und aufgespielt.

Dann habe ich einen EmsiSoft-Scan durchlaufen lassen, getreu Anleitung auf Eurer einschlägigen Seite. Das Log poste ich weiter unten. Dazu Folgendes, das macht es Dir vielleicht leicher:

Aircrack und PasswordRecovery wurden von Emsi moniert, sind aber saubere Downloads von Chip.de ("Software aus der Grauzone - Finden Sie ihre Sicherheitslücken"). Da hieß es auch, dass man Malwaremeldungen erhalten, aber getrost ignorieren könne. Die Programme wurden auch niemals installiert / aufgerufen.

Aber egal: alles in Quarantäne verschoben und weg.

"bitcoinplus\applet\MiningApplet.class" - ich mine keine BitCoins! Keine Ahnung, was das soll!

Ich danke Dir schon mal, und wünsche Dir - wohl am besten nen guten Morgen!

Die Butterbrezel ;-)


__________________________________________



Emsisoft Anti-Malware - Version 6.6
Letztes Update: 12.08.2012 22:17:36

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 12.08.2012 22:24:53

c:\windows\system32\hooks.dll gefunden: Trace.File.stealth keylogger 5.0!E1
C:\Users\***\Desktop\Programm-Downloads (Transfer von kl 18.07.2012)\WLAN-Netze 'Sicherheitsprüfung' (chip.de grau)\aircrack-ng-1.1-win.zip -> aircrack-ng-1.1-win\bin\aircrack-ng.exe gefunden: possible-Threat.Aircra.A!E2
C:\Users\***\Desktop\Programm-Downloads (Transfer von kl 18.07.2012)\WLAN-Netze 'Sicherheitsprüfung' (chip.de grau)\aircrack-ng-1.1-win.zip -> aircrack-ng-1.1-win\bin\airdecap-ng.exe gefunden: not-a-virus:Hacktool.Aircrack!E2
C:\Users\***\Desktop\Programm-Downloads (Transfer von kl 18.07.2012)\WLAN-Netze 'Sicherheitsprüfung' (chip.de grau)\aircrack-ng-1.1-win.zip -> aircrack-ng-1.1-win\bin\packetforge-ng.exe gefunden: not-a-virus:Hacktool.Aircrack!E2
C:\Users\***\Desktop\Programm-Downloads (Transfer von kl 18.07.2012)\WLAN-Netze 'Sicherheitsprüfung' (chip.de grau)\aircrack-ng-1.1-win.zip -> aircrack-ng-1.1-win\bin\makeivs-ng.exe gefunden: not-a-virus:Hacktool.Aircrack!E2
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-38511c49 -> com\bitcoinplus\applet\MiningApplet.class gefunden: Java.Bitcoin!E2
C:\Users\***\AppData\Local\Temp\pSHtJDzT.exe.part gefunden: Riskware.Win32.Toolbar.Widgi.AMN!E1
C:\Tf (Laptop-Dt 2010-04)\Password wiederfinden\abfPasswordRecoveryInstall.exe gefunden: Riskware.PSWTool.Win32.PasswordRecovery.AMN!E1
C:\$RECYCLE.BIN\S-1-5-21-3772810510-3732114791-324854584-1000\$RG27IVL.exe gefunden: Riskware.Win32.Somoto.AMN!E1

Gescannt 979216
Gefunden 9

Scan Ende: 13.08.2012 02:41:03
Scan Zeit: 4:16:10

C:\$RECYCLE.BIN\S-1-5-21-3772810510-3732114791-324854584-1000\$RG27IVL.exe Quarantäne Riskware.Win32.Somoto.AMN!E1
C:\Tf (Laptop-Dt 2010-04)\Password wiederfinden\abfPasswordRecoveryInstall.exe Quarantäne Riskware.PSWTool.Win32.PasswordRecovery.AMN!E1
C:\Users\***\AppData\Local\Temp\pSHtJDzT.exe.part Quarantäne Riskware.Win32.Toolbar.Widgi.AMN!E1
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2e002d9c-38511c49 -> com\bitcoinplus\applet\MiningApplet.class Quarantäne Java.Bitcoin!E2
C:\Users\***\Desktop\Programm-Downloads (Transfer von kl 18.07.2012)\WLAN-Netze 'Sicherheitsprüfung' (chip.de grau)\aircrack-ng-1.1-win.zip -> aircrack-ng-1.1-win\bin\airdecap-ng.exe Quarantäne not-a-virus:Hacktool.Aircrack!E2
c:\windows\system32\hooks.dll Quarantäne Trace.File.stealth keylogger 5.0!E1

Quarantäne 6

Du vielleicht nicht, aber vielleicht jemand anders (der deinen PC dazu benutzt) ;)

Sehr gut! :daumenhoc



Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Soll er dran ersticken, das Aas :balla:

Allerdings bin ich gerade hart daran, mein Studium in den Sand zu setzen - da ich bis spätestens Mittwoch Abends eine Arbeit einschicken muss, die ... noch nicht ganz fertig ist. Dazu hat nicht zuletzt auch dieser Mist beigetragen.

Deshalb muss ich auch bei einer so notwendigen Sache wie der hier bis Mi. noch einen Gang zurück fahren. Werde aber mal zusehen, dass mein Rechner mit solchen Scans beschäftigt ist, wenn ich den Rechner mal nicht fürs Schreiben/Recherchieren brauche - etwa wenn ich doch mal schlafe ...

Aber ich bleibe am Ball, und auch jetzt mittendrin schon mal vielen Dank für Deine Hilfe!!!

Liebe Grüße - Butterbrezel

Alles klar ;)

So - da bin ich wieder. Die Arbeit ist fertig und wurde buchstäblich in der letzten Minute noch fristgerecht abgeschickt. Und ehe ich ins Bett gefallen bin, habe ich, wie versprochen, noch den ESET-Scan laufen lassen, Ergebnis:

C:\Partition D\--- KP\A-B - alt\Internet+Kommunikation\Formate umwandeln\YouTube runterladen - FreeFlvConverter.exe Win32/Toolbar.Widgi application cleaned by deleting - quarantined
C:\Users\Tomate\AppData\Local\Temp\VidSaver11_20120508.exe Win32/Toolbar.CrossRider application cleaned by deleting - quarantined

(Diese zwei Zeilen sind auch schon das ganze Logfile vom Scan!)

Der erste von beiden Funden ist unkritisch - das ist nur irgendwelcher alter Datenmüll, der von der Festplatte des vorvorvorletzten Computers mitgenommen, aber seitdem nie irgendwie aktiviert wurde.

Beim zweiten mache ich mir Sorgen, denn "CrossRider" wurde schon ganz am Anfang von MalwareBytes gefunden und - angeblich - eliminiert (Quarantäne - siehe Logfile im Zipordner in meinem ersten Posting, Datei: "mbam-log-2012-08-10 (02-12-32 - Schaddateien dann in Quarantäne).txt"). Kann es sein, dass der sich irgendwo versteckt hat, wo ihn Malwarebytes nicht gefunden hat, und sich nachher wieder neu ausgebreitet hat?

So - und jetzt ab zur Arbeit. Und mal wieder 1000 Dank für Deine Hilfe!

Grüße von der Brezel :-)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 6 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Da bin ich wieder!

OK, habe jetzt das alte Java deinstalliert und das neue installiert. Nach einem Neustart bin ich dann in die Systemsteuerung gegangen und habe bei Java unter "Allgemein" die temporären Dateien gelöscht. War allerdings nicht unter "Programme", sondern gleich im Menü "Systemsteuerung".

Hier die Anzeige vom PluginCheck:

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 14.0.1 ist aktuell

Flash (11,3,300,268) ist aktuell.

Java (1,7,0,6) ist aktuell.

undefined

Demnächst werde ich das aber nochmal runterhauen und woandersher neuladen, weil das offenbar nur die 32-bit-Version war, und mein Rechner ein 64bitter ist.



Wieso denkst Du, dass es ausgerechnet an Java lag? Ist das ein Java-spezifischer Schädling?

Tatsächlich habe ich vor einem Dreivierteljahr Java 7 wieder runtergeschmissen und mir eine alte Version geholt, weil LibreOffice nicht mit 7 kompatibel war - zumindest auf einer größeren Zahl von LibO-Nutzerrechnern. Auf der Users-Liste von LibO wurde das so empfohlen! Wie eine Anfrage vor mehreren Wochen ergab, haben die das Problem immer noch nicht gelöst.

Aber egal - nach einem halben Jahr intensiver Bemühungen um LibO bin ich jetzt doch wieder auf MS Office 2003 zurückgewechselt. Ich lasse den LibO-Leuten noch ein paar Jahre Zeit, das Teil zur Reife zu bringen. Das braucht es auch ...

Liebe Grüße -

El Brezel

Dieser nicht. Aber mit einer alten Version ist dein Rechner offen wie ein Scheunentor.


Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

OK, durchgeführt!

Obwohl ich meine Comodo-Firewall vorher deinstallieren musste, denn selbst wenn ich Comodo beendet hatte, lief da noch ein Prozess im Hintergrund (cmdagent.exe), den man nicht killen konnte. ComboFix hat sich dann über "Comodo Defense+" aufgeregt, und hätte den Scan beim ersten Mal beinahe trotzdem angefangen, obwohl der Comodo-Prozess noch lief. Konnte das nur mit einem Neustart des System verhindern, weil ComboFix selbst nicht mehr unterbrochen werden konnte und nur noch "OK" angeboten hat, um anzufangen ...

KeePass wurde mir von ComboFix auch zerschossen, aber (nach mehreren Versuchen) ließ es sich dann wieder neu installieren.

Ach ja: ich habe jetzt schon ein paarmal das System neugestartet, und nunmehr kommt in der Schlussphase des Hochfahrens immer eine Phase von ca. 1-1,5 Minuten (die vor ComboFix nicht da war), während der das Desktop wie eingefroren wirkt. Beim ersten Mal dachte ich schon, der Rechner wäre abgestürzt.

Vielen Dank wieder von ---

t'Butterbrezel


PS. Bei der Bitte "zwischen Code-Tags einfügen" (HTML?) wäre es vielleicht gut, das für Nicht-HTML-kundige kurz zu erklären.


Und hier die Logs:

Log des Combofix-Scans:


_________________________________________________________________________________

Die Datei C:\Qoobox\Add-Remove Programs.txt