BKA-Sperrung auch bei mir - Rechner wieder sauber (zu kriegen)?
 

Hallo Ihr lieben Helfer,

ich wäre sehr dankbar, wenn auch mir jemand helfen könnte.
Ich habe gestern in den Nachrichten die Warnung vor dem BKA-Ding (Virus? Trojaner?) gesehen und zwei Stunden später hatte ich ihn live auf dem Schirm... : (
Dummerweise nicht auf meinem, sondern auf einem Arbeitslaptop von meinem Freund, den ich mir geliehen habe, weil ich morgen ein superwichtiges Vorstellungsgespräch habe, das ich vorbereiten muß...

Mein Freund ist natürlich hochbegeistert und außerdem momentan für eine Woche weg.
Daher hoffe ich inständig, daß es eine Möglichkeit gibt, eine hohe Wahrscheinlichkeit von Virenfreiheit auf diesem Laptop zu erreichen, ohne ihn neu aufzusetzen. Und ja, ich habe hier mehrfach zu meinem Entsetzen gelesen, daß das die einzig zuverlässige Methode ist, aber zumindest "gebrauchsrein" geht vielleicht auch so, hab' ich gehofft. Ich kann das nämlich nicht und ich hätte auch irre Angst, bei einem Back-Up irgendwelche wichtigen Dateien von ihm zu übersehen...


Das Problem:

- Er hat Avira Free, leider hatte mein Freund die automatischen Updates deaktiviert. Das hab' ich nun aktiviert, in der Hoffnung, daß das die Kiste sicherer macht....
- Firewall kann ich keine entdecken - mein eigener Laptop hat ZoneAlarm, das hat dieser nicht - ob er eine hat, die ich nicht kenne, kann ich nicht sagen, bin ein blutiger Laie

- BKA-Meldung kam gestern, alles eingefroren, keine Chance. Mit dem Rechner meiner Mutter hab' ich nach "Erster Hilfe" gesucht und diese auch gefunden. Bei t-online wurde geraten, den Task-Manager zu öffnen und bestimmte Prozesse zu beenden. Ging leider nicht - Taskmanager ging nur auf, wenn ich vorher "Escape" gedrückt habe und dann nur so kurz, daß ich keine Chance hatte, Prozesse zu beenden.

- Daraufhin hab' ich nochmal geguckt und bei Youtube ein Video von so 'nem kleinen Kerlchen gefunden, wie man den Rechner im abgesicherten Modus hochfährt und einen früheren Wiederherstellungspunkt auswählt. Es hieß, die Dokumente etc. blieben erhalten, ich hoffe, daß das stimmt?!

- Seit gestern abend ist der Laptop also wieder auf dem Stand vom 9. August 2012. Scheint auch funktioniert zu haben, an die gestern nachmittag eingerichtete W-Lan-Verbindung konnte er sich nämlich nicht mehr "erinnern", das hat mir Mut gemacht.

- Seitdem läuft wieder alles wunderbar, scheint mir. Ich habe zwar den Einduck, daß der Arbeitsplatz recht lange braucht, um sich zu öffnen, das kann aber normal sein, ich benutze diesen Laptop ja sonst nix und kann nicht sagen, ob das vorher deutlich anders war...

- Dann wollte ich sichergehen, daß ich nun weiterarbeiten darf ohne daß noch das böse Erwachen folgt und bin auf Euer Forum gestoßen.

- Vorher hatte ich noch einen anderen Überprüfungstip ausprobiert:
Unter C:/Dokumente und Einstellungen/Sport/UserData ist keine .exe-Datei gespeichert. Da hieß es, niste sich das Ding auch ein...

- Seit gestern abend habe ich nun Malwarebytes in der aktuellsten Version drüberlaufen lassen - kein Fund...


Hier die Logs (2 alte - habe in einem anderen Thread hier gesehen, daß Ihr alle Berichte wolltet, deswegen stelle ich mal alle vier ein. Wenn das unnötig sein sollte, bitte die ersten beiden ignorieren - und dann den Quick-Scan von gestern abend sowie den vollständigen Scan)

---------- Nr. 1-------------------------
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.30.05

Windows XP Service Pack 2 x86 FAT32
Internet Explorer 6.0.2900.2180
Sport :: AWS-SPORT [Administrator]

30.07.2012 12:23:22
mbam-log-2012-07-30 (12-23-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 232834
Laufzeit: 8 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
-------------------------------------------


-------Nr. 2-------------------------

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.30.05

Windows XP Service Pack 2 x86 FAT32
Internet Explorer 6.0.2900.2180
Sport :: AWS-SPORT [Administrator]

30.07.2012 12:39:04
mbam-log-2012-07-30 (12-39-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 296804
Laufzeit: 45 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

-------------------------------------------------------------

---------Nr. 3---------------- (Quick-Scan nach Infizierung)---------

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.08

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 6.0.2900.5512
Sport :: AWS-SPORT [Administrator]

17.09.2012 23:42:40
mbam-log-2012-09-17 (23-42-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 242554
Laufzeit: 1 Stunde(n), 3 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

----------------------------------------------------------------------

----------------Nr. 4-------- (Vollständiger Suchlauf aktuell)--------

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.08

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 6.0.2900.5512
Sport :: AWS-SPORT [Administrator]

18.09.2012 00:48:41
mbam-log-2012-09-18 (00-48-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 314720
Laufzeit: 6 Stunde(n), 44 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

---------------------------------------

- Meldet also keinen Fund, in der Quarantäne ist auch nix.

- Habe dann den defogger runtergeladen und gestartet, der war dann irgendwann "Finished" und für meine Begriffe hat der nix weiter gemacht oder gemeldet. Allerdings habe ich weder "OK" klicken noch neustarten müssen - habe ich die Anweisung trotzdem richtig befolgt?

- OTL habe ich nun runtergeladen, da ich aber gelesen habe, daß man vor dem Durchlauf alle Programme schließen muß, wollte ich den Verlauf bis hierher erstmal absenden, damit keine Infos verloren gehen.
Werde also jetzt OTL laufen lassen und mich dann mit dem Bericht zurückmelden und hoffe, das ist in Ordnung von der Vorgehensweise her.

- Der Laptop scheint 32 bit zu haben, also muß ich laut Anleitung noch GMER machen. Hab' ich etwas Muffe vor, ehrlich gesagt - das klingt, als könnte man einiges versauen, wenn man ein Computertrottel ist wie ich und ein falsches Häkchen setzt oder auf einen blöden Knopf kommt...



So, das war jetzt sehr viel. Tut mir leid, wenn ich mich umständlich ausdrücke, aber ich kenne mich halt nicht aus.

Es wäre toll, wenn mir bald jemand helfen könnte,
ich leg' dann mal mit dem weiteren Scannen los,

vielen Dank schonmal,

Chrys

So, hier sind nun die Ergebnisse von OTL:

OTL.Txt:OTL Logfile:
--- --- ---

---------------------------------------------

Und das steht in Extras.Txt:OTL Logfile:
--- --- ---

Ach ja: Der Admin heißt "Sport" - was vermutlich jeder sofort sieht, der Ahnung hat... Dachte nur, ich erwähne es der Vollständigkeit halber lieber.
Versuche mich dann mal an GMER und melde mich mit den Ergebnissen zurück. Bis gleich!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ähm, jetzt bin ich etwas verwirrt - genau das hab' ich doch gemacht?!
Wie bereits in meinem Ursprungspost geschrieben habe ich genau diese Anweisung in einem bestehenden Thread zu diesem Problem gefunden und daher alle 4 Log-Dateien in meinen Post kopiert.

Nochmal zur Verdeutlichung, falls das in der detaillierten Beschreibung untergegangen sein sollte:

Nr. 1 und Nr. 2 sind die früher durchgeführten Scans mit Malwarebytes, sie stammen von Ende Juli 2012.
Nr. 3 ist der Log vom Quick-Scan gestern abend, nachdem ich die "Einfrierung" durch die Systemwiederherstellung beendet hatte (war der Versuch, schnellstmöglich eventuelle Schädlinge in Quarantäne zu verfrachten).
Nr. 4 ist der vollständige Scan, den man laut Anweisung hier auf der Seite machen soll. Der lief über Nacht durch.

Mehr Log-Dateien werden mir von Malwarebytes nicht angezeigt, alle finden sich oben in meinem Post. Muß ich noch woanders welche ausgraben? Ich glaube aber nicht, daß weitere existieren - normalerweise benutze ich Malwarebytes, mein Freund nicht so sehr, und ich habe vor Juli diesen Laptop nie benutzt...



Hier ist nun auch das Ergebnis von GMER:

GMER Logfile:
--- --- ---


Vergleichsweise wenig, aber mehr zeigt er mir nicht an.
Ich bin genau nach der Anweisung vorgegangen, hatte Avira Free abgestellt, Internet gekappt.
Dann gespeichert, Computer neu gestartet, Avira und W-Lan wieder aktiviert und jetzt gepostet - alles richtig?
Muß ich nun noch etwas tun oder kann man jetzt erkennen, ob der Rechner "über den Berg" ist?


Vielen lieben Dank,

Chrys

Meine Frage war aber eher, ob du vllt noch weitere Logs hast - ich kann in deinem Posting ja nicht sehen, ob du welche vergessen haben könntest. :pfeiff:

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://larusso.trojaner-board.de/Images/eset.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png.
• Klicke http://billy-oneal.com/Canned%20Spee...esetExport.png und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die Logfile hier.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hi cosinus,

ESET ist jetzt fertig und hat 4 Trojaner gemeldet...
Hier ist das Log:


Ich hoffe, das mit den Code-Tags funktioniert! Und daß die Funde kein schlechtes Zeichen sind...
Was muß ich jetzt tun?

Vielen Dank, daß Du Dich um mich und mein Problem kümmerst,

liebe Grüße


Chrys

Ach, und falls es wichtig sein sollte: Es erscheint immer wieder mal ein Meldungsfenster "Could not find flash.olx" oder so ähnlich...
Falls der genaue Name wichtig ist, kann ich den nochmal nachgucken - dauert aber meist ca. 30-60 Minuten, bis das kommt (ich glaube, es kommt, wenn der Bildschirmschoner aktiv wird).

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

So, das hat der Adw Cleaner zu vermelden:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Sorry, war gestern abend recht früh im Bett, aber jetzt geht's weiter.
Könntest Du mir vielleicht 'ne kurze Zwischeneinschätzung geben, wie schlimm es ist und ob es wahrscheinlich ist, daß wir (also ja eigentlich Du - wirklich ganz vielen Dank!) ihn ganz sauber kriegen?
Wäre sehr nett, weil ich doch ziemlich beunruhigt bin... Sieht nämlich aus, als hätte er recht viel zu löschen gehabt:

Das ist nur Werbemüll was vom adwCleaner erkannt und gelöscht wurde!

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also, Windows läuft eigentlich die ganze Zeit sehr brav! Gelegentlich scheint er mir etwas langsam, aber es war nichts richtig Ungewöhnliches mehr, seit ich mit der Wiederherstellung auf August den blöden Sperrbildschirm losgeworden bin.

Leere Ordner habe ich auch keine entdeckt - ich habe jetzt nicht alle Programme zu starten versucht, aber zumindest zeigen die Ordner die üblichen Unteroptionen an, wenn man mit dem Mauszeiger drübergeht. Ein paar Stichproben hab' ich auch gemacht, ließ sich alles prima öffnen.

Das einzig Komische ist die bereits oben erwähnte Meldung in grauer Box:

Could not find the file "flash.ocx"

wann immer er in Standby geht.

Kurze "Präventivfrage": Falls einer der nächsten Schritte ein neues OTL-Log sein sollte (wie bei vielen anderen hier mit dem gleichen Problem... hab' gestöbert ; )...), reicht dann die Version von vorgestern oder muß es immer das brandaktuelle von JETZT sein?
Und wenn Letzteres, reicht dann ein erneuter Download oder muß man das alte vorher deinstallieren und so?

Liebe Grüße, Chrys

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi cosinus,

damit ich das auch richtig mache, wäre es nett, wenn Du meine Frage aus dem vorigen Post eben noch beantworten könntest:

Falls einer der nächsten Schritte ein neues OTL-Log sein sollte (wie bei vielen anderen hier mit dem gleichen Problem... hab' gestöbert ; )...), reicht dann die Version von vorgestern oder muß es immer das brandaktuelle von JETZT sein?
Und wenn Letzteres, reicht dann ein erneuter Download oder muß man das alte vorher deinstallieren und so?

Dankeschön,
Chrys

Wenn du die schon auf dem Desktop vorhandene Version benutzen sollst, hätte ich ja wohl kaum geschrieben, dass du OTL neu runterladen sollst :pfeiff:
Der Grund ist, dass ich sicherstellen will, immer die aktuellste Version des jew. Tools zu verwenden. Und deinstallieren musst du bei OTL garnichts, einfach die alte OTL vorher löschen und neu runterladen.

Okay, okay. Habe jetzt alles frisch runtergeladen, das Log sieht so aus:


OTL Logfile:
--- --- ---


Ist das fein? : )

Vielen Dank für Deine ganze Hilfe und schönes Wochenende!

Ja war richtig, aber wir müssen erstmal dein Dateisystem optimieren, also Laufwerk D und E danach brauch ich wieder ein neues OTL-Log ;)

Partitionen nach NTFS konvertieren

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert d: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von D: eintippen (siehst Du im Arbeitsplatz auf D: - wenn "Lokaler Datenträger" da nur steht hat D: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung) - notfalls einen einfachen Namen für diese Partition vergeben im Arbeitsplatz über Rechtsklick=>Eigenschaften
4) Ggf. Bestätigen, dass das Laufwerk für den exklusiven Zugriff gesperrt werden muss mit J
5) Abwarten bis convert durch ist

Danach kommt C: dran

6) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
7) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
8) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Hi,
war heute den ganzen Tag unterwegs, aber Du bist ja sicher auch nicht böse, wenn man Dich sonntags nicht nervt... ; )
Habe das mit dem Konvertieren gemacht, OTL neu geladen und wieder so laufen lassen wie vorher (alle Benutzer, Quick Scan) und nehme an, das war richtig.
Avira hat sich dieses Mal plötzlich gemeldet und rumgenölt, der Herausgeber wäre nicht erkennbar und das Programm vielelicht böse, das hab' ich ignoriert.
Nachher hat sich Avira dann nochmal gemeldet und gesagt, daß es irgendwelche "hosts" geschützt und den Zugriff verweigert hat.

Muß ich Avira deaktivieren und noch ein Log erstellen oder ist das okay so? Bisher hatte ich das Problem nicht.

Hier das neue Log:

OTL Logfile:
--- --- ---


Liebe Grüße,

Chrys

Hm so sollte das Log nicht aussehen, war kein CustomScan!
Egal, mach bitte erst einen neuen Durchgang mit dem adwCleaner, da gibt es eine neue Version

Bitte mal den aktuellen adwCleaner runterladen, also die alte adwcleaner löschen und neu runterladen

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Oh, das tut mir leid. Was genau meintest Du denn - es sollte kein Custom Scan sein, war aber einer, oder umgekehrt - es hätte ein Custom Scan werden sollen und ich hab' ihn ohne "Custom" gemacht?

Wie gesagt, ich hatte wieder "Scanne alle Benutzer" angehakt und einen "Quick Scan" laufen lassen, wie in der Anweisung beim letzten Mal. Aber den Text habe ich diesmal nicht in die Box kopiert. Und dann kamen eben diese komischen Avira-Meldungen zwischendurch reingeschneit...

Hier jetzt das Log vom Adw Cleaner:


Das ging extrem schnell, ich hoffe, das ist ein gutes Zeichen?!

Ist der eigentlich besser/anders als CC Cleaner? Den hab' ich sonst immer mal benutzt bei meinem eigenen Laptop, wenn die Kiste zu langsam gerworden ist...
Hab' ihn aber im Verdacht, daß er beim letzten Mal mein Word 2003 gefressen hat - jedenfalls ist es wie vom Erdboden verschwunden, weshalb ich mir überhaupt nur den Laptop von meinem Freund geliehen hab', von dem wir die ganze Zeit den ver maledeiten Trojaner runterkratzen...

Grüße,

Chrys

Der adwCleaner ist etwas anderes als der CCleaner!

Und ein CustomScan wird es, wenn du meine Anleitung zu OTL richtig umsetzt :pfeiff:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Sorry,
keine Ahnung, wie ich das Customizing vorgestern übersehen konnte...
Habe das jetzt nachgeholt und hier ist das Ergebnis:

OTL Logfile:
--- --- ---


Außerdem hat Avira einen Fund gemeldet:
Ein Trojaner namens "Wheels of nd", den versuche ich gerade in die Quarantäne verschieben zu lassen - scheint aber etwas zu dauern, er zeigt seit 'ner ganzen Weile 30% an.

Ist das die miese Kröte von Erpresser-Virus oder wieder bloß Werbung?



Die Berichte hierzu (Scan lief über Nacht):

Um 06.12h:
In der Datei 'C:\System Volume Information\_restore{02026828-8E44-492E-A2AE-EE9D7E32334F}\RP68\A0026225.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Weelsof.nd' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

U, 05.12h:
In der Datei 'C:\System Volume Information\_restore{02026828-8E44-492E-A2AE-EE9D7E32334F}\RP68\A0026225.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Weelsof.nd' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Seit 01.12h einmal die Stunde die gleiche Meldung...

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi Cosinus,

ich hab' das Fix gemacht. Fehlermeldung, daß der Papierkorb auf C:/ defekt sei, ob ich den löschen will.
Ich hab' vorsichtshalber "Nein" geklickt - vielleicht war das blöd?!
Zumindest hat er dann neustarten wollen, das hab' ich ihn lassen - und jetzt geht das WLAN nicht mehr...
Hab' mehrfach versucht, die Verbindung zu reparieren, manuell deaktiviert und aktiviert etc.
Er behauptet, es gäbe keine Drahtlosnetzwerke in Reichweite...
Nun ja, ich sitze 1,50m neben dem Ding an meinem eigenen Laptop und benutze die angeblich nicht vorhandene Standardverbindung, um das hier zu posten.

Und jetzt?
Wollte ungern das ganze Log abtippen... : (

Hast Du 'ne Idee? Wäre ganz toll,

lieben Gruß

Chrys

Geht's im abgesicherten Modus mit Netzwerktreiber noch?
Funktioniert noch die kabelbasierte Netzwerkverbindung?

Das kann ich erst morgen nachgucken - bin bis morgen nicht zuhause und mein Freund kapiert das nicht, glaube ich... Mach' ich besser selbst.

Windows hat mich gefragt, ob ich den Drahtlosnetzwerkadapter "eingeschaltet" hätte - kann es sein, daß der "ausgegangen" ist? Habe mal unter "Hilfe" gesucht, aber Windows hat interessanterweise kein Stichwort für den Adapter und in der Systemsteuerung kann ich ihn ach nicht finden, sonst hätte ich mal geguckt, ob man mit dem was machen kann/muß?!

Melde mich morgen, sobald ich Deine Fragen beantworten kann!
Danke,

Chrys

Hi cosinus,

jetzt also: im abgesicherten Modus mit Netzwerktreiber ging auch nix, ebenfalls angeblich "Keine Drahtlose Netzwerkverbindung in Reichweite", obwohl der Rechner direkt daneben es problemlos empfängt.

Mit dem Kabel allerdings funktionierts, zum Glück! Sorry, daß das so lange gedauert hat, aber das geht nur aus 'ner anderen Wohnung im gleichen Haus - daher wäre es fein, wenn das mit dem WLAN wieder aktivierbar wäre... *g*


Nun erstmal endlich das Log von vorgestern:


Ich hoffe, das hilft weiter,

liebe Grüße

Chrys (sorry, daß das so kompliziert ist)

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hi,

ich hoffe, ich habe diesmal alles richtig gemacht! ; )
Beim ersten Mal scannen (falls Du irgendworan siehst, daß ich zwei Durchläufe gemacht hab'... *paranoia*) habe ich mich an die Anleitung in dem verlinkten Thread gehalten und daher die unteren zwei Häkchen nicht gesetzt gehabt - nach Erkennen meines fehlers hab' ich die Aktion mit den richtigen Einstellungen wiederholt.
Er hat auch sofort nach mir gebrüllt, habe alles geskipt, hier ist das Log:


Gute Nacht und bis morgen! Danke, daß Du so nett hilfst - solltest einen Orden kriegen!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

So, vom verlängerten Wochenende zurück, Internetzugang erbettelt und "gefixt":

Hier das Log:

Combofix Logfile:
--- --- ---


Nach wie vor behauptet er, es gäbe keine drahtlose Netzwerkverbindung in Reichweite. Außerdem kommt immer noch die "Can't find flash.ocx" Meldung...


Liebe Grüße und schönen Feiertag,

Chrys

Lässt sich aus der Ferne rel. schlecht beurteilen/eingrenzen
Hast du mal den Treiber für deinen WLAN-Adapter neu installiert?
Läuft der Dienst Konfigurationsfreie drahtlose Verbindung => So können Sie Probleme mit drahtlosen Netzwerkverbindungen in Windows XP Service Pack 2 beheben