Trojaner-Board - My start incredibar leider daten schon gelöscht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - My start incredibar leider daten schon gelöscht (https://www.trojaner-board.de/124639-my-start-incredibar-leider-daten-schon-geloescht.html)

Code:

    aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-10-31 14:21:43

-----------------------------

14:21:43.504    OS Version: Windows 6.1.7601 Service Pack 1

14:21:43.504    Number of processors: 2 586 0x1C0A

14:21:43.520    ComputerName: NICOLE-PC  UserName: nicole

14:22:01.803    Initialize success

14:24:19.919    AVAST engine defs: 12103100

15:01:21.102    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

15:01:21.118    Disk 0 Vendor: WDC_WD16 01.0 Size: 152627MB BusType: 3

15:01:21.149    Disk 0 MBR read successfully

15:01:21.149    Disk 0 MBR scan

15:01:21.321    Disk 0 unknown MBR code

15:01:21.352    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

15:01:21.492    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        56320 MB offset 206848

15:01:21.617    Disk 0 Partition - 00     0F Extended LBA             81283 MB offset 115550208

15:01:21.633    Disk 0 Partition 3 00     27 Hidden NTFS WinRE NTFS        14922 MB offset 282017792

15:01:21.789    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS        81282 MB offset 115552256

15:01:21.929    Disk 0 scanning sectors +312578048

15:01:22.179    Disk 0 scanning C:\windows\system32\drivers

15:02:02.770    Service scanning

15:03:15.965    Service MpKsle8bf3f07 c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{680E64EB-C38E-409A-BAB7-F72F80C47A4B}\MpKsle8bf3f07.sys **LOCKED** 32

15:04:09.364    Modules scanning

15:04:40.829    Disk 0 trace - called modules:

15:04:40.861    ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 

15:04:40.876    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84e717c8]

15:04:40.892    3 CLASSPNP.SYS[86db659e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x84449028]

15:04:42.857    AVAST engine scan C:\windows

15:04:58.614    AVAST engine scan C:\windows\system32

15:13:16.208    AVAST engine scan C:\windows\system32\drivers

15:14:05.036    AVAST engine scan C:\Users\nicole

15:24:24.294    Disk 0 MBR has been saved successfully to "C:\Users\nicole\Desktop\MBR.dat"

15:24:24.513    The log file has been saved successfully to "C:\Users\nicole\Desktop\aswMBR.txt"

Also hab es versucht unter dem gesichertem Modus konnte ich nicht ins Netz das ist alles was ich zusammen gebracht hab.

Code:

 GMER Logfile:
 

        Code:


        
GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-11-05 13:41:51

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.01.0

Running: sf86hvmb.exe; Driver: C:\Users\nicole\AppData\Local\Temp\pwdiqpog.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwRollbackEnlistment + 140D                                                           81E4CA49 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                             81E864D2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           peauth.sys                                                                                         A5C0CC9D 28 Bytes  CALL EDB2BF7B 

.text           peauth.sys                                                                                         A5C0CCC1 28 Bytes  CALL EDB2BF9F 
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                    [747024CB] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]               [746E562E] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]              [746E56EC] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipFree]                     [74702546] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]           [746F85AA] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]             [746F4D5E] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]            [746F5105] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]           [746F51DA] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]  [746F6707] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]            [746F8301] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]       [746F8850] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]     [746F90B1] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]           [746FE254] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT             C:\windows\Explorer.EXE[3320] @ C:\windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]               [746F4C90] C:\windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7601.17825_none_72d273598668a06b\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                             rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                             rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                             rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                             fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                             rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
 

Device          \Driver\ACPI_HAL \Device\0000004d                                                                  halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

 
--- --- ---

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Is wohl doch noch da :(

Code:

    Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.07.09
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

nicole :: NICOLE-PC [Administrator]
 

08.11.2012 00:22:06

mbam-log-2012-11-08 (00-34-58).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P

Deaktivierte Suchlaufeinstellungen: 

Durchsuchte Objekte: 215319

Laufzeit: 12 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\nicole\Downloads\PDFCreatorSetup.exe (PUP.BundleInstaller.BI) -> Keine Aktion durchgeführt.
 

(Ende)

Zitat:

Is wohl doch noch da

Nein

C:\Users\nicole\Downloads\PDFCreatorSetup.exe ist nur das Setup vom PDF-Creator, das eine Toolbar mitinstallieren kann.

Was ist mit ESET?

Also das läuft nicht weil ich das Proxy Configurieren soll ???
Ich bin echt ein Laie u hab kein Plan was das is...
Sorry bin Mama u versuch das alles immer schnellst möglich zu machen Danke für deine Hilfe!

Zitat:

Also das läuft nicht weil ich das Proxy Configurieren soll ???

Lesen:

Falsche Proxy Einstellungen entfernen

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

Also hab das nach geschaut u da war kein Häckchen gibt es noch einen Grund warum das nicht geht.

Hallo schade das du mir keine Antwort mehr gegeben hast! :(

Hab den Scheiß nun wieder da :confused::confused:

Hab mir Chrome runtergeladen weil es automatisches Übersetzungsprogramm hat naja jetzt das ganze theater wieder oder was?

Hab diesmal noch nix gelöscht werde mir mal Malweare neu holen u posten

Zitat:

Hallo schade das du mir keine Antwort mehr gegeben hast!

Hier wollen auch noch hunderte andere Leute Hilfe haben! Wenn ein Helfer mal einen Strang übersieht macht er as nicht nicht Absicht, für solche Fälle darfst du ruhig auch mal errinnern http://www.trojaner-board.de/images/icons/icon32.gif

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Ja wollte nicht so aufdringlich sein das war mir klar das ihr da mehr zutun habt.

Code:

   # AdwCleaner v2.008 - Datei am 21/11/2012 um 01:46:41 erstellt

# Aktualisiert am 17/11/2012 von Xplode

# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)

# Benutzer : nicole - NICOLE-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\nicole\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gefunden : C:\Program Files\Perion

Ordner Gefunden : C:\Users\nicole\AppData\LocalLow\boost_interprocess

Ordner Gefunden : C:\Users\nicole\AppData\Roaming\OpenCandy
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASAPI32

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASMANCS

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v16.0.2 (de)
 

Profilname : default 

Datei : C:\Users\nicole\AppData\Roaming\Mozilla\Firefox\Profiles\ouqcys85.default\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v [Version kann nicht ermittelt werden]
 

Datei : C:\Users\nicole\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R5].txt - [1467 octets] - [21/11/2012 01:46:41]
 

########## EOF - C:\AdwCleaner[R5].txt - [1527 octets] ##########

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in CODE-Tags hier in den Thread.