Windows Defender startet nicht Fehler 0x800106ba WIN VISTA/ Trojaner Trojan.SpyEyes.WC
 

hallo, logifle hier..

habe den Trojabern gelöscht, immerhin kam dann das Bildchirmfoto wieder, aber windows Defender bekomme ich nicht zum laufen, immer die Fehlermeldung. neu installieren ging auch nicht!! (geht eben nicht!)

hier der Log von Hijack..weiss hier jemand rat!?!?

HiJackthis Logfile:
--- --- ---

so, wie es aussieht läuft der defender eben nicht, wenn essentials geht. ok, scheint also richtig zu sein.

wenn jemand sich mal in den logfile einlesen kann, es geht der rechner immer noch sehr langsam..warum? keine Ahnung...

trotz trojaner löschung...

Der hiess übrigens:


trojan.spyeys.WC

siehe anhang..

vielleicht weiss ja jemand noch was, wie ich meinen pC noch etwas schneller bekomme.... ;-)

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Solche Angaben allein und auch Screenshots sind nicht wirklich hilfreich - poste die Logs vollständig!
Bitte beachten => http://www.trojaner-board.de/125889-...tml#post941520

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:




Bitte keine Hijackthis-Logfiles posten!!!

Hallo Mr Cosinus,

DANKE für die Mühe!

ich habe die ersten beiden Schritte gemacht..

hier vom ODL der Scan:


aOTL Logfile:
--- --- ---
Ist
das so richtig gepostet (Du siehst, ich habe wenig ahnung..)

FRAGE:

MUSS ICH DIE 32 BIT SUCHE JETZT MACHEN, ODER HABE ICH WAS VERGESSEN??

DANKSTE!

Zuerst stellst du mal dieses CAPSLOCK ab, das ist ja schrecklich :balla:
Noch nie davon gehört, dass STÄNDIGES GROSSSCHREIBEN als Geschreie wahrgenommen wird?

Zudem hatte ich ich so zimelich in der Mitte meines Postings noch ein paar Fragen über weitere Logs von Malwarebytes bzw. anderen Virenscannern

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo,

ja sorry, ich hatte schon so viel geschrieben, dass ich nicht mehr alles löschen wollte..schreien..ja habe davon gehört. also I am sorry!

:bussi:

hier der log vom ersten malwarescan:

[code]Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.28.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Jasmin :: JASMIN-PC [Administrator]

Schutz: Aktiviert

28.11.2012 16:05:57
mbam-log-2012-11-28 (16-05-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 204645
Laufzeit: 10 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\portwexexe.exe (Trojan.SpyEyes.WC) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\portwexexe.exe\config.bin (Trojan.SpyEyes.WC) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


ich habe übrigens versucht windows essentials zu stoppen für den scan, aber ich habe keinerlei Ahnung, wie ich essentials abschalte... ;-(

Danke nochmals für die Mühe..!


svenjens

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

SO Gmer log ist hier:

[code]GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-30 23:31:24
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\00000054 Hitachi_ rev.P22O
Running: 46w5tb8k.exe; Driver: C:\Users\Jasmin\AppData\Local\Temp\pgdiqpoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8BE02340, 0x3DA8C7, 0xE8000020]
.text C:\Windows\system32\drivers\ACEDRV08.sys section is writeable [0x988CF000, 0x328BA, 0xE8000020]
.pklstb C:\Windows\system32\drivers\ACEDRV08.sys entry point in ".pklstb" section [0x98913000]
.relo2 C:\Windows\system32\drivers\ACEDRV08.sys unknown last section [0x9892F000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Ok, gut. Wie weit ist denn aswMBR?

Hallo Hallo,

so jetzt habe ich den scan ebenfalls durch und werde das jetzt hier posten.. scheinbar gibt es keine gravierenden Mängel mehr.es läuft nur einfach sas sytem so super langsam..kannst Du irgendwas entdecken, was falsch eingestellt ist oder gibt es noch einen Rest von dem Trojaner??

[code]23:34:43.959 OS Version: Windows 6.0.6002 Service Pack 2
23:34:43.959 Number of processors: 1 586 0x5F03
23:34:43.959 ComputerName: JASMIN-PC UserName: Jasmin
23:34:46.389 Initialize success
23:38:24.785 AVAST engine defs: 12113001
23:43:04.040 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000054
23:43:04.056 Disk 0 Vendor: Hitachi_ P22O Size: 152627MB BusType: 6
23:43:04.196 Disk 0 MBR read successfully
23:43:04.196 Disk 0 MBR scan
23:43:04.212 Disk 0 unknown MBR code
23:43:04.259 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 145766 MB offset 63
23:43:04.337 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 6858 MB offset 298529280
23:43:04.493 Disk 0 scanning sectors +312575760
23:43:04.992 Disk 0 scanning C:\Windows\system32\drivers
23:44:34.661 Service scanning
23:44:54.114 Service MpKslac937443 C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B0760D5E-0602-41C9-B8E2-FF4A5D4420B9}\MpKslac937443.sys **LOCKED** 32
23:45:25.095 Modules scanning
23:47:06.043 Disk 0 trace - called modules:
23:47:06.605 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys dxgkrnl.sys nvlddmkm.sys watchdog.sys
23:47:06.605 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8594d560]
23:47:06.605 3 CLASSPNP.SYS[879a58b3] -> nt!IofCallDriver -> [0x84198e00]
23:47:06.620 5 acpi.sys[806136bc] -> nt!IofCallDriver -> \Device\00000054[0x83d94c90]
23:47:07.447 AVAST engine scan C:\Windows
23:48:28.614 AVAST engine scan C:\Windows\system32
23:57:57.218 AVAST engine scan C:\Windows\system32\drivers
23:58:33.831 AVAST engine scan C:\Users\Jasmin
00:09:51.339 AVAST engine scan C:\ProgramData
00:13:28.008 Scan finished successfully
00:23:50.635 Disk 0 MBR has been saved successfully to "C:\Users\Jasmin\Downloads\MBR.dat"
00:23:50.807 The log file has been saved successfully to "C:\Users\Jasmin\Downloads\avastenginelog.txt"

ich würde mich freuen, wenn ich einen guten Hinweis bekäme!! DAAANKE für die Arbeit die Du Dir machst, da der Rechner demnächst als miniserver dient, wäre es gut, wenn er "sauber" wäre ..

DANK!


svenjens

P.S.: habe nichts gedrüpckt was mit fix ausgestattet ist...:headbang::headbang::headbang::headbang::headbang::headbang::headbang:

das war :glaskugel::glaskugel::glaskugel: Gedankenübertragung!!!

Schon ok ;)
Wäre aber noch schöner wenn du das mit den CODE-Tags noch richtig machst :)
Und bitte NICHT mit Smilies übertreiben, danke!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Danke..ich kann Microsoft essentials nicht stoppen..

gehe aber erst mal schlafen..morgen gehts dann weiter..DU solltest ja auch mal schlafen.

Weisst Du wie ich essentials stoppen kann?

Gruss!

svenjens

Lass mal meinen Schlaf meine Sorge sein...melde dich wenn du Berichte hast :daumenhoc

Hallo Cosinus..

so combofix ist durch..das mit dem Code schaffe ich wohl nie..

[code]
Combofix Logfile:
--- --- ---


Bin neugierig was Du sagst..

DANke nochmals für die Mühe!

Was sagt denn mittlerweile der Windows-Defender?

Hallo Consinus,

inzwischen haben wir herausgefunden, das Microsfot essentials die Aufgabe mit übernimmt und den Defender "unterdrückt" (Vista) komisch aber ist wohl so.

Hast DU noch irgendetwas gesehen, wie wir unser system berichtigen können? Viren /Trojaner sind wohl nicht mehr im System (zum Glück), oder?

Danke für Deine Mühe!!

svenjens

IMHO ist der Defender auch nicht wirklich notwendig...der Defender ist meist mit das erste was ich deaktiviere auf einem Vista/7

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

[code]

# AdwCleaner v2.011 - Datei am 03/12/2012 um 16:27:29 erstellt
# Aktualisiert am 02/12/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Benutzer : Jasmin - JASMIN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Jasmin\Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Datei Gefunden : C:\Users\Jasmin\AppData\Roaming\Mozilla\Firefox\Profiles\jhrgq5se.default\extensions\adapter@babylontc.com.xpi
Datei Gefunden : C:\Users\Jasmin\AppData\Roaming\Mozilla\Firefox\Profiles\jhrgq5se.default\extensions\ocr@babylon.com.xpi
Datei Gefunden : C:\Users\Jasmin\AppData\Roaming\Mozilla\Firefox\Profiles\jhrgq5se.default\searchplugins\Askcom.xml
Datei Gefunden : C:\Windows\system32\conduitEngine.tmp
Ordner Gefunden : C:\Program Files\Babylon
Ordner Gefunden : C:\Program Files\Conduit
Ordner Gefunden : C:\Program Files\ConduitEngine
Ordner Gefunden : C:\Program Files\SFT_de3
Ordner Gefunden : C:\ProgramData\Ask
Ordner Gefunden : C:\ProgramData\Babylon
Ordner Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Babylon
Ordner Gefunden : C:\ProgramData\Tarma Installer
Ordner Gefunden : C:\Users\Jasmin\AppData\Local\Babylon
Ordner Gefunden : C:\Users\Jasmin\AppData\Local\Conduit
Ordner Gefunden : C:\Users\Jasmin\AppData\LocalLow\Conduit
Ordner Gefunden : C:\Users\Jasmin\AppData\LocalLow\ConduitEngine
Ordner Gefunden : C:\Users\Jasmin\AppData\LocalLow\SFT_de3
Ordner Gefunden : C:\Users\Jasmin\AppData\Roaming\Babylon

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\conduitEngine
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\conduitEngine
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\SFT_de3
Schlüssel Gefunden : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gefunden : HKCU\Software\Babylon
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate this web page with Babylon
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Translate with Babylon
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Babylon
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SFT_de3 Toolbar
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF88A983-649D-4207-9336-9B999280B436}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FF88A983-649D-4207-9336-9B999280B436}
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\Software\Babylon
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{C0CEA572-2978-4DFC-A672-8100FF0E276A}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\BabylonIEPI.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\BabylonTC.EXE
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabyDict
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabyGloss
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonIEPI.BabylonIEBho
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonIEPI.BabylonIEBho.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonOfficeAddin.OfficeAddin.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonTC.GingerApplication
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabylonTC.GingerApplication.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\BabyOptFile
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{6AC0BB10-C922-45e2-857D-2A368FE749E5}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{BE5E5AC1-9926-4F3D-B850-8923E652A79E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{DF390AA1-1E65-4825-B8E7-BE6B47BD56B8}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{FF88A983-649D-4207-9336-9B999280B436}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{5F339F0B-716F-408F-A627-DEEB5DEB4020}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT3031778
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{0C2E529C-A82C-4AC6-8807-0B51F7AD7BB2}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\conduitEngine
Schlüssel Gefunden : HKLM\Software\conduitEngine
Schlüssel Gefunden : HKLM\Software\Description
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3A687F7F-60E5-40BF-AA7E-B90A9980A833}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{84B6B96C-3745-43AA-A1EA-82AF8BD24E07}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{954BA70D-59DA-400D-A021-587E77C336E3}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Babylon.exe
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FF88A983-649D-4207-9336-9B999280B436}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{BE5E5AC1-9926-4F3D-B850-8923E652A79E}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Babylon
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SFT_de3 Toolbar
Schlüssel Gefunden : HKLM\Software\SFT_de3
Schlüssel Gefunden : HKU\S-1-5-21-3369885131-2479379214-1242257067-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKU\S-1-5-21-3369885131-2479379214-1242257067-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{FF88A983-649D-4207-9336-9B999280B436}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{FF88A983-649D-4207-9336-9B999280B436}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Babylon Client]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16455

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/home?affID=66756&tt=4712_3

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default
Datei : C:\Users\Jasmin\AppData\Roaming\Mozilla\Firefox\Profiles\jhrgq5se.default\prefs.js

Gefunden : user_pref("browser.search.defaultengine", "Ask.com");
Gefunden : user_pref("extensions.BabylonToolbar.admin", false);
Gefunden : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Gefunden : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Gefunden : user_pref("extensions.BabylonToolbar.bbDpng", "21");
Gefunden : user_pref("extensions.BabylonToolbar.cntry", "DE");
Gefunden : user_pref("extensions.BabylonToolbar.dfltLng", "de");
Gefunden : user_pref("extensions.BabylonToolbar.dpkLst", "1169821598,3855095921,302281469,2400444324,3654782829[...]
Gefunden : user_pref("extensions.BabylonToolbar.envrmnt", "production");
Gefunden : user_pref("extensions.BabylonToolbar.excTlbr", false);
Gefunden : user_pref("extensions.BabylonToolbar.hdrMd5", "70DC29DBB612FBF3C5E265812F5D34F3");
Gefunden : user_pref("extensions.BabylonToolbar.hmpg", false);
Gefunden : user_pref("extensions.BabylonToolbar.id", "764dd3e5000000000000001d601280e2");
Gefunden : user_pref("extensions.BabylonToolbar.instlDay", "15665");
Gefunden : user_pref("extensions.BabylonToolbar.instlRef", "na");
Gefunden : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.8.3.810:49:06");
Gefunden : user_pref("extensions.BabylonToolbar.mntrvrsn", "1.3.1");
Gefunden : user_pref("extensions.BabylonToolbar.newTab", true);
Gefunden : user_pref("extensions.BabylonToolbar.pnu_base", "{\"newVrsn\":\"53\",\"lastVrsn\":\"53\",\"vrsnLoad\[...]
Gefunden : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gefunden : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gefunden : user_pref("extensions.BabylonToolbar.sg", "azb");
Gefunden : user_pref("extensions.BabylonToolbar.smplGrp", "azb");
Gefunden : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Gefunden : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Gefunden : user_pref("extensions.BabylonToolbar.vrsn", "1.8.3.8");
Gefunden : user_pref("extensions.BabylonToolbar.vrsnTs", "1.8.3.810:49:06");
Gefunden : user_pref("extensions.BabylonToolbar.vrsni", "1.8.3.8");
Gefunden : user_pref("extensions.BabylonToolbar_i.newTab", true);
Gefunden : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?affID=66756&tt=4712_3[...]
Gefunden : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gefunden : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.3.810:49:06");
Gefunden : user_pref("extensions.enabledAddons", "{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}:6.0.37,adapter@babylon[...]

*************************

AdwCleaner[R1].txt - [12212 octets] - [03/12/2012 16:27:29]

########## EOF - C:\AdwCleaner[R1].txt - [12273 octets] ##########




So Adw cleaner ist installiert und lief ziemlich rasch durch...

hier siehst Du das resultat..

;-)

Danke für die "Mühewaltung"..

herzlich

sven jens

Bitte die CODE-Tags richtig setzen!

Versuch bitte alle im adwCleaner-Log erwähnten Einträge (wie zB Conduit pder Babylon) über die Systemsteuerung zu deinstallieren, danach ein neues Suchlog mit dem adwCleaner machen.
Reste und was sich nicht deinstallieren lassen will machen wir mit dem adwCleaner weg.

habe mit dam Adw ales entfernt, ein teil iess sich gar nicht löschen.. er hat nahc neustart geschrieben: sauber und sauber...(registrierungsdatenbank ist sauber....)

Das solltest du doch noch garnicht!
Warum machst du was anderes als der Helfer dir sagt? :balla:

ouch.. ärgerlich... ich hatte das so verstanden.."was sich nicht deinstallieren lassen will machen wir mit dem adwCleaner weg" ok, das wir war eindeutig..

schade.. habe ich was kaputt gemacht?

Die Dinger sollten schon nach Möglichkeit sauber deinstalliert werden...naj egal http://www.greensmilies.com/smile/sm...ngs_pfeif2.gif

Wo ist denn das Log vom aswCleaner? Bitte in CODE-Tags...

hoffe so besser.. bis man weiss wie es geht..lach

Es ist nicht so einfach ;-)

aber das weisst Du ja sowieso!

svenjens

Eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

das 2. ist das "extras" log

bin neugierig, was Du sagst.. ;-)

DANKE!

Sven (ich habe Danke geschrien..schreck.)

Du hast aber nur das Extras-Log gepostet, das andere Log die OTL.txt wäre viel wichtiger

so gut?

Bester Gruss!

Unvollständige Logs helfen keinem weiter

ja habe das wohl falsch gemacht..danke für den Hinweis

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

also..malware logs:


hier das zweite:


der andere scan läuft gerade..dauert aber ewig ;-(

Danke für Deine Mühen..scheint ja Früchte zu tragen .....

Wie weit ist ESET?`

also in den Backupfiles wurden 7 Threads gefunden (unable to clean..es hat fast 15 h gedauert 8der scan)

Ich habe nichts entfernt.. und noch nicht deinstalliert..soll ich deinstallieren? (ENET)?

Das kann man ignorieren, von den Backup-Sets geht so keine Gefahr aus
Ansonsten nur Funde noch im Java-Cache:

Diesen Ordner mal leeren.

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,

das mit dem Hosts file ist ziemlich kompliziert..momentan läuft eigenlich alles ziemlich gut.
Wenn Du das Dringend empfiehlst mache ich dass... die Backupfiles,die infiziert sind also nicht löschen?

muss ich irgendwas von den vielen Dingen die ich gemacht habe wieder rückgängig machen?

Die HVST Geschichte..dass muss ich erst mal verstehen...

Auf jeden Fall! DANKE! für die echte Mühe...die Du Dir gegeben hast...

Das musst du doch selber wissen ob du diese älteren Backupsets noch brauchst, wie soll ich das denn bewerten?!

Vielen Dank nochmal Cosinus.. das war eien super Nutzerführung. ich nehmen an, alle geladenen Tools sollte ich löschen, korrekt?

DANKE!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.