System Care Antivirus - OTL log beigefügt
 

Hi zusammen,
eben beim Hochfahren ging das Biest los. Rechner habe ich sofort wieder runtergefahren und hier gesucht.
Deshalb habe ich auch gleich im Abgesichteren Modus ein OTL Scan durchgeführt. Hier die Ergebnisse. Hoffe ihr könnt dort was erkennen:

Hi,


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden
falls alles läuft:

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

So hier das Ergebnis:

Dann starte ich mal wieder normal oder?

wenns geht, ja, und dann den Upload

So habs hochgeladen. Aber wo steht das jetzt? Den Inhalt hab ich doch auch oben schon gepostet.

ok, dann weiter:
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Oh wei
15 Stück wurden gefunden eins davon mit High risk. Habe erstmal alle auf skip gestellt.

Hier der log

scanne noch mal mit den von uns gemachten einstellungen und wähle für:
msqpdxserv.sys ( Rootkit.Win32.TDSS.tdl2 ) - User select action: Skip
cure.
starte dann neu und scanne noch mal, neues log posten

Bei mir kommt nach dem Scan ein anderes Fenster als in der Anleitung. Ich kann auch nur zwischen Skip, Delete und Copy to Quarantäne wählen.


http://s1.directupload.net/images/130523/4tyspc9m.jpg

dann nimm delete.

alles klar
Beim Starten kam direkt http://s14.directupload.net/images/130523/ai6zwskb.jpg. Hängt der TDSSKiller im Autostart drin?

hier der Scan nach dem Neustarten

Hi,
warscheinlich war ein Neustart nötig.
Nutzt du den PC fürs Onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Schon gelegentlich.
Muss noch irgendwas gescannt werden oder kann ich die Zugangsdaten gleich ändern?

Hi
bitte Bank anrufen, falls diese zu hatt, Notfallnummer:
116 116
Onlinebanking wegen TDSS Rootkits sperren lassen.

Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und der sicherste Weg, zumal du deinen PC
für onlinebanking, verwendest
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
Da rootkits einiges am System ändern was wir evtl. nicht nachvollziehen können, würde ich, wenn es mein PC währe ihn neu aufsetzen und dann mal richtig absichern, anleitungen bekomst du von uns.
Entscheidung liegt bei dir.

Onlinebanking hab ich erledigt.
Auf dem Rechner ist noch XP installiert. Aber das ist eh abgekündigt und es muss ein neues Betriebssystem her (sofern der Rechner das noch packt). Allerdings hab ich mich noch nicht drum gekümmert.
Ich kann bei dem Rechner auf Onlinebanking usw. verzichten. Nutze ihn nur noch ab und zu um ein paar Fotos zu bearbeiten/anzugucken, Musik zu höhren und docs oder xls zu bearbeiten. Es ist noch eine Software für die ISDN-Anlage installiert, wo ich mich erstmal erkundigen muss, ob die unter win7 oder höher läuft.

Ich bin bereit, weiter mitzumachen.
Auf jedenfall schon mal ein großes :dankeschoen: für die gute Unterstützung.

hi wie heißt die isdn software da kann ich mal schaun.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

HI,
hier der log:

Hi,
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Das ist einmal die Software für die Telefonanlage T-Concept XI420. Die ist für win7 nicht verfügbar. Einige behaupten, die läuft trotzdem, andere sagen, mann müsse den XP-Modus verwenden.
Dann habe ich noch die Softwar calling-us gekauft, deren reg-code genau für den Rechner generiert ist. Da muss ich erstmal anfragen, ob ich dann einen neuen code bekomme. Will die ja nicht nochmal kaufen.

Der log:

naja, die anlage funktioniert ja trotzdem, das währ nich das problem.

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Ich stelle die Anlage aber oft um.

log:

wieso hast du eig 2 update Checker und dann teilweise trotzdem so alte software wie Adobe Reader 8?
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Chinese
DivX : alle
ICQ :
Download ICQ for mobile and switch from costly SMS to FREE messaging!
neueste laden.
deinstaliere:
Japanese
Java
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:


Öffne bitte CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Das kommt davon, wenn man sich eure nützlichen Tipps erst dann durchliest wenns zu spät ist. :headbang:

Bei Secunia PSI musste ich allerdings festellen, dass:
Einige Programme angezeigt werden, die laut CCleaner gar nicht mehr installiert sind: Ad-Aware 6, Trillian Basic 3, emule. Teilweise auch ein Programm doppelt mit einer alten und einer neueren Version:
Realplayer 10 und 11, Google Earth 3 und 4
Nach dem Herunterladen von UltraVNC ging Avira an und meldete 'APPL/Remote.UltraVNC.362'. Habs erstmal wieder löschen lassen.

Hi
die avira meldung is normal,
das ist unter avira, anwendung, expertenmodus, scanner bzw guard und erkennnungen, entweder musst du das Programm als ausname eintragen, oder appl deaktivieren.
bei Secunia, kannst du für die doppelten bzw nicht instalierten die Details einblenden, Secunia findet manchmal instalationsdateien bzw "überreste" und denkt diese müssen aktualisiert werden, wenn du den Pfaden folgst, die du unter erweitert sehen solltest und die Dateien löschst, müsste das wieder passen

ahh alles klar.
Habe die Reste jetzt entfernt.

ok gibts sonst noch was zu beanstanden?

nö

bin so weit zu frieden. :crazy:

Hi,
Hitman Pro - Download - Filepony

Hitmanpro laden, doppelklicken, scan.
Nichts löschen, auf weiter.
Log speichern unter, bzw als xml exportieren, dann posten, bzw packen und anhängen

Der hat meine Programme, die ich damals in der Uni erstellt habe, als Trojaner erkannt.

ok, deine uniprogramme beibehalten, rest löschen. neustarten, neues otl log

neues OTL-log:

Hi,


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

bitte teste, ob es im Firefox, internet explorer, und sonstigen
evtl. instalierte Browser, irgendwelche ungewollten toolbars, umleitungen oder sonstigen Probleme gibt.
Teste wie pc und programme allgemein laufen.

Hab ich gemacht.

Das sieht mir nach dem Kingston-USB Stick aus, der beim Einstecken diesen "Launcher" öffnet.

Ich achte immer drauf, dass ich nie eine Toolbar mitinstalliere. Es ist auch keine Vorhanden. Auch sonst sind mir beim Browser keine Ungereimtheiten aufgefallen.

Mir fällt allerdings auf, dass der Rechner relativ langsam war und seit den ganzen Bereinigungen schon merklich träger ist (Prozessorlast ist dauernd hoch). Das Windows-logo beim Booten bleibt auch länger stehen als vorher.

Hi, dann lass die o33 einträge.
kannst du mal Malwarebytes eddestalieren? gibts ne Besserung?

leider immer noch langsam

öffne mal ccleaner, extras, autostartliste, windows, als text speichern und posten

Finde da keine Exportmöglichkeit. :-(

Stehen aber ein paar Einträge von Adobe, Quicktime, Realtime, Java, itunes auf aktiviert. Itunes benutze ich nicht, die Pfade von Adobe, Java und Real sind alt.

da gibts n schalter, als textdatei speichernb

Der war nicht da der Schalter. Secunia PSI war der Meinung CCleaner 2.x ist aktuell. Hab dann mal manuell gesucht. Und siehe da. In der 4er Version gibts auch den Button.

bUnter startup, würd ich alles deaktivieren außer:
Common Secunia
ansonsten alles außer:
avgnt
FileHippo

Wenn was fehlt, kann mans reaktivieren, dann mal 2 neustarts machen und gucken wies läuft