Trojan.Multi.GenAutorun.Task.b in System Memory
 

Hallo zusammen,

Seit einigen Tagen hab ich den o.g. Virus im System und ich weiß nicht wie ich ihn loswerde.
Würde mich über jeden Hinweis und Hilfe sehr freuen und mich im voraus dafür bedanken, dass sich jemand die Zeit nimmt sich den Fall zumindest mal anzuschauen.

28.01.16
Steam zeigt mir einige Meldungen an und ich kann die Ursache nicht feststellen:

https://imgur.com/9o1wOIc.png
https://i.imgur.com/cpGWcFC.png
https://i.imgur.com/uvTI67V.png

Nur Steam zeigt mir diese Meldungen an. Firefox und Explorer scheinen davon nicht betroffen zu sein.
Chrome habe ich nicht mal installiert, die Meldung an sich ist also schon unsinnig.
Addons und Plugins in Firefox und Internet Explorer habe ich überprüft, auch hier nichts ungewöhnliches.

Kaspersky findet weder bei schneller noch vollständiger Untersuchung irgendwas. Den Steam Ordner und ein paar andere die ich in Verdacht hatte hab ich ebenfalls einzeln durch den Scanner geschickts. Nichts wurde gefunden.

CCleaner habe ich ebenfalls laufen lassen.
Steam's Browser Cookies hab ich auch gelöscht.
Im Installationsverzeichnis (Systemsteuerung / Programme deinstallieren) ist auch nichts zu finden.

Jemand aus einem anderen Forum (Hardewareluxx.de) hat sich den Fall schon angeschaut, wurde aber auch nicht fündiger als ich.

Bei jedem Neustart des PCs dauert es ca. 10 Minuten bis er sich mit dem Internet verbindet. Bei anderen Geräten (Laptop oder 3Ds) ist das nicht der Fall.

29.01.16
Kaspersky hat endlich etwas gefunden, ist aber scheinbar nicht in der Lage es zu löschen, da dies schon das zweite oder dritte Mal das diese Meldung angezeigt wurde: https://i.imgur.com/frziUTf.png

Habe Malwarebytes Anti-Malware nun 3x durchlaufen lassen. Beim ersten Mal hat es was gefunden und wurde behoben, beim zweiten und dritten Mal wurde dann nichts mehr gefunden.

Nach ein paar Neustarts und weiteren Scans: Kaspersky findet gerade nichts, aber da bin ich etwas skeptisch weil es zuvor auch einige Male nichts gefunden hat.

30.01.16
Wenn ich bei Steam auf den Shop klicke meldet sich MBAM: hxxp://i.imgur.com/bpasNcM.png
Das ist allerdings nur beim Shop-Button, bei Bibliothek oder Profil passiert nichts.
Im Offline-Modus kommt keine Meldung.

Weiterhin steht bei Kaspersky zwar dran das "1 desinfiziert" wurde, und nach dem Neustart ist auch meist Ruhe und es kann nichts gefunden werden, allerdings scheint es entweder nicht wirklich gelöscht zu werden oder es läd sich selbst wieder runter?

31.01.16
Vor etwa einer Stunde (ca. 5:00) kamen kurz nach PC Start zwei weitere Meldungen von MBAM:
hxxp://i.imgur.com/QR3fgEz.png
hxxp://i.imgur.com/7ClRAMX.png

FRST Additions Logfile:
--- --- ---

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Es hat nichts gefunden und nicht nach einem Neustart gefragt. Habe es dennoch zwei mal durchlaufen lassen, um sicher zu gehen.

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST ist zu groß für einen Post. Hab es als Anhang hinzugefügt.

AdwCleaner Logfile:
--- --- ---
AdwCleaner Logfile:
--- --- ---

FRST.txt Logfile fehlt, bitte nachreichen in CODE-Tags

Geht nicht, da die Datei zu lang (122360 Zeichen) für den Post und zu groß für den Anhang (120 Kb) ist.

Edit: Habe es auf zwei Posts aufgeteilt. Hoffe das ist in Ordnung? Oder gibt es eine andere Methode wie ich es dir zukommen lassen sollte?

Poste es bitte komplett. Da fehlt ein Teil.

Was soll den da fehlen? Der erste Teil geht bis Chrome, der zweite Teil bis zum Ende.

Wie oben schon zwei mal erwähnt ist die Log Datei zu lang bzw. groß für einen einzelnen Post oder um ihn als Anhang hochzuladen, tut mir leid.

Im ersten Teil fehlt der Anfang...

Tatsache. Ich weiß nicht wie das passiert ist, da ich das von oben nach unten markiert habe. Verzeihung.

Hoffe es ist nun alles vollständig.

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.