Frefox Datenausführungsverhinderung & totladen von Seiten
 

Hallo zusammen,

hoffe ich bin in der richtigen "Abteilung" gelandet.
habe seit Ende letzter Woche ein sehr merkwürdiges Problem mit Firefox.
Hab das Forum und Google auch schonmal durchsucht, konnte aber für mich nichts nützliches finden.

Problemschilderung:

Wenn ich mit Firefox ins ins Internet gehe, klppt anfangs noch alles. Nach einer gewissen Zeit laden sich die Tabs zu tode und ich kann sie auch nicht mehr aktualisieren (der Refresh Button ist nicht aktiv).
Wenn ich dann alles schließe und erneut versuche ins Internet zu gehen kommt folgende Meldung:
"Firefox wird bereits ausgeführt, reagiert aber nicht. Um ein neues Fenster öffnen zu können, müssen Sie erst den bestehenden Firefox-Prozess beenden oder ihren Computer neu starten."
Wenn ich aber den Taskmanager öffne wird mir kein Prozess angezeigt, also kann ich ihn auch nicht schließen. Bleibt also nur der Neustart.

Ein weiteres Problem, dass aber nur auf der Facebook Seite (und da nur beim Bandnkrieg) auftritt ist, dass ich sobald ich mich auf dieser Seite bewege, der Bildschirm weis hinterlegt wird und Firefox beendet werden muss.
Die Meldung die dann auftritt lautet:
"Firefox funktioniertnicht mehr

Das Pogramm wird aufgrund eines Problems nicht richtg ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist."

Die einzige Option die ich dann habe ist der Button "Schließen", sobald ich dies mache kommt eine weitere Meldung:
"Firefox wurde geschlossen" grund dafür ist die Datenausführungsverhinderung.

Jedoch kann ich danach Firefox (ohne einen Neustart des PC`s) wieder neu starten.

Das gleiche Problem mit Facebook habe ich auch wenn ich mit dem IE 8 ins Internet gehe, aber dort laden sich wenigstens die Tabs nicht zu tode.

Für mich als Laien alles sehr suspekt.

Ich hoffe ich habe das Problem "sinnvoll" und gut schildern können.
So hab (nachdem ich hier mal etwas gestöbert und gesucht habe) hier die Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:30, on 06.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\vsnpstd3.exe
C:\Windows\tsnpstd3.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\Lex\AppData\Local\skkiwys.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Apoint2K\Apvfb.exe
C:\program files\mozilla firefox\firefox.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [skkiwys] "c:\users\lex\appdata\local\skkiwys.exe" skkiwys
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Macromed\SHOCKW~1\SWHELP~1.EXE -Update -1020023 -iexplore.exe7.0
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Stardock WindowBlinds (WindowBlinds) - Stardock Corporation - C:\Program Files\Stardock\MyColors\VistaSrv.exe

--
End of file - 8530 bytes

Mein System ist Windows Vista Home Premium
Service Pack 1

PC ist ein ASUS Notebook F3Ke Serise
Prozessor ein AMD urion(tm) 64x2 Mobile Technology TL-56 1.80 GHz
RAM 2,00 GB
Systemtyp 32 Bit-Betriebssystem

So ich hoffe dass mir jemand helfen kann und das ich alle Infos die zu Beginn benötigt werden beigefügt habe.

Merci schonmal für Antworten bzw. Hilfen.

Ciao Lex

SORRY

Hab im Titel nen i vergessen, kann dass aber leider nichtmeh editieren.

Hier die Liste des zweiten Hijackthis Laufes, also der installierten Software.

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office system
32 Bit HP CIO Components Installer
ABBYY FineReader 6.0 Sprint
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.3
Adobe Shockwave Player
AFPL Ghostscript Fonts
ALPS Touch Pad Driver
Apple Mobile Device Support
Apple Software Update
ArcSoft Panorama Maker 3
ASUS Data Security Manager
ASUS InstantFun
ASUS Splendid Video Enhancement Technology
Asus_Camera_ScreenSaver
Atheros Driver Installation Program
ATK Generic Function Service
ATK Hotkey
ATK Media
ATKOSD2
Avira AntiVir Personal - Free Antivirus
Azureus
BlackBerry Desktop Software 4.3
BlackBerry Desktop Software 4.3
BlackBerry Device Software v4.5.0 für das BlackBerry 8110-Smartphone
CCleaner (remove only)
CleanUp!
COOLPIX CONNECT Utility
DynoPlex eFile
EASYLINE WEBCAM EL-350
eDocPrinter PDF Pro Ver 6.42
Favorit
Filzip 3.06
Google Earth
Google Updater
HijackThis 2.0.2
iTunes
Java(TM) 6 Update 13
Java(TM) 6 Update 3
Lexmark 3500-4500 Series
Lexmark Fax-Lösungen
Microsoft Office Access MUI (English) 2007
Microsoft Office Access MUI (German) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Professional Hybrid 2007
Microsoft Office Project 2007 Service Pack 1 (SP1)
Microsoft Office Project 2007 Service Pack 1 (SP1)
Microsoft Office Project MUI (German) 2007
Microsoft Office Project Professional 2007
Microsoft Office Project Professional 2007 Trial
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Motorola SM56 Speakerphone Modem
Mozilla Firefox (3.0.8)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
NB Probe
Nikon Message Center
ObjectDock
ObjectDock Plus
PictureProject
Pixie 1.4.1
Plazmic CDK 4.6 for BlackBerry
Power4Gear eXtreme
PowerForPhone
QuickTime
RealPlayer
Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
Realtek High Definition Audio Driver
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01
Roxio Media Manager
SA31xx Device Manager & Media Converter
Screenshot Captor 2.44.01
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951550)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB951944)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for 2007 Microsoft Office System (KB958439)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office Excel 2007 (KB958437)
Security Update for Microsoft Office OneNote 2007 (KB950130)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office PowerPoint 2007 (KB951338)
Security Update for Microsoft Office Project 2007 (KB949046)
Security Update for Microsoft Office Publisher 2007 (KB950114)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB954326)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office system 2007 (KB956828)
Security Update for Microsoft Office Word 2007 (KB956358)
Security Update for Microsoft Office Word 2007 (KB956358)
Shock 4Way 3D v1.27
Sierra Utilities
Skype™ 4.0
Spelling Dictionaries Support For Adobe Reader 8
Stardock MyColors
Stardock MyColors
Systemsteuerung "MobileMe"
totalvid
Update for Microsoft Office 2007 Help for Common Features (KB957244)
Update for Microsoft Office Access 2007 Help (KB957241)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Excel 2007 Help (KB957242)
Update for Microsoft Office Outlook 2007 (KB952142)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office Outlook 2007 Help (KB957246)
Update for Microsoft Office PowerPoint 2007 Help (KB957247)
Update for Microsoft Office Publisher 2007 Help (KB957249)
Update for Microsoft Office Word 2007 Help (KB957252)
Update for Microsoft Script Editor Help (KB957253)
Update for Office 2007 (KB946691)
Update for Office 2007 (KB946691)
Update for Office 2007 (KB946691)
Update for Outlook 2007 Junk Email Filter (kb962871)
VideoLAN VLC media player 0.8.6d
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Messenger
Windows Media Player Firefox Plugin
WinFlash
Wireless Console 2

Und hier die gefundene und gelöschten Objekte von Malwarebytes-Anti-Malware:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 6.0.6001 Service Pack 1

07.04.2009 10:06:31
mbam-log-2009-04-07 (10-06-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|)
Durchsuchte Objekte: 277537
Laufzeit: 2 hour(s), 40 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\Lex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Program Files\totalvid\Uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\totalvid\Uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Windows\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\Windows\System32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\systems.txt (Trojan.Vundo) -> Delete on reboot.
C:\Windows\logo1_.exe (Worm.Viking) -> Delete on reboot.


Hoffe jetzt ist alle vollständig und dass mir jemand helfen kann.

Hmmm,

also die Anzahl der Hits zeigen mir dass es den ein oder anderen schon zu interessieren scheint, aber anscheinend kann mir zur Zeit niemand helfen. Oder soll ich den Beitrag einfach schließen, oder fehlt was?????
Wäre um Hilfe wirklich dankbar.
Merci

Hallo und :hallo:

(1)

Fixe:

(2)

SUPERantispyware

Lade Dir SUPERAntiSpyware herunter, und befolge die Anleitung wie beschrieben. (Anleitung ist bei dem Download bei "SUPERAntiSpyware" dabei").

Poste uns danach das Log!

(1)

Fixe:
Habe ich gemacht.

(2)

SUPERantispyware

Lade Dir SUPERAntiSpyware herunter, und befolge die Anleitung wie beschrieben. (Anleitung ist bei dem Download bei "SUPERAntiSpyware" dabei").

Poste uns danach das Log![/QUOTE]

So hat 6 Std. gescannt :huepp:
Hier das Log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/23/2009 at 06:14 PM

Application Version : 4.26.1000

Core Rules Database Version : 3859
Trace Rules Database Version: 1811

Scan type : Complete Scan
Total Scan Time : 05:57:13

Memory items scanned : 724
Memory threats detected : 1
Registry items scanned : 7739
Registry threats detected : 9
File items scanned : 201955
File threats detected : 2

Trojan.Dropper/Gen
C:\USERS\LEX\APPDATA\LOCAL\SKKIWYS.EXE
C:\USERS\LEX\APPDATA\LOCAL\SKKIWYS.EXE

Trojan.DNSChanger-Codec
HKU\S-1-5-21-2681420791-1736221491-3444414095-1000\Software\fcn

Rogue.Component/Trace
HKLM\Software\Classes\MSQPDXVX
HKLM\Software\Classes\MSQPDXVX#msqpdxrun
HKLM\Software\Classes\MSQPDXVX#msqpdxpff
HKLM\Software\Classes\MSQPDXVX#msqpdxaff
HKLM\Software\Classes\MSQPDXVX#msqpdxinfo
HKLM\Software\Classes\MSQPDXVX#msqpdxid
HKLM\Software\Classes\MSQPDXVX#msqpdxsrv
HKLM\Software\Classes\MSQPDXVX#msqpdxpos

Trojan.VXGame-Variant/D
C:\USERS\LEX\APPDATA\LOCAL\MICROSOFT\WINDOWS SIDEBAR\GADGETS\SHOCK4WAY3D.GADGET\MSG.EXE

Hoffe dass alles richtig ist.

Hallo und :hallo:

1.) Deinstalliere:

• Adobe Reader 8.1.3
• Apple Software Update
• Azureus
• Google Updater
• Java(TM) 6 Update 3
• VideoLAN VLC media player 0.8.6d

2.) Installiere (Toolbars immer abwählen, Haken weg):

• VideoLAN oder besser KM Player
• Adobe Reader oder besser FoxIt Reader

3.) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:
=> Fix checked

4.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Mausklick rechts auf navilog1.exe => Ausführen als Administrator.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

5.) Lade die Datei
bitte gemäß dieser Anleitung bei uns hoch.

ciao, andreas

Hallo Andreas,

also ich habe deine Punkte wie beschrieben von 1) - 4) abgearbeitet.

Jedoch konnte ich von Punkt 1) Deinstalliere

"Adobe Reader 8.1.3" nicht deinstallieren.
Folgene Nachricht erscheint immer wieder:

Error 1402. Could not open key:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D38406DA-E8AA-484b-B80D-3D3DBDCC2FB2}\VersionIndependentProgID.
Verify that you have suficient access to that key.

Bei Punkt 3) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere:

Konnte ich alles fixen, außer:

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe

O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Macromed\SHOCKW~1\SWHELP~1.EXE -Update -1020023 -iexplore.exe7.0

Die beiden wurden nach dem quick scan nicht angezeigt, deshalb konnte ich sie nicht fixen.

So hier ist noch das Log von Punkt 4) Navilog 1

Search Navipromo version 3.7.6 began on 23.04.2009 at 22:46:11,51

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
BIOS : Default System BIOS
USER : Lex ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:74 Go (Free:39 Go)
D:\ (Local Disk) - NTFS - Total:67 Go (Free:67 Go)
E:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:698 Go (Free:90 Go)


Search done in normal mode


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\lex\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\Lex\AppData\Local\virtualstore\Program Files" ***



*** Search folders in "C:\Users\Lex\AppData\Local" ***




*** Search folders in "C:\Users\Lex\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://***.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\Lex\AppData\Local\Microsoft" *

* Scan in "C:\Users\Lex\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\Lex\AppData\Local" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\Lex\AppData\Local\Microsoft" :


* In "C:\Users\Lex\AppData\Local\virtualstore\windows\system32" :


* In "C:\Users\Lex\AppData\Local" :

skkiwys.dat found !
skkiwys_nav.dat found !
skkiwys_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 23.04.2009 at 22:58:26,49 ***

Die skkiwys Datei habe ich wie beschrieben hochgeladen, wobei die
C:\users\lex\appdata\local\skkiwys.exe
konnte ich nicht hochladen, da keine .exe Datei dabei war :-(

Was soll ich bezüglich der "Ausnahmen" bei Punkt 1 & 3 machen?
Vielen Dank schonmal für die Hilfe.
Ciao Alex

Falls du dir zutraust mit regedit zu arbeiten, dann navigiere bis zum Eintrag => Mausklick rechts => Berechtigungen... => Deinem Benutzer Vollzugriff gewähren.
Egal wie, Hauptsache sie sind weg.
Dann hat sie vermutlich dein Antivirenprogramm schon gelöscht.

Navilog nocheinmal starten, diesmal mit Option 2.

ciao, andreas

"Falls du dir zutraust mit regedit zu arbeiten, dann navigiere bis zum Eintrag => Mausklick rechts => Berechtigungen... => Deinem Benutzer Vollzugriff gewähren."

Ähhhhm also mit regedit hab ich noch nie gearbeitet. Also lass ich wohl vorerst lieber mal die Finger davon.
Ist es wesentlich dass ich Adobe Reader von meinem Rechner bekomme?

Navilog nocheinmal starten, diesmal mit Option 2.

So Navilog ist jetzt gelaufen und hier ist das Log dazu:

Navipromo Removal version 3.7.6 started on 23.04.2009 at 23:51:16,78

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-56 )
BIOS : Default System BIOS
USER : Lex ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:74 Go (Free:38 Go)
D:\ (Local Disk) - NTFS - Total:67 Go (Free:67 Go)
E:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:698 Go (Free:90 Go)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\Lex\AppData\Local\Microsoft" *


* Deletion in "C:\Users\Lex\AppData\Local\virtualstore\windows\system32" *


* Deletion in "C:\Users\Lex\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\lex\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\Lex\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\Lex\AppData\Local" ***


*** Deleting folders in "C:\Users\Lex\AppData\Roaming" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\Lex\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *


* In "C:\Users\Lex\AppData\Local\Microsoft" *


* In "C:\Users\Lex\AppData\Local\virtualstore\windows\system32" *


* In "C:\Users\Lex\AppData\Local" *


skkiwys.dat found !
Copy skkiwys.dat done !
skkiwys.dat deleted !

skkiwys_nav.dat found !
Copy skkiwys_nav.dat done !
skkiwys_nav.dat deleted !

skkiwys_navps.dat found !
Copy skkiwys_navps.dat done !
skkiwys_navps.dat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !


*** Search others known folders and files ***



*** Cleaning stage complete on 23.04.2009 at 23:58:38,71 ***

So die skkiwys Dateien scheint es ja gelöscht zu haben. Oder könnten da noch Reste übrig sein? Kann man da sagen was es war?

Ich geh mal davon aus, dass ich die Einstellungen die ich zum hochladen geändert habe (also alle anzeigen) wieder abändern kann, oder?

Was habe ich mir denn eigentlich generell eingefangen? Also mal für nen Laien gesprochen :)
Kann man dass in nen paar Worten wiedergeben?
Ciao Alex

Nö, ist ja nicht so schlimm, ist ja nicht mein Rechner. :)
Nein, Navilog arbeitet sehr zuverlässig.
Das war Navipromo. Benutze die Boardsuche und suche nach Navipromo und Navilog. :)
Bleibt dir überlassen. Ich sehe lieber alles, was auf dem Rechner ist. Allerdings besteht die Gefahr eine falsche Datei zu löschen. Wie gesagt, deine Entscheidung.

Genau da ist das Problem, ich habe mir nochmal deine MbAM und SASW-Logs angeschaut. Du hattest da ein ziemlich übles Zeug drauf.
Nö.
W32.Tidns : Virus Solution and Removal
Virus Description: Trojan:W32/DNSChanger.ARNF
W32.Tidserv Technical Details | Symantec

Stecke alles, das du jemals mit dem Computer verbunden hast, wie Kamera, Handy, Speicherkarten, Memorysticks, externe Laufwerke, ... vor dem nächsten Scan an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  
  Also Combofix JETZT starten?
  
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung
Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Also ich habe es jetzt so verstanden:
zuerst Combofix laufen lassen (nachdem ich alles geschlossen und die Wächter abgeschaltet habe)
Den Angaben von Combofix folgen
DANN den CCleaner laufen lassen
und zum Schluss nochmal Combofix.

Oder habe ich da jetzt was falsch verstanden?:confused:

Angeschlossen ist alles, wobei ich nicht für alle Speicherkarten nen Slot habe.

Nein, du hast es nicht ganz richtig verstanden ;)

• 1. Alle Programme schließen
• 2. CCleaner nach Anleitung aufräumen lassen.
• 3. Und erst dann Combofix starten.

mfg, Kaos

Hi Andreas & Kaos

also ich habe alles wie beschrieben ausgeführt.
1) alle Anwendungen geschlossen,
2) CCleaner laufen lassen, bis er nichts mehr gefunden hat,
3) Combofix laufen lassen (nachdem ich alles deaktiviert hatte)

Hier liegt das Logfile (hatte leider 26.251 Zeichen):

http://www.materialordner.de/v6ojttyy8mzSamCtUgAxKWLxWtoy6jGq.html

Bezüglich meiner restlichen Speicherkarten hätte ich noch eine Frage. Da ich nicht genügend Anschlüsse dafür hatte, soll ich das ganze Prozedere einfach nochmal mit den anderen Speicherkarten machen? Möchte wirklich ganz sicher sein.

Ich muss ja nochmal hervorheben, dass ich nen Heidenpespekt vor euch habe. Für mich ist die Ansicht dieser Logfile nur böhmische Dörfer :)
Also nochmal Hut ab.
So mach mich mal ab in die Kiste.
Danke nochmal soweit für euren super Support.

Ciao Alex

Was habe ich da noch einmal geschrieben?

Du gehst jetzt an die Tafel und schreibst 100mal: Ich soll keine Toolbars mitinstallieren! :aufsmaul:

Danach deinstallierst du die FoxIt-Toolbar wieder.

Ja, unbedingt. Infizierst hast du dich vermutlich über das Laufwerk K:. Falls es dein Cardreader ist, wurdest du durch eine Speicherkarte infiziert. Was genau ist dein Laufwerk K:?

ciao, andreas

Jaaaaa Herr Lehrer,

Keine Ahnung wie dass passiert ist. Jetzt ist sie aber weg :)

So hab jetzt noch 2 mal Combofix laufen lassen und alle Speicherkarten drin gehabt.
Hmm Laufwerk K: war soweit ich mich erinnern kann mein Handy. ??????
Komisch. Naja wie gesagt hatte jetzt alles nochmal dran, Handy`s, Ipod, Kameras, etc.
Hier die Loglinks:

http://www.materialordner.de/t9C3p5b...1YZaCBbQU.html
http://www.materialordner.de/GZYL2hM...90tGVr93Y.html
Hoffe dass es jetzt besser aussieht :)
Oder wie gehe ich jetzt weiter vor?
Hab noch ne Frage, ich hab noch nie online banking gemacht, aber da ich bald für nen Jahr ins Ausland gehe, würde ich dass ganz gerne machen können, da ich hier doch das ein oder andere mal überweisen möchte. Wie schauts damit aus?
Oder mit dem Rechner eher nicht?
Ciao erstmal Alex

Hi Andreas,

hab gerade nen rieeeeeeesen Problem.
Ich habe keinen Zugriff mehr auf meine externe Festplatte.
HIIIIIIILFE !!!!!!

Wird auch als "lokaler Datenträger" angezeigt, dass ist komisch, denn davor war es immer "nur" nen "Externer Datenträger".
Es kommt immer nur die Meldung:
Auf Laufwerk H: kann nicht zugegriffen werden.
Die Datei oder das Verzeichnis ist beschädigt oder nicht lesbar.
*heul*

:daumenhoc
Wenn du sicher sein möchtest, dann Neuinstallation. Nur es reicht schon aus gegen eine der fundamentalen Regeln (die stehen in den letzten beiden Links in meiner Signatur) zu verstossen um sich erneut zu kompromittieren. Sicherheit im Internet gibt es nicht. Alles kann gefährlich sein, man sollte allerdings auch nicht zu paranoid sein. ;)

1.) Deinstalliere (falls möglich):

• Alles von Norton/Symantec
• Navilog
• Bonjour
• Azureus
• ASUS Data Security Manager
• SuperAntiSpyware
• Google Toolbar

2.) Navigiere mit dem Windowsexplorer zur Datei:
=> Mausklick rechts => Bearbeiten => kompletten Text hier posten.

3.) Download und Ausführung des Norton-Entfernungsprogramms

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit:
Mausklick rechts auf Arbeitsplatz => Verwalten => Datenträgerverwaltung => Laufwerk H: anwählen. Was wird angezeigt?

Also ich habe jetzt versucht alles wie beschrieben durchzuführen.

1) Deinstallieren
Sind noch nen paar Reste da, aber immer wenn ich die "suche" hängt sich die Suche auf.

2) hab dort (c:\users\Lex\AppData\Local\kxche.bat) nachgeschaut und das stand da:

@echo Uninstalling the software...
@"c:\users\lex\appdata\local\skkiwys.exe" -uninstall

3) hab mir das Norton Removal Tool runtergeladen und das hat auch gut geklappt.

4)Habe Combofix wie beschrieben ausgeführt. Hier das Log:

http://www.materialordner.de/LYsHWuo...ub19LOeoR.html

Jubel, jubel, freu, freu meine Externe Festplatte ist wieder da. Gott bin ich froh.

Das Norton Removal Tool kann ich ja jetzt auch gleich wieder runterschmeißen. Oder?

Das freut mich dass es jetzt schon besser aussieht.
Merci nochmal, dass bis jetzt alles so super geklappt hat.
Werde später mal noch versuchen die Reste von 1) auch noch zu killen. Soll ich dann Combofix nochmal laufen lassen?
Werd mir dann auch mal deine "Regeln" bei deinen Links durchlesen. Bin dabei aus meinen Fehlern zu lernen :)

Ciao Alex

Die kille ich schon mit ComboFix. Meine Kollegen lästern schon alle über mich, weil ich so gerne alles weglösche. :D
Hätte auch ein Schädling sein können, aber wird eh nicht mehr gebraucht. Also löschen wir das mit CF weg. :D
:daumenhoc
Ja.
Ja, das Script muss ich dir allerdings erst basteln.
Genau so soll das sein.

1.) Lade die Datei:
bitte gemäß dieser Anleitung bei uns hoch. Das sieht noch nicht so richtig gut aus. Irgendetwas ist da noch am Werkeln. Den Verursacher müssen wir noch finden.

2.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg

1. Klicke auf Téléchargement de ZHPDiag
2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
4. Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
5. Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
6. Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
8. Drücke [Strg]v, [Strg]a
9. Klicke auf # http://pic.leech.it/i/3c634/c3cdedaraute.jpg

ciao, andreas

Hi Andreas,

also ich habe
1) Datei C:\Windows\System32\acovnt.exe wie beschrieben hochgeladen

2)RSIT runtergeladen und laufen lassen, hier die beiden Logs:

http://www.materialordner.de/XhJLSLRwPU5kR5exuFLscrf0VFALtUMe.html
http://www.materialordner.de/Zid7axcfFGlJJ7YqAbGciCsMVQlHCVw.html

3) ZHPDiag auch wie beschrieben laufen lassen, hier das Ergebnis:

Ciao Alex

Unsere Analyseprogramme geben verwirrende Aussagen. Lasse bitte ComboFix nocheinmal laufen und lade das aktuelle ComboFix-Log bei www.file-upload.net hoch und poste den Link.

Anschliessend:
Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten oder bei www.file-upload.net hochladen.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hey Andreas,

dass hört sich aber nicht gut an :headbang:
Was bedeutet denn "verwirrend"?

Hmm also hier das Log vom neuen Combofix:

File-Upload.net - 27.04.2009_1_log.txt

und hier nach einsetzten des Scripts:

File-Upload.net - 27.04.2009_2_log.txt

Ciao Alex

Der eine hat etwas angezeigt, die anderen beiden nicht. Durch Ausführung des Skriptes weiß ich jetzt, dass es noch da war. Die Programmierer werden informiert, damit dieser Fehler behoben wird.

Ansonsten sieht das Log sauber aus. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

1.) Start => Ausführen => combofix /u => OK

2.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

ciao, andreas

:) also dem Rechner gehts schon besser.
Sag ich jetzt einfach mal so. Bin zwar schon lange nichtmehr mit Firefox ins Netzt gegangen, werde es aber später mal probieren, ob noch Auffälligkeiten da sind.
Arbeite jetzt erstmal die neue Liste ab. :)

Hi Andreas,

also ich habe die Punkte 1-3 abarbeiten können. Leider gab es mit Punkt 4 Probleme. Hab den Link genuzt, den du mir mitgeschickt hattest und Dr.Web runtergeladen. Auch wie beschrieben entpackt, nur leider habe ich nur eine Textdatei und eine die nennt sich drwtoday.vdb
Kann also nix ausführen. Hab es wie beschrieben auf dem Desktop gespeichert und in nen eigenen Ordner entpackt. Was mach ich falsch?

Also hier erstmal die ersten 3 Punkte.

1) Combofix wie beschrieben gelöscht. Wurde alles entfernt.

2) GMER laufen lassen, danach wieder deinstalliert. Hier das Link zum Log:

http://www.materialordner.de/riEpczu...avTowvx9L.html

3) Kaspersky online laufenlassen. Hier das Link zum Log:

http://www.materialordner.de/vlLSQIo...S1WRkzJOV.html

4) Wie erwähnt gepackt auf Desktop geladen und versucht zu entpacken.

Kann ich ZHPDiag von Nicolas Coolman wieder löschen?

Ciao Alex

Hallo Alex,

Der Downloadlink für CureIt ist in der Anleitung. :)

Du hast nur die Aktualisierung geladen.
Ja.
Ich muss noch Logs lesen.

ciao, andreas

Der Downloadlink für CureIt ist in der Anleitung. :)

:uglyhammer: peinlich, peinlich

Merci

Hey Andreas,

also der Dr.Web ist jetzt durch. Ne Logdatei wie in der Beschreibung entseht bei mir aber nicht :)
sondern nur nen Excelsheet. Gibt nur 2 Funde:
TrySolo.exe\data007
C:\Users\Lex\Downloads\TrySolo.exe
Wahrscheinlich DLOADER:Trojaner

TrySolo.exe
C:\Users\Lex\Downloads
Archiv enthält infizierte Objekte

Ciao Alex

Lade das Programm
bitte gemäß dieser Anleitung bei uns hoch. Kennst du das Programm?

ciao, andreas

Mach ich.
Nöö sagt mir nicht wirklich was. Steht dabei, dass es ne Trial Version von Solo Antivirus 2009 ist.

Nach Upload löschen.

ciao, andreas

Hmm also ich glaub irgendwas klappt mit dem upload nicht.
Ich habe es jetzt schon 2 mal versucht, aber bekomm ich sonst nicht immer ne "Bestätigung", dass es hochgeladen wurde?

Dann lasse sie bei VirusTotal - Free Online Virus and Malware Scan auswerten und poste das komplette Ergebnis inklusive Dateinamen und alle Prüfsummen.

ciao, andreas

Hmm also hab übrigens doch die Logfile vom Dr.Web gefundne und mal hochgeladen.



Ähhhhhhm hat 12 min für 50,4 MB gedauert???
Hat das mit dem Upload geklappt?
Wie gesagt ich bekomm da keine Bestätigung.

So habs bei Virus Total durchlaufen lassen. Hier das komplette Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 -
AhnLab-V3 5.0.0.2 2009.04.28 -
AntiVir 7.9.0.156 2009.04.28 -
Antiy-AVL 2.0.3.1 2009.04.28 -
Authentium 5.1.2.4 2009.04.27 -
Avast 4.8.1335.0 2009.04.28 -
AVG 8.5.0.287 2009.04.28 -
BitDefender 7.2 2009.04.28 -
CAT-QuickHeal 10.00 2009.04.28 -
ClamAV 0.94.1 2009.04.28 -
Comodo 1140 2009.04.28 Unclassified Malware
DrWeb 4.44.0.09170 2009.04.28 DLOADER.Trojan
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6480 2009.04.28 -
F-Prot 4.4.4.56 2009.04.27 -
F-Secure 8.0.14470.0 2009.04.28 -
Fortinet 3.117.0.0 2009.04.28 -
GData 19 2009.04.28 -
Ikarus T3.1.1.49.0 2009.04.28 -
K7AntiVirus 7.10.717 2009.04.27 -
Kaspersky 7.0.0.125 2009.04.28 -
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 -
McAfee-GW-Edition 6.7.6 2009.04.28 -
Microsoft 1.4602 2009.04.28 -
NOD32 4040 2009.04.28 -
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.28 -
PCTools 4.4.2.0 2009.04.28 -
Prevx1 3.0 2009.04.28 -
Rising 21.27.12.00 2009.04.28 -
Sophos 4.41.0 2009.04.28 -
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.28 -
TrendMicro 8.700.0.1004 2009.04.28 -
VBA32 3.12.10.3 2009.04.28 -
ViRobot 2009.4.28.1712 2009.04.28 -
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 3536056 bytes
MD5...: 7cf9c160fd7b783757fefe78b30e251d
SHA1..: b421f16e0431cbf57c087350048a8717bc36d493
SHA256: 22ba9cc606e959a68a1e62bd1d183a559f7ec656735d030cd26b06563247322d
SHA512: c31d144f8adc917745f02fc4ac719a8cbde54dad6cd40e62d9db22c0cbd9f863
dca1638d4374debd8313a082d8efa4cc4cf8e872c3cac89d6bf80345c6fe842e
ssdeep: 98304:MxyYruXgND7I7FFfOIU8beXS0LoXsVTRkKLUag2WTiAL:OyYiXKHI7/fOI
3QLG6xL1t2iAL

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9a54
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x916c 0x9200 6.56 f9c9dd3f4dceede0add0e7309253e897
DATA 0xb000 0x24c 0x400 2.73 4a56e30ca4646e6369d96abeacb0e6f0
BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba
.tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366
.reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x2a00 0x2a00 4.43 e4ac9159cf8c169f2efdbc52624d85d6

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set

Was soll ich mit einem 50,4 MB Logfile?
Nein. Versuche es nochmal, falls es wieder nicht klappt, dann lade sie bei einem Filehoster hoch und schicke mir den Link als PN.

ciao, andreas

Das war die Logfile, das mir Dr. Web erstellt hat :)

Habs gerade nochmal mit dem Upload versucht. Kam aber nur wieder die Standard Trojaner Board Upload Seite.
Ich hab sowohl versucht sie aus dem von die angegebenen Pfad hochzuladen, als auch aus dem Dr.Web Quarantäne Ordner.

So hab die jetzt bei Archiv.to hochgeladen.


Ciao Alex

Ja und ich werfe jetzt doch einen Blick drauf. Finden sich ja recht interessante Dinge im Ordner
Der Jugendschutz verbietet hier weitere Einzelheiten.

Lies nochmal mein letztes Post. Die Datei hochladen und mir den Link als PN zuschicken.

ciao, andreas

p.s.: Bin zu müd um weiterzumachen. Lösche Trysolo. Den Rest erledigen wir morgen.

Hey Andreas,

so TrySolo hab ich gelöscht. Sowohl aus C:\users\Lex\downloads\TrySolo.exe
als auch aus dem Quarantäneordner von Dr. Web.

:)

Was ist eigentlich mit der Datei C:\Windows\System32\acovnt.exe ?
Soll ich die auch löschen?
Die ist nämlich noch da. Oder was haben eure Programme dazu gesagt?

Die kannst du ruhig löschen, ist aber sinnlos, die kommt wieder, ist aber nicht wirklich schädlich. :)

ThreatExpert Report

Wenn du sie los sein möchtest, musst du nur einen der unzähligen Asus-Treiberchen entfernen, aber frage mich nicht welchen. :)

Einen noch, dann hast du es hinter dir. Wie geht es dem Rechner?

Überprüfe den Rechner mit PrevXCSI.

ciao, andreas

Hi Andreas,

was passiert denn wenn ich das falsche Saus "Treiberchen" entferne? :)

Joa soweit gehts ihm würde ich mal sagen gut.
Also mittlerweile funktioniert meine Tastatur auch wieder einwandfrei. Die hatte nämlich vor deiner "Behandlung" extreme Aussetzer. Hat einfach Buchstaben weggelassen bzw. "verschluckt", dass ist aber jetzt vorbei.
Was mir als Einziges aufgefallen ist, dass er vor dem Uploadversuch von der Datei TrySolo schneller war. Also am Anfang der "Behandlung" ja nicht, wurde aber im Laufe dieser immer besser. Gestern hat er dann beim Upload wieder rumgesponnen (woran kann es eigentlich liegen, dass er TrySolo auf eurer Uploadseite nicht laden konnte? Hat davor bei verschiedenen Dateien doch hervorragend geklappt.)
Jetzt braucht er auch wieder nen bißchen länger - gerade wenn ich im Internet bin - als wie gesagt bspw. am Montag bzw. die Tage davor.

Also langsam zweifel ich doch schon sehr gewaltig an mir. Hab das Prevx 3.0 gerade runtergeladen und auf dem Desktop gespeichert. Aber immer wenn ich es ausführe kommt erstmal "Wird ihre Zustimmung benötigt".
Jaaaa ist klar, also "ok" drücken. Dann les ich mir die Terms & Conditions durch und setze den Haken auch da und drücke "weiter" bzw. "next", dann kommt in der Anzeige "Wait while installing..." und wieder die Aufforderung dies zu bestätigen. Mach ich auch fleißig, aber dann habe ich wieder die Startseite und es geht von Vorne los.
Also das Programm startet nicht.
Kann doch gar nicht sein.
Ich versuchs gleich nochmal als Administrator auszuführen.

Hat auch nicht geklappt. Soll ich in den Optionen den Haken bei "Randomize the installed filename of Prevx 3.0 to bypass certain infections" setzten?

Ciao Alex

KA. Einfach mal testweise einen Treiber nach dem anderen deinstallieren und schauen, ob man den tatsächlich braucht oder nicht. Allerdings bin ich ein Optimierfreak, du kannst auch alles beim alten belassen. :)
:daumenhoc
Offensichtlich gibt es eine Quota (Größenbeschränkung). Mein Uploadversuch lief ebenfalls fehl. Egal. Avira sagt clean. TE sagt:
ThreatExpert Report
Ich sage: Das riecht verdächtig nach Rogue oder Scareware.
Die Geschwindigkeit des Internets kann ich nicht verbessern, die deines Rechners schon. :)
Wenn er Ärger macht, dann deinstalliere ihn. War eh nur eine zusätzliche Absicherung.

1.) Start => Ausführen => combofix /u => OK
2.) Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

Du bist entlassen. :)

ciao, andreas

Hey Andreas,

vielen, vielen Dank. Bin wirklich begeistert. Hat alles super geklappt :)
Werde das Forum auf jedenfall wenn nötig weiterempfehlen.
War ja am Anfang nen bißchen skeptisch, sowas von nem "Fremden" per Ferndiagnose machen zu lassen.
Merci nochmal.

Bis zum nächsten Mal (hoffentlich nicht) :)
Ist aber gut zu wissen an wen man sich wenden kann. Das Forum ist wirklich klasse.

Ciao Alex