Trojaner-Board - Befall Goingonearth Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Befall Goingonearth Virus - Umleitung auf Werbeseiten (https://www.trojaner-board.de/101536-befall-goingonearth-virus-umleitung-werbeseiten.html)

Befall Goingonearth Virus - Umleitung auf Werbeseiten

Hallo zusammen,

mein Rechner ist seit kurzem durch den "Goingonearth Virus" befallen. Dieser hat zur Folge, dass ich, wenn ich eine Suchanfrage bei Google starte und anschließend auf einen der angezeigten Links klicke, häufig auf irgendwelche Werbeseiten umgeleitet. Außerdem werde ich, wenn ich nach dem Namen des Virus google direkt auf eine falsch Seite umgeleitet.
Andere Auswirkungen des Virus sind mir bisher nicht bekannt, aber auch nicht auszuschließen.

Durch Recherche im Internet habe ich herausgefunden, dass man den Virus wohl durch die Programme OTL und Malwarebytes los werden kann.
Meine Versuche damit sind jedoch bisher alle gescheitert.
Es scheint so, als wenn man ein individuelles Skript benötigt, das bei OTL eingegeben werden muss.

Ich hoffe ihr könnt mir bei meinem Problem helfen und ich bedanke mich schon herzlich im Voraus! :dankeschoen:

Anbei befinden sich zwei Protokolle von OTL, einmal kurz nach dem Auftreten des Virus und einmal ein aktuelles.

Zitat:

Meine Versuche damit sind jedoch bisher alle gescheitert.

Was genau bedeutet ein gescheiterter Versuch mit Malwarebytes?
Wo sind die Logs von Malwarebytes? Bitte ALLE davon posten

Vielen Dank für die schnelle Antwort.
Unter einem gescheiterten Versuch mit Malwarebytes verstehe ich, dass die Aktion nicht dazu geführt hat mein Problem mit dem Virus zu lösen. Allerdings bin ich auch Laie auf dem Gebiet...

Anbei die Logfiles von Malwarebytes.

Führe bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Den Scan habe ich nun durchlaufen lassen und es gab auch einige Funde. Klingt ein kleinen wenig besorgniserregend, was da alles gefunden wurde... :wtf:

Anbei die Log Datei:

Entfern ruhig alle Funde von ESET

Ist mit dem entfernen der Funde gemeint, einfach nochmal ESET durchlaufen zu lassen und den Hacken bei "Remove Found Threats" diesmal nicht zu entfernen?

Ja genau so. Oder du löschst die Dateien manuell

Den Scan habe ich wie beschrieben durchgeführt, allerdings tritt das Problem weiterhin auf. Beim googeln werde ich immer noch auf irgendwelche Werbeseiten umgeleitet. Langsam fängt der Virus echt an zu nerven...

Gibts noch eine weitere Möglichkeit ihn los zu werden? Ich bin für jede Idee dankbar.

Hast du rein zufällig einen Router? Wenn ja wurde da das Adminpasswort geändert?
Wenn nicht, setz diesen Router auf Werkseinstellungen zurück und konfiguriere ihn neu. Wichtig ist, dass du das unsichere vordefinierte Adminkennwort zum Router änderst!

Ich hab eine gute Nachricht und zwar ist der Virus nun scheinbar endlich weg!
Als ich den ESET Scan durchgeführt habe, hatte ich Probleme mein Virenschutzprogramm McAfee zu deaktivieren. Ich konnte nur die einzelnen Dienste beenden, wobei ich mir nicht sicher war, ob McAfee nicht trotzdem den Scan stört.

Jedenfalls habe ich danach McAfee erstmal deinstalliert und daraufhin das Programm Combofix mal durchlaufen lassen, was in einem anderen Thema bezüglich des GoingonVirus mal empfohlen wurde und siehe da es hat scheinbar geholfen. Die Probleme sind nicht mehr aufgetaucht.

Dem Hinweis mit dem Router werde ich jedenfalls trotzdem mal nachgehen.

Vielen Dank für die sehr freundliche und schnelle Hilfe. Mit dem ESET Scan hätte es vermutlich nach der Deinstallation von McAfee auch geklappt.
Hauptsache ist jedenfalls, dass der Virus endlich weg ist!

CF sollst du nciht auf eigene Faust ausführen, das Teil ist kein Spielzeug!
Poste zumindest das Log davoN!

Mir war nicht bewusst, dass Combofix so viele Risiken beinhaltet... Zum Glück scheint alles gut gegangen zu sein.

Um ehrlich zu sein weiß ich auch nicht wo Combofix das Log gespeichert hat. Manuell hab ich das nämlich dummerweise nicht getan.

Wenn du mir über den Speicherort Auskunft geben kannst, stelle ich das Protokoll natürlich gerne hoch.

Schau nach: C:\combofix.txt oder in C:\Qoobox

Hier einmal das Protokoll.

Zitat:

c:\windows\system32\roboot.exe

Bitte diese Datei bei uns mal hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Jetzt weiß ich wo das Teil herkommt, das ist vom RegistryReviver! Wieso hast du dir dieses Stück Müll installiert??

Zitat:

c:\users\Benedikt\AppData\Roaming\Reviversoft

Deinstallier das bitte umgehend.

Die Software hab ich bereits deinstalliert, aber ich kann die .EXE vorsichtshalber auch nochmal löschen.

Ehe ich mich hier an professionelle Hilfe gewandt habe, hatte ich im Internet recherchiert und irgendwo war dort dieses Reviversoft empfohlen worden, um den Virus los zu werden. Hat allerdings natürlich nicht geholfen...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hier die Logs. Scheinbar wurde was gefunden.

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 18:24:06 on 29.07.2011
 

OS: Windows 7  Service Pack 1 (Build 7601), 32-bit

Default Browser: Mozilla Corporation Firefox 5.0
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Boot Execute]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----

"BootExecute" - ? - sdnclean.exe  (File not found)
 

[Common]

-----( %SystemRoot%\Tasks )-----

"McDefragTask.job" - "McAfee, Inc." - c:\PROGRA~1\mcafee\mqc\QcConsol.exe

"McQcTask.job" - "McAfee, Inc." - c:\PROGRA~1\mcafee\mqc\QcConsol.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"catchme" (catchme) - ? - C:\Users\Benedikt\AppData\Local\Temp\catchme.sys  (File not found)

"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\Windows\System32\Drivers\ElbyCDIO.sys

"McAfee Inc. mfeavfk" (mfeavfk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfeavfk.sys

"McAfee Inc. mfebopk" (mfebopk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfebopk.sys

"McAfee Inc. mfehidk" (mfehidk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfehidk.sys

"McAfee Inc. mferkdk" (mferkdk) - "McAfee, Inc." - C:\Windows\System32\drivers\mferkdk.sys

"McAfee Inc. mfesmfk" (mfesmfk) - "McAfee, Inc." - C:\Windows\System32\drivers\mfesmfk.sys

"pxdoikow" (pxdoikow) - ? - C:\Users\Benedikt\AppData\Local\Temp\pxdoikow.sys  (Hidden registry entry, rootkit activity | File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys

"WsAudio_DeviceS(1)" (WsAudio_DeviceS(1)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(1).sys

"WsAudio_DeviceS(2)" (WsAudio_DeviceS(2)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(2).sys

"WsAudio_DeviceS(3)" (WsAudio_DeviceS(3)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(3).sys

"WsAudio_DeviceS(4)" (WsAudio_DeviceS(4)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(4).sys

"WsAudio_DeviceS(5)" (WsAudio_DeviceS(5)) - "Wondershare" - C:\Windows\System32\drivers\WsAudio_DeviceS(5).sys
 

[Explorer]

-----( HKLM\Software\Classes\Protocols\Filter )-----

{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

{88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----

{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----

{472734EA-242A-422b-ADF8-83D1E48CC825} "{472734EA-242A-422b-ADF8-83D1E48CC825}" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_25" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_25.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab

{7530BFB8-7293-4D34-9923-61A11451AFC5} "{7530BFB8-7293-4D34-9923-61A11451AFC5}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.eset.com/special/eos/OnlineScanner.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

"ICQ7.5" - "ICQ, LLC." - C:\Program Files\ICQ7.5\ICQ.exe

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Plug-In" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{7DB2D5A0-7241-4E79-B68D-6309F01C5231} "scriptproxy" - ? - C:\Program Files\McAfee\VirusScan\scriptsn.dll  (File not found)

{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"ServerReg.lnk" - ? - C:\Users\Benedikt\Desktop\ServerReg.bat  (Shortcut exists | File exists)

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

"phase-6 Reminder.lnk" - "phase-6" - C:\Program Files\phase-6\phase-6\reminder\reminder.exe  (Shortcut exists | File exists)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Bonus.SSR.FR10" - "ABBYY." - "C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" /autorun

"Eraser" - "The Eraser Project" - "C:\PROGRA~1\Eraser\Eraser.exe" --atRestart

"GrooveMonitor" - "Microsoft Corporation" - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"

"Malwarebytes' Anti-Malware (reboot)" - ? - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript  (File not found)

"mcagent_exe" - ? - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey  (File not found)

"NapsterShell" - "Napster" - C:\Program Files\Napster\napster.exe /systray

"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ABBYY FineReader 10 PE Licensing Service" (ABBYY.Licensing.FineReader.Professional.10.0) - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe

"McAfee Network Agent" (McNASvc) - ? - "c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe"  (File not found)

"McAfee Personal Firewall Service" (MpfService) - ? - "C:\Program Files\McAfee\MPF\MPFSrv.exe"  (File not found)

"McAfee Proxy Service" (McProxy) - ? - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe  (File not found)

"McAfee Real-time Scanner" (McShield) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe  (File not found)

"McAfee Scanner" (McODS) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe  (File not found)

"McAfee Services" (mcmscsvc) - ? - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe  (File not found)

"McAfee SystemGuards" (McSysmon) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe  (File not found)

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE

"Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe

"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe

"NVIDIA Update Service Daemon" (nvUpdatusService) - "NVIDIA Corporation" - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Zitat:

c:\windows\system32\pmsplr.dll

Anscheinend ist mir diese Datei durch die Lappen gegangen. Bitte bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Versuch die Date danach manuell zu löschen.

Hallo,

irgendwie kriege ich die Datei nicht zu fassen, um sie hochzuladen. Ich habe alle Einstellungen beachtet (Dateien und Ordner auf sichtbar stellen...), aber dennock komm ich nicht an die Datei ran. Wenn ich den Dateipfad angeben, um die Datei hochzuladen kommt die Mitteilung dass ich Admin Rechte benötige, die ich da allerdings nicht zuweisen kann.
Wenn ich die Datei im Ordner suche wird sie nicht angezeigt und auch nicht gefunden...

Nur wenn ich den Dateipfad verwende oder die allgemeine Suche nutze wird sie mir angezeigt. Das hilft mir beim hochladen allerdings nichts...

Kann ich die Datei einfach löschen oder ist es sehr wichtig, dass ich sie erst hochlade?

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

Files to delete:

c:\windows\system32\pmsplr.dll

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\pmsplr.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

hxxp://www.file-upload.net/download-3633062/backup.zip.html

Die gelöschte Datei ist dort nicht drin. Ich vermute, der Virenscanner hat da den Avenger irgendwie beeinflusst.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo, ich habe jetzt alle drei Scanprogramme durchlaufen lassen. Hier sind die Logs.

Da ich den Log nicht hochladen kann auf diese Weise:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/04/2011 at 01:20 AM

Application Version : 5.0.1108

Core Rules Database Version : 7506
Trace Rules Database Version: 5318

Scan type : Complete Scan
Total Scan Time : 02:17:47

Operating System Information
Windows 7 Professional 32-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Administrator

Memory items scanned : 710
Memory threats detected : 0
Registry items scanned : 40234
Registry threats detected : 0
File items scanned : 134528
File threats detected : 28

Adware.Tracking Cookie
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@112.2o7[2].txt
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@2o7[2].txt
C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@doubleclick[2].txt
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD.YIELDMANAGER[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD1.ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD3.ADFARM1.ADITION[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@AD3.ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADFARM1.ADITION[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADFARM1.ADITION[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ADVERTISE[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@APMEBF[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@ATDMT[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CLICK.XMLMONETIZE[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CLICKSOR[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CONTENT.YIELDMANAGER[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@CONTENT.YIELDMANAGER[3].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@IMRWORLDWIDE[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@INVITEMEDIA[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@INVITEMEDIA[3].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIA6DEGREES[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIABRANDSWW[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MEDIAPLEX[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@MYROITRACKING[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@RU4[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@RU4[2].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@WEBMASTERPLAN[1].TXT
F:\SAMSUNGSOFTWARE\DOCUMENTATION\BENNE\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\R560@WWW.ZANOX-AFFILIATE[2].TXT

Trojan.Agent/Gen-Falcomp[RE]
C:\AVENGER\PMSPLR.DLL

Ein Fehlalarm von Malwarebytes, sonst nur Cookies und ein Überrest => C:\AVENGER\PMSPLR.DLL
Diese Datei hatte ich eigentlich im backup.zip vom Avenger erwartet aber gut, kannste löschen.

Rechner ansonsten wieder im Lot?

Ja der Rechner läuft jetzt wieder wie nen Länderspiel. Bisher sind keine Probleme mehr aufgetaucht. :daumenhoc

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Dann nochmal vielen lieben Dank für deine schnelle und freundliche Hilfe. :applaus:
Das hat mir echt das Leben gerettet. Dann kanns ja jetzt unbesorgt in den Urlaub gehen.
Dir auch noch alles Gute!