Trojaner-Board - Defogger bleibt stehen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Defogger bleibt stehen (https://www.trojaner-board.de/101592-defogger-bleibt-stehen.html)

Hallo Arne,
Zu deiner Frage: Ja genau, ich habe noch ein anderes Betriebssystem, Ubuntu, auf einer anderen Partition laufen. Ich überlege gerade ob sich der Aufwand noch weiterhin lohnt, da ich noch ein paar Dinge erledigen muss. Kann Du mir vielleicht in ein ganz paar Stichwörtern eine kleine Fehleranalyse geben? Also der MBR ist kaputt; kannst du schon sagen, ob ich das auch alles mit format c: /ganzes harddrive wieder hinkriegen würde oder ist noch mehr kaputt/infiltriert?
Danke

Äh nein dann lass den MBR so! Deswegen die Frage ob du noch ein andere OS installiert hast!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sorry, falscher Text, mache ich, bis gleich/morgen.
Vielen Dank!

Moin, hier das Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7286

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

26.07.2011 23:48:20
mbam-log-2011-07-26 (23-48-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|)
Durchsuchte Objekte: 299333
Laufzeit: 1 Stunde(n), 32 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und das von Superantispyware. Heftig was Flash alles speichert, da sind mehrere Seiten dabei, wo ich noch in meinem Leben drauf war:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 07/27/2011 at 03:51 PM

Application Version : 4.55.1000

Core Rules Database Version : 7468
Trace Rules Database Version: 5280

Scan type : Complete Scan
Total Scan Time : 04:25:15

Memory items scanned : 649
Memory threats detected : 0
Registry items scanned : 8253
Registry threats detected : 0
File items scanned : 180810
File threats detected : 42

Adware.Tracking Cookie
akamai.smartadserver.com [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
hottraffic.nl [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
ia.media-imdb.com [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
media.zie.nl [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
secure-uk.imrworldwide.com [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
track.webgains.com [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
Stiri online - stiri de ultima ora si stirile zilei - Mediafax [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
Amateur Porno Videos direkt von echten Amateuren. Filme, Telefonsex, Privatnachrichten und LiveCams [ C:\Users\moreno\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\GWRXUXKF ]
ad-emea.doubleclick.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
banners.securedataimages.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
bc.youporn.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
cdn1.eyewonder.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
cdn4.specificclick.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
cdn5.specificclick.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
cloud.video.unrulymedia.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
hottraffic.nl [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
ia.media-imdb.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
imagesrv.adition.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.adrcdn.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.gwi.levi.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.kyte.tv [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.mtvnservices.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.scanscout.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media.wpsdlocal6.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media01.kyte.tv [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
media1.break.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
mediadb.kicker.de [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
objects.tremormedia.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
s0.2mdn.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
secure-us.imrworldwide.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
serving-sys.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
static.youporn.com [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
track.adform.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
vplayer.ilsemedia.nl [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
ARD Mediathek: Übersicht [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
www.mystatcounter.info [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
Pornoprinzen [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
Royal Media Marketing [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
yieldmanager.edgesuite.net [ G:\Seagate Backup\C\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
hottraffic.nl [ G:\Seagate Backup\C\History\Level2\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
serving-sys.com [ G:\Seagate Backup\C\History\Level2\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]
hottraffic.nl [ G:\Seagate Backup\C\History\Level3\C\Dokumente und Einstellungen\d\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\DHB7X7CB ]

Hallo,

Flash kam mir schon immer dubios vor, vor allem, weil es keine Alternative dazu gibt, oder kennst du da eine?
Und ich muss mit den Leuten, die in den letzten Monaten bei mir waren mal ein ernstes Wort reden, dass sie bei mir keine Pornos gucken, wenn ich mal in der Küche bin.

Hier der Log, Esent hat sogar was in den Backupdateien gefunden:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e4769b5cda9100408a10cdd385ae0afd
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-22 11:29:17
# local_time=2011-07-22 01:29:17 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=3073 16777213 80 75 200 1193467 0 0
# compatibility_mode=5893 16776574 100 82 80565 62965346 0 0
# compatibility_mode=8192 67108863 100 0 251 251 0 0
# scanned=60
# found=0
# cleaned=0
# scan_time=2
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e4769b5cda9100408a10cdd385ae0afd
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-07-22 12:51:40
# local_time=2011-07-22 02:51:40 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=3073 16777213 80 75 341 1193608 0 0
# compatibility_mode=5893 16776574 100 82 80706 62965487 0 0
# compatibility_mode=8192 67108863 100 0 392 392 0 0
# scanned=146555
# found=2
# cleaned=0
# scan_time=4803
C:\Users\***\AppData\Local\Temp\SweetIMReinstall\SweetImSetup.exe a variant of Win32/SweetIM.B application (unable to clean) 00000000000000000000000000000000 I
E:\***-PC\Backup Set 2011-07-14 002359\Backup Files 2011-07-14 002359\Backup files 5.zip a variant of Win32/SweetIM.B application (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=e4769b5cda9100408a10cdd385ae0afd
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-07-27 05:51:51
# local_time=2011-07-27 07:51:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 88266 48310434 81051 0
# compatibility_mode=3073 16777214 0 5 151612 151612 0 0
# compatibility_mode=5893 16776574 100 94 109888 63409762 0 0
# compatibility_mode=8192 67108863 100 0 444667 444667 0 0
# scanned=184861
# found=1
# cleaned=1
# scan_time=10540
E:\***-PC\Backup Set 2011-07-14 002359\Backup Files 2011-07-14 002359\Backup files 5.zip a variant of Win32/SweetIM.B application (deleted - quarantined) 00000000000000000000000000000000 C

Beim Runterfahren habe ich gestern übrigens die Meldung bekommen, dass Eset vielleicht nicht richtig installiert worden war, so ein scheiß popup, dass nicht in der Taskleiste auftaucht, sondern hinter den offenen Fenstern.
Außerdem war heute morgen mein Bootmanager verändert, dass ist noch nie vorgekommen.

[edit]

Solche Sprüche wollen wir hier nicht lesen!! :koch:
Es ist klar, dass du verärgert bist, aber deswegen muss man sich nicht in dieser unangebrachten Weise äußern! :pfui:

--
cosinus

[/edit]

Zitat:

E:\***-PC\Backup Set 2011-07-14 002359\Backup Files 2011-07-14 002359\Backup files 5.zip a variant of Win32/SweetIM.B

SweetIM ist unnötiger Müll. Liegt aber nur in einem Backupset, wer auch immer diesen erstellt hat.
Ansonsten hat SASW nur Cookies gefunden.
Rechner wieder im Lot?

Naja gegen solche Psychopaten ist man anscheinend völlig machtlos, denen muss man mal wenigstens die Meinung sagen dürfen http://www.trojaner-board.de/images/...s/aufsmaul.gif http://www.trojaner-board.de/images/smilies/pfui.gif

sonst kann man sich ja gleich den Rechner um den Hals binden und von der Brücke springen :balla:

Es ist echt total nervig was die einem alles kaputt machen können, ich war letzte Woche total krank und hab mehrere wichtige Dinge nicht erledigen können, musste Termine absagen, wodurch sich wieder andere Probleme ergeben haben...

Egal, hab denen schon genug meiner Zeit geopfert.

Gut die Cookies sind ja jetzt gelöscht, da kann man nicht mehr gucken wann die installiert wurden. Aber wie lässt sich erklären das mein Boot Menu verstellt wurde? Da muss doch noch jemand wieder irgendwie Zugriff drauf haben?

Zitat:

ber wie lässt sich erklären das mein Boot Menu verstellt wurde? Da muss doch noch jemand wieder irgendwie Zugriff drauf haben?

Äh was genau meinst damit?

Ich habe beim Systemstart die Möglichkeit auszuwählen, ob ich Ubuntu oder Windows gestartet haben will. Seit gestern läuft da ein Countdown, bei dessen Ablauf sich automatisch Ubuntu startet. Vorher hatte ich ich keinen Countdown.

Darf ich Dich noch was fragen?

Du hattest am 26.07.2011, 10:23 mit OTL laut Log folgendes ausgeführt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.

Darf ich dich noch mal fragen, was das genau war?

Zitat:

Zitat von Marcu (Beitrag 687734)

Wieso hast du Ubuntu auch installiert, hatte ich das gepostet? Ubuntu bietet einen Ausprobiertmodus (Livemode) mit dem man Ubuntu komplett nur von der CD nutzen kann. Nix Installation auf Festplatte. Aber nun gut, jetzt hast noch zusätzliches ein tolles OS im Dualboot drauf ;) kann nicht schaden

Zitat:

Darf ich dich noch mal fragen, was das genau war?

Das erste ist eine Autoruneinstellung, das zweite eine poentiell müllige aber auf jeden Fall unnötige autoexec.bat (diese Datei ist ein Relikt aus den Steinzeitalter von MS-DOS!!) und das letzte eine Zurücksetzung der Hosts-Datei. (vorsichtshalber mach ich eine Zurücksetzung)

Was mich zu dem autoruneintrag nur wundert, ist, dass mein CD Laufwerk gar nicht E: heißt, was hatte das denn zu bedeuten?

Ach ja:
:dankeschoen: