Datenschutzeinstellungen werden bei jedem IE8 oder Firefox start herabgesetzt
 

Hallo,

folgendes Problem:
Ein Windows XP SP3 Rechner hatte diverse Viren/Malware, dadrunter Security Protection und Bundespolizei-Trojaner.

Da noch wichtige Daten auf dem Rechner sind und dieser auch sehr viele weitere Hardware, wie Kartenleser etc. nutzen muss, habe ich statt einer Neuinstallation doch den Weg gesucht alle Viren zu entfernen. Das hat auch soweit geklappt, nur der IE8, bzw. die Datenschutzeinstellungen machen noch Probleme.

Bei jedem Start vom IE8 oder auch von Firefox 6.01 (ganz neu heute installiert), oder auch schon beim öffnen einer neuen Registerkarte, werden die Internet Sichheitseinstellungen geändert und die Datenschutz Einstellungen auf "Alle Cookies annehmen" bzw. alle 3. Anbieter Cookie annehmen gesetzt. Damit ist ja Tür und Tor geöffnet.

Wenn ich dann ganz schnell die Einstellungen wieder auf einen sicheren Level setze passiert nichts. Bin ich zu langsam, kommt der AntiVir und findet die ersten bösen Temp. Internet Files. Startseite ist dort übrigens T-Online.de.

Nun habe ich schon überall gesucht, aber leider noch nicht gefunden, wo die Startveränderungen unterdrückt werden können. Ich denke irgendein Trojaner hat diese in den Windowseinstellungen hinterlegt, da ja auch Firefox betroffen ist.

Aktiv habe ich mit Antivir, Spybot, hijackthis und Malwarebytes das System so gut es geht gereinigt.

Ich bin nun soweit eine Datensicherung machen zu können, habe aber noch Hoffung den Fehler in einer Richtlienie oder ähnlichen finden zu können und dann zu beheben.

Über etwas Hilfe wäre ich sehr dankbar.

Bitte alle relevanten Logs dazu posten

Hallo Arne,

sitze schon den ganzen Abend und bastel an den Log-Files, da der Rechner immer mal wieder schlapp macht und langsam wird, so das ich rebooten muss.

Kleine Info: Da der Rechner nicht bei mir zu Hause steht, muss ich leider remote die Scans machen (Sieht man auch in den Logs). Wenn es ganz wichtig ist, das die Internetverbindung tot ist, dann sage es bitte, dann werde ich zum Rechner schnellst möglich fahren und vor Ort arbeiten.

Und noch was ist mir heute aufgefallen: Die Datenträgerverwaltung geht nicht unter Windows. Ich glaube im GMER.log dazu auch was gesehen zu haben.

Hier nun die gesammelten Werke...

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Arne,

ich habe es befürchtet... online Scan mit autoatischer Sicherheitsdeaktivierung bei jedem Fensteröffnen :heulen:

Link anklicken, Datenschutz und Sicherheit wieder herstellen, Browserverlauf löschen... nächster Klick... und wieder von vorne, aber GESCHAFFT :stirn:

Hier das File gepostet, wie gewünscht.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=67bdea2f5a624b4d8e1f573a0e0dd113
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-01 05:24:26
# local_time=2011-09-01 07:24:26 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3, v.3264
# compatibility_mode=512 16777215 100 0 253234 253234 0 0
# compatibility_mode=1797 16775141 100 100 266306 89788401 0 0
# compatibility_mode=8192 67108863 100 0 477 477 0 0
# scanned=153210
# found=2
# cleaned=0
# scan_time=6047
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\411ee228-5182df8a Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\6ac5daea-42d3bfd9 Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I

Wieso hast du ein XP Pro? Bürocomputer?
Warum ist da nur eine Vorabversion vom SP3 drauf? => v.3264

Hi Arne,

ja ist ein Büro Computer, daher ja der Versuch der Rettung. An dem Ding hängt einiges dran.

Und Vorabversion ist gut. Habe ich noch gar nicht gesehen. Da ich aber die Updateseiten gar nicht laden kann, lebt der Rechner von dem automatischem Update. Warum das so gelaufen ist kann ich Dir nicht sagen, das lag vor meiner Zeit seit ich den Rechner anschaue. Der Rechner ist leider nicht von mir aufgesetzt.

Ich hätte SP3 eh noch einmal neu installiert, weil IE8 Neuinstallation nichts geholfen hatte, wollte Dir aber jetzt nicht in die Arbeit pfuschen.

Zur Zeit bin ich aber wieder daheim und remote auf dem Rechner, er läuft widererwartend sehr stabil heute, daher könnte ich jetzt noch was unternehmen, falls Du die nächsten Tips hast.

P.S. Datensicherung hatte vorgestern geklappt.

Ähm gerade dann sollte der Admin was in der Tasche haben was man sauberes Image nennt.

Die Vorabversion auf so einem Rechner zu installieren, an dem "einiges dranhängt" ist Pfusch hoch drei :wtf:
Wer kommt auf solche Ideen? Wenn ich _wichtige_ Rechner von Abteilungsleitern etc. aktualisieren, warten oder sonstwas muss, ist das erste was ich mach ein Image. Dann kann man ruhig danach was kaputtmachen oder es kann was durch die Aktualisierung kaputtgehen, notfalls spielt man das Image zurück.

Zieh ein Image von dieser Kiste und versuch die Vorabversion des SP3 zu deinstallieren.
Wenn alles glatt geht, neues Image.
Dann das finale SP3 installieren.
Geht wieder alles glatt, neues Image. Wohlgemerkt die alten erstellten Images alle behalten falls du ein oder zwei Schritte warum auch immer zurück willst/musst.
Beobachte wie sich die Kiste dann verhält. Echte Funde sind hier noch nicht zu verzeichnen.

OK, mit Datensicherung meinte ich eigentlich Image. habe ich seit vorgestern.

SP3 runter und neu drauf. Mal sehen, ob ich es runtergeladen bekomme.

Was ist mit den 2 Funden von ESET?

Die anderen Funde vor meinem ersten Post hier hatte ich ja schon direkt mit der Regedit gekillt.

Versuche nun SP3 ohne neue Trojaner downzuloaden...

Naja, die Dinger sehen mir nach Trash im Java-Cache aus.
Im Moment glaube eher die Kiste hat nen Schuss wegen Konfigchaos oder Vorabversion vom SP3 - auch wenn kein Virenscanner mehr etwas findet oder alles auch in Logs ok zu sein scheint, heißt das nicht, dass die Kiste komplett jemals so wieder einwandfrei laufen wird.

Ich bin da rel. kompromisslos, wenn da jmd einer meiner Kollegen einen Fehler meldet, den ich, mein Kollege oder unser Azubi nicht lösen können, setzten wir schnell einen neuen Rechner aus unserem Ersatzbestand (neu-Rechner) auf, stellen den auf und sacken den Problemrechner ein. Den können wir dann in Ruhe analysieren. Meistens sind es wirklich nur Probleme durch Konfigchaos, zig Programme installiert - ich weiß es ist unglücklich, aber manchen Kollegen muss man lokale Adminrechte geben und eigentlich nur bei denen tauchen solche Probleme auf, es sei denn die Hardware ist schuld. :(

Das macht unsere IT (zu der ich bis vor einigen Jahren auch gehörte) auch so in meiner Firma. Bei Laptops brauchen die User nur leider heute alle höhere Rechte, um ihre Anlalysetools etc. zu installieren. Dort gibt es zum Glück ja auch immer Images.

Dieser Rechner steht nur in einer kleineren Firma, die nicht über Images etc. verfügt. Aber mal was lustiges... Der Rechner hat eine 2. Festplatte. Welche in Windows aber gar nicht gezeigt wird. bzw. Laufwerksbuchtaben hat. Da die Datenträgerverwaltung ja auch nicht geht... habe ich diese auch nie gesehen.
Beim images vorgestern hatte ich mich nur gewundert, das ich plötzlich 3 Platte zu Auswahl hatte...
Naja beim Booten erkennt das Bios diese zumindest auch. Die scheint wohl früher als Images gedient zu haben, weil die Partionen dort total identisch sind.

So Download läuft. Danach entferne ich dann SP3... Ein image bekomme ich aber remote leider nicht hin. Muss ich dann morgen machen.
Ich halte Dich aber erst einmal auf dem laufenden, ob das Deinstallieren geklappt hat.

Hi Arne,

habe keine Möglichkeit gefunden das SP3 zu deinstaliern.
In Software ist der Button zum entfernen nicht da und im WindowsVerzeichnis habe ich keine uninstall Version für den Patch gefunden (WindowsXP-KB936929-SP3-x86-DEU.exe)

Diese Datei habe ich gefunden "WindowsXP-KB936929-SP3-Express-x86-DEU.exe" im Ordner C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Frage: Wo kan ich das deinstallieren, oder soll ich das neue SP3 überinstallieren..?

Der Rechner bringt mich noch um :killpc:

PS: Sorry war im falschen Windowsunterordner, habs gefunden... deinstalliere nun.

Hallo Arne,

kleiner Zwischenstand:

SP3 Vorversion deinstalliert --> keine Probleme
Windows gestartet:
Antivir Dienst musste neu gestartet werden
Netzwerk musste neu verbunden werden (WLAN)
Warum Platte 1 nicht angezeigt wird habe ich auch gefunden. Sie ist im Gerätemanager deaktiviert. Aktiviere ich diese, ist sie auch in der datenträgerverwaltung vorhanden!
Platte 0 (C:\ etc.) ist weder im Gerätemanager noch in der Datenträgerverwaltung zu finden. Trotzdem sind die Laufwerksbuchstaben im Explorer vorhanden und man kann ja auch auf alle zugreifen.
Der Internet Explorer reagiert wie vorher. Sämtliche Sicherheitseinstellungen werden beim Aufrufen herab gesetzt. Beim Öffnen einer neuen Registerkarte das gleiche Problem.
Keine weiteren Viren/Trojaner aufgetaucht.

Rechner ist grad beim Erstellen eines neuen Images (Stand SP2). Restzeit > 1Std.
Ach ja, das SP2 wird als "final" ohne Versionsnummer angezeigt.

So,

SP3 ist drauf und.... TATA.
Die Sicherheitseinstellungen im IE bleiben aktiv...


Jetzt läd Windows die Updates.... fertig.
RUMS: Das bösartige Softwareerkenungs Tool schlägt zu.

Summary
Trojan:DOS/Alureon.A is the detection for a variant of the Alureon malware family that infects the Master Boot Record (MBR).

Der IE ist auch wieder zurückgesetzt........ :wtf:

Hmm, zumindest kann ich den wieder richtig setzen und er bleibt dann auch auf der Sicherheitsstufe.

Also irgendwas ist noch drauf.... Arne bitte Hilfe, was soll ich weiter machen?
Virenscanner rennen lassen? Oder MBR reparieren ?

AntiVir ist fertig:

IE Datenschutz noch nicht wieder betroffen, aber die WindowsUpdateseite geht schin wieder nicht mehr....

Starte Malware Full Scann

würde nun den mbr reparieren

P.S.: Datenschutz im IE ist auch wieder defekt. ESET kan nicht aktualisiert werden.

Habe Eset zum Laufen gebracht.

Nach 4 Std. Scan hat ein keinen Fehler gefunden. Habe ihn leider deinstalliert, bevor ich das LOG.txt kopiert hatte, sry.

--> repariere nun MBR nach der MS Vorlage "Löschen bösartiger Software" etc...

Windows XP SP3 Wiederherstellungskonsole installiert
Wiederherstellungskonsole als administrator gestartet
mbr der Partition c:\ ausgewählt
Wiederherstellungskonsole hat Fehler entdeckt und mbr fehlerfrei gefixt.
System neu gestartet
Mit normalen User angemeldet. Ohne Internetverbindung
Datenträgerverwaltung geöffnet und :daumenhoc Platte 0 ist mit allen Partitionen sichtbar!!!
Boot.ini hatte einen Eintag timeout.old=30 --> entfernt
MS Böse Software hat den DOS/Alureon.A nicht mehr gefunden.

Werde nun SP3 noch einemal deinstallieren und neu installieren, da ja einiges schon wieder verdreht war.
Danach erstelle ich Image, ohne vorher Updates zu installieren.

Danach gerne noch einige Scans wieder durchführen...

Ok, weiter gehts:

SP3 runtergeworfen --> keine Probs
Unter SP2 nach dem DOS/Alureon.A gescannt (MS Böse Software) --> nichts
SP3 neu installiert --> keine Probs
Gescannt mit MS Böse Sofware, Antivir und Anti-Malware ---> nichts
Datenträgerverwaltung, Internet Explorer (ohne I-net) und Boot.ini getestet/geprüft, alles funktioniert einwandfrei :Boogie:


Rechner erstellt nun ein neues Image! Dauer ca. 2 Stunden
Damit bin ich jetzt an dem Stand, den Du in Deinem letzten Post gefordert hast.

Werde dann gegen 21 Uhr noch einmal zum Rechner fahren und das I-Net für die Updates starten.
Sollten diese dann ohne Probleme drauf gehen, erstelle ich von allen bisher genutzen Tools (OLT, Malware etc.) Berichte für Dich, die Du dann bitte anschauen möchtest.

--> Essen und Schlaf mal eben braucht :heilig:

Internetverbindung aufgebaut. Kein IE oder Outlook Espressgestartet!
Verbindungseinstellungen über das Sicherheitscenter gecheckt, alles ok.

106 Updates haben sich von selber aufgespielt. -> Beim Herunterfahren
Weiter 19 Updates sollten aufgespielt werden... scheint aber nach dem 1. beim Herunterfahren abzubrechen.

Folgende Scan nun durchgeführt:

AntiVir
GMER
[CODE]
GMER Logfile:
--- --- ---


Anti-Malware
OLT (Die Extra wurde irgendwie nicht erstellt... :-( )
OTL Logfile:
--- --- ---


Fahre nun zum Rechner und erstellen ein weiteres Image, danach starte ich IE und versuche die 19 Updates manuell zu installieren.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

vorher lief noch ein MSFullScan für Böse Software. 0 Fehler.

Hier das OTL Resultat:

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Beim Neustart wurden weiter 4 Updates eingespielt.
Jetzt installiert Windows noch 5 weitere, danach noch ein Reboot dann versuche ich Kaspersky.
Das hatte ich schon vor 2 Tagen herunter geladen, hing sich aber bei der Installation bei 80% auf und der Prozess konnte nur durch einen Reboot gekillt werden. Da war war aber noch der MBR Fehler auf der Platte. Melde mich gleich dann...

P.S: kleiner Hinweis: OTL killt beim Fixen auch den vorhanden Remotezugang (Ok, alles sollte zu sein, aber ein Programm... naja hab jedenfalls dumm geschaut und mich fix ins Auto gesetzt...)

Du meinst den Remotedesktop? :wtf:
Oder gehst du über ein anderes Fernwartungstool auf den Rechner?

Anderes Fernwartungssystem.
4 der 5 Updates wurden installiert, das 5. schlägt mit Fehler im Windowssystem fehl.
Kaspersky initalisiert bis 80%, danach steht der Prozeß und muß per Reboot gekillt werden.

Ne Sicherung des Systems ist ja da? Notfalls kannst du komplett recovern?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Fehler gefunden. Power Shell 1.0 war 2x installiert und konnte nicht auf 2.0 upgedated werdem und dazu lief die Echtheitüberprüfung nicht.
1. 1.0 manuell deinstalliert --> 2.0 installiert... ging
2. Manuell Patch gesaugt und installiert --> funzt.. kein weiteres wichtiges Update vorhanden.

Versuche nach reboot Kaspersky noch einmal, sonst Combofix

Kaspersky war wieder nach 80% stehen geblieben.

Combofix geladen und ausgeführt:

[code]
Combofix Logfile:
--- --- ---

Hallo Arne,

weil ich den ESET letztes Mal zu schnell deinstalliert hatte :pfeiff:, hier noch ein online Scan von heute Nacht.

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=67bdea2f5a624b4d8e1f573a0e0dd113
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-04 10:52:48
# local_time=2011-09-05 12:52:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 520948 520948 0 0
# compatibility_mode=1797 16775125 100 100 177614 90056115 61458 0
# compatibility_mode=8192 67108863 100 0 365 365 0 0
# scanned=191226
# found=0
# cleaned=0
# scan_time=17235


Gruß
Vokus

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Nr. 1

GMER Logfile:
--- --- ---

Nr. 2 Das mit online überspringen habe ich nicht verstanden, da er danach nach dem start wieder online überprüfen will.

und Nr.3:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-09-05 22:37:29
-----------------------------
22:37:29.719 OS Version: Windows 5.1.2600 Service Pack 3
22:37:29.719 Number of processors: 2 586 0xF0D
22:37:29.719 ComputerName: PC-* * * UserName: * * *
22:37:30.110 Initialize success
22:50:47.516 AVAST engine defs: 11090501
22:51:32.078 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000076
22:51:32.078 Disk 0 Vendor: WDC_WD3200AAKS-00B3A0 01.03A01 Size: 305245MB BusType: 3
22:51:34.156 Disk 0 MBR read successfully
22:51:34.156 Disk 0 MBR scan
22:51:34.188 Disk 0 Windows XP default MBR code
22:51:34.235 Disk 0 scanning sectors +625121280
22:51:34.406 Disk 0 scanning C:\WINDOWS\system32\drivers
22:52:06.953 Service scanning
22:52:07.781 Modules scanning
22:52:38.547 Disk 0 trace - called modules:
22:52:38.563
22:52:38.875 AVAST engine scan C:\WINDOWS
22:53:39.719 AVAST engine scan C:\WINDOWS\system32
22:58:59.219 AVAST engine scan C:\WINDOWS\system32\drivers
22:59:49.125 AVAST engine scan C:\Dokumente und Einstellungen\* * *
23:04:02.797 AVAST engine scan C:\Dokumente und Einstellungen\All Users
23:07:11.531 Scan finished successfully
23:07:48.016 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\* * *\Desktop\MBR.dat"
23:07:48.031 The log file has been saved successfully to "C:\Dokumente und Einstellungen\* * *\Desktop\aswMBR_20110905.txt"


Ich habe fertig, nun kommt der Fachmann :glaskugel:

Gruß
Vokus

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Nr. 1 -- Alles OK:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7661

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2011 18:58:02
mbam-log-2011-09-06 (18-58-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 375675
Laufzeit: 1 Stunde(n), 18 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Nr. 2 -- macht mir Sorgen... siehe Sicherung Bankingmodul (?)

Nr. 3 läuft grad...

AntiVir hat die letzten 3 Einträge übrigends nicht gefunden, gerade noch mal extra gescannt.

Nr. 3 Fertig.

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=67bdea2f5a624b4d8e1f573a0e0dd113
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-06 09:51:39
# local_time=2011-09-06 11:51:39 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 700004 700004 0 0
# compatibility_mode=1797 16775141 100 100 356670 90235171 87181 0
# compatibility_mode=8192 67108863 100 0 461 461 0 0
# scanned=193090
# found=0
# cleaned=0
# scan_time=7310

Keine Funde, dann warens nur Cookies und Fehlalarme.
Rechner wieder im Lot?

Geschwindigkeit ist wieder super.

Fehler:
Excel Fehlermeldungen beim Start wegen aktiven Euroumrechnungstool --> gefixt.

Ein Bluescreen, leider liegt keine Info vor in welchem Modul das passierte. --> Wird beobachtet falls das noch mal wieder kommt

Ein DRM Fehler --> kam nach Installation Media Player 11 --> ich teste mal den MP11, oder das nach restart wieder kommt und ggf. gefixt werden muss, wie von MS beschrieben

Ich denke diese Fehler liegen aber auch daran, das nun SP3 final drauf ist und einige Programme halt noch nicht "fein"-abgestimmt sind. Immerhin reden wir von ca. 150 Updates, die inzwischen neu drauf sind.

Ich wollte nun noch die Tracking Cookies aus der Sicherung löschen.
Danach würde ich gerne so viele wie mögliche jetzt genutzte Scanprogramme wieder runter werfen.

Rest AntiVir, dazu noch ein Anti-Malprogramm, welches würdest Du da empfehlen?

So mehr fällt mir grad nicht ein, also ja sieht ganz gut aus. :daumenhoc

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So, alles deinstalliert. Gab keine Probleme nur überall waren noch Ordnerfragmente mit .logs etc. -- hoffe nun etwas aufgeräumt zu haben.

Dann habe ich die bösen Cookies aus der Sicherung noch entfernt.

Alle Windows Updates sind drauf.

Virenscanner etc. aktuell.

Was meinste zu der Adobe 8.0 Installation? Ein PDF-Maker wird benötigt. Updaten, oder auf eine Freeversion aus dem INet umsteigen? TIP?

Heute lief der Rechner ohne Probleme, daher keine neuen "Features" gefunden.

Wir beobachten ihn weiter, ansonsten

VIELEN VIELEN DANK für die Hilfe :daumenhoc

(Am Sonntag wird dann über eine Spende verhandelt, drück die Daumen, das der Rechner solange durchhält :heilig:)

Muss es unbedingt ein Acrobat sein? Nur im PDF zu erstellen braucht es das nicht. Man kann mit Open- und Libreoffice direkt nach PDF speichern. Mit Ghostscript und FreePDF kann man aus jedem Programm heraus über den FreePDF-Printer in eine PDF-Datei drucken.
Mit PDF Split&Merge kann man vorhandene PDFs aufsplitten oder wieder zusmmenfügen.

Wenn du PDFs direkt bearbeiten musst was sich so mit den i.g. Programm nicht realisieren lässt, dann brauchste evtl ein echtes teures Acrobat.