Trojaner-Board - Virus befällt externe Festplatte und USB-Sticks, Recycler-Ordner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus befällt externe Festplatte und USB-Sticks, Recycler-Ordner (https://www.trojaner-board.de/123160-virus-befaellt-externe-festplatte-usb-sticks-recycler-ordner.html)

Virus befällt externe Festplatte und USB-Sticks, Recycler-Ordner

Hallo Trojaner-Board,

vorneweg: ich bin leider eher ein Laie, was diesen ganzen Computer Kram angeht. Ich versuche, eure Anweisungen so gut ich kann zu befolgen, bitte verzeiht mir, wenn ich dumme Fehler mache :daumenhoc

Ich scheine mir einen Virus auf meiner externen Festplatte eingefangen zu haben. Das wäre an sich nicht so tragisch, weil ich die meisten der Daten auf meinem Laptop selbst noch einmal habe. Allerdings scheint der Virus mittlerweile auf dem PC selbst zu sein, da er jeden USB-Stick befällt, den ich zu nutzen versuche... und da ich ein neues Smartphone habe, auf das ich gerne mal ein paar Daten überspielen würde muss ich mich nun doch mal kümmern.

Auf der Festplatte/ den Sticks, sind plötzlich alle Datein versteckt und durch Verlinkungen ersetzt. Wenn ich auf auf die Ordner klicke, erscheint folgende Fehlermeldung:

"F:\RECYCLER\40109cb.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen sie den Vorgang."

Laut belegtem Speicherplatz, scheinen die Dateien aber noch irgendwo zu sein.

Ich habe wie verlangt, mal OTL und Gmer scannen lassen. (Siehe Anhang)

Was kann ich tun um meinen PC zu säubern und ohne Angst die USB-Ports zu nutzen? Wäre top, wenn ich auch die externe Festplatte und die darauf vorhandenen Dateien retten könnte...

Und es wäre top, wenn mir in der einfachsten PC-Sprache helfen könntet, die euch einfällt :)

Vielen Dank schonmal!!

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Hallo und :hallo:

Ich bin Christoph und möchte dir bei deinem Problem helfen.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting (Posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software außer Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen außer ich fordere Dich dazu auf. Erschwert mir nämlich das Auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein PC clean ist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste in deiner nächsten Antwort

Combofix.txt

gemacht :)

Combofix Logfile:

Code:

ComboFix 12-08-31.08 - Billy 02.09.2012  16:39:00.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3066.2030 [GMT 2:00]

ausgeführt von:: c:\users\Billy\Downloads\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\HBLite

c:\program files\HBLite\bin\11.0.363.0\firefox\extensions\install.rdf

c:\program files\HBLite\bin\11.0.363.0\firefox\extensions\plugins\npclntax_HBLiteSA.dll

c:\program files\HBLite\bin\11.0.363.0\HBLiteSAHook.dll

c:\program files\HBLite\bin\11.0.363.0\LaunchHelp.dll

c:\program files\ShopperReports3

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\chrome.manifest

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\chrome\content\infopane.js

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\chrome\content\InfoPane.xul

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\components\BrowserExtensionFF.dll

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\components\BrowserExtensionFF.xpt

c:\program files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions\install.rdf

c:\program files\ShopperReports3\bin\3.1.71.0\LaunchHelp.dll

c:\program files\ShopperReports3\bin\3.1.71.0\link.ico

c:\program files\ShoppingReport2

c:\programdata\HBLiteSA

c:\programdata\HBLiteSA\HBLiteSA.dat

c:\programdata\HBLiteSA\HBLiteSA_kyf.dat

c:\programdata\HBLiteSA\HBLiteSAAbout.mht

c:\programdata\HBLiteSA\HBLiteSAau.dat

c:\programdata\HBLiteSA\HBLiteSAEULA.mht

c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar

c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Uninstall Instructions.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\ShopperReports

c:\programdata\Microsoft\Windows\Start Menu\Programs\ShopperReports\About Us.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\ShopperReports\Customer Support.lnk

c:\programdata\Microsoft\Windows\Start Menu\Programs\ShopperReports\ShopperReports Uninstall Instructions.lnk

c:\users\Billy\AppData\Local\TempDIR

c:\users\Billy\AppData\Roaming\101F.tmp

c:\users\Billy\AppData\Roaming\106B.tmp

c:\users\Billy\AppData\Roaming\1096.tmp

c:\users\Billy\AppData\Roaming\1948.tmp

c:\users\Billy\AppData\Roaming\1977.tmp

c:\users\Billy\AppData\Roaming\1D16.tmp

c:\users\Billy\AppData\Roaming\2453.tmp

c:\users\Billy\AppData\Roaming\24A6.tmp

c:\users\Billy\AppData\Roaming\2DD2.tmp

c:\users\Billy\AppData\Roaming\2F85.tmp

c:\users\Billy\AppData\Roaming\41F6.tmp

c:\users\Billy\AppData\Roaming\4925.tmp

c:\users\Billy\AppData\Roaming\4C8C.tmp

c:\users\Billy\AppData\Roaming\5AA8.tmp

c:\users\Billy\AppData\Roaming\60BD.tmp

c:\users\Billy\AppData\Roaming\65AA.tmp

c:\users\Billy\AppData\Roaming\6856.tmp

c:\users\Billy\AppData\Roaming\6FC5.tmp

c:\users\Billy\AppData\Roaming\74CB.tmp

c:\users\Billy\AppData\Roaming\773B.tmp

c:\users\Billy\AppData\Roaming\7C4B.tmp

c:\users\Billy\AppData\Roaming\7D89.tmp

c:\users\Billy\AppData\Roaming\8069.tmp

c:\users\Billy\AppData\Roaming\84C8.tmp

c:\users\Billy\AppData\Roaming\8A9B.tmp

c:\users\Billy\AppData\Roaming\8F0F.tmp

c:\users\Billy\AppData\Roaming\8FAB.tmp

c:\users\Billy\AppData\Roaming\9743.tmp

c:\users\Billy\AppData\Roaming\98CB.tmp

c:\users\Billy\AppData\Roaming\9B32.tmp

c:\users\Billy\AppData\Roaming\A12B.tmp

c:\users\Billy\AppData\Roaming\A4B5.tmp

c:\users\Billy\AppData\Roaming\A5D2.tmp

c:\users\Billy\AppData\Roaming\A677.tmp

c:\users\Billy\AppData\Roaming\B933.tmp

c:\users\Billy\AppData\Roaming\BDBC.tmp

c:\users\Billy\AppData\Roaming\C15C.tmp

c:\users\Billy\AppData\Roaming\C176.tmp

c:\users\Billy\AppData\Roaming\C2BC.tmp

c:\users\Billy\AppData\Roaming\C3D3.tmp

c:\users\Billy\AppData\Roaming\C63F.tmp

c:\users\Billy\AppData\Roaming\C7FB.tmp

c:\users\Billy\AppData\Roaming\C960.tmp

c:\users\Billy\AppData\Roaming\CE97.tmp

c:\users\Billy\AppData\Roaming\CEBE.tmp

c:\users\Billy\AppData\Roaming\D1C4.tmp

c:\users\Billy\AppData\Roaming\D42D.tmp

c:\users\Billy\AppData\Roaming\D525.tmp

c:\users\Billy\AppData\Roaming\DD60.tmp

c:\users\Billy\AppData\Roaming\DDDA.tmp

c:\users\Billy\AppData\Roaming\E297.tmp

c:\users\Billy\AppData\Roaming\E2A7.tmp

c:\users\Billy\AppData\Roaming\E2D7.tmp

c:\users\Billy\AppData\Roaming\F20D.tmp

c:\users\Billy\AppData\Roaming\F218.tmp

c:\users\Billy\AppData\Roaming\HBLite

c:\users\Billy\AppData\Roaming\ShopperReports3

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-08-02 bis 2012-09-02  ))))))))))))))))))))))))))))))

.

.

2012-09-02 14:49 . 2012-09-02 14:49        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-08-31 12:16 . 2012-08-31 12:16        --------        d-----w-        c:\program files\7-Zip

2012-08-31 09:56 . 2012-08-23 07:15        7022536        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{B10EE92E-A944-4EF6-9F82-6623B74A1626}\mpengine.dll

2012-08-06 20:00 . 2012-08-06 20:00        --------        d-----w-        c:\users\Billy\Neuer Ordner

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-06-06 18:59 . 2012-06-06 18:59        1070152        ----a-w-        c:\windows\system32\MSCOMCTL.OCX

2011-06-16 04:32 . 2011-07-08 15:12        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2012-01-03 08:31        1514152        ----a-w-        c:\program files\Ask.com\GenericAskToolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\Billy\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\Billy\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\Billy\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"Xvid"="c:\program files\Xvid\CheckUpdate.exe" [2011-01-17 8192]

"ICQ"="c:\program files\ICQ7.5\ICQ.exe" [2011-08-01 124480]

"WordWeb"="c:\program files\WordWeb\wweb32.exe" [2009-11-08 65216]

"Spotify"="c:\users\Billy\AppData\Roaming\Spotify\Spotify.exe" [2012-07-17 7609560]

"Spotify Web Helper"="c:\users\Billy\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-07-17 1192664]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-25 98304]

"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-01-21 495708]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]

"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2012-01-03 1391272]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-01-16 421736]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]

.

c:\users\Billy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\Billy\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

EvernoteClipper.lnk - c:\program files\Evernote\Evernote\EvernoteClipper.exe [2011-8-8 977408]

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

VPN Client.lnk - c:\windows\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico [2011-8-31 6144]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer"=wdmaud.drv

.

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_ba820248\aestsrv.exe [x]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-17 11:27]

.

2012-09-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-17 11:27]

.

2012-08-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1357667144-1990319787-2246730818-1000Core.job

- c:\users\Billy\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-17 11:27]

.

2012-09-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1357667144-1990319787-2246730818-1000UA.job

- c:\users\Billy\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-17 11:27]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.ask.com/?l=dis&o=1586&gct=hp

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Evernote 4.0 - c:\program files\Evernote\Evernote\EvernoteIE.dll/204

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Free YouTube Download - c:\users\Billy\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\users\Billy\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe

TCP: DhcpNameServer = 192.168.0.1

FF - ProfilePath - c:\users\Billy\AppData\Roaming\Mozilla\Firefox\Profiles\yv1flccf.default\

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?l=dis&o=1586&gct=hp

FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=DVS2&o=1586&locale=de_US&apn_uid=faa53f93-a43b-4b58-98a6-dc3dd6121890&apn_ptnrs=^AAA&apn_sauid=559F024B-FC7F-45C0-B180-E2861C86EF54&apn_dtid=^YYYYYY^YY^AU&&q=

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-Ctzgzi - c:\users\Billy\AppData\Roaming\Ctzgzi.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-09-02 16:50

Windows 6.0.6001 Service Pack 1 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Zeit der Fertigstellung: 2012-09-02  16:54:33

ComboFix-quarantined-files.txt  2012-09-02 14:54

.

Vor Suchlauf: 10 Verzeichnis(se), 81.282.994.176 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 84.277.755.904 Bytes frei

.

- - End Of File - - 0B0E8C7B1341FD9B3893D4537D765C22

--- --- ---

Hi :)

treten noch Probleme auf? Wenn ja, beschreibe diese bitte so genau wie möglich.

Bitte mache außerdem Folgendes:

Malwarebytes
Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Komplett-Scan durchführen und drücke auf Scannen.
Bitte lasse auch deine externen Speichermedien scannen (schließe sie an den PC an und und aktiviere die jeweiligen Kontrollkästchen in der Laufwerksauswahl des Scans).
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter "Log Dateien" finden.

Hallo Jazzer,

danke erst mal für deine Hilfe! Also mein Laptop selbst läuft einwandfrei. Er zersört eben nur meine externe Festplatte und sämtliche Wechseldatenträger über USB wie oben beschrieben.

Ich habe Malware scannen lassen. nach 2:57Std hat es sich aufgehängt ohne mir einen Bericht anzuzeigen. Bis dahin hat es aber 17 infizierte Objekte gefunden.

Werde den Scan später nochmal starten und dann hoffentlich auch ein Ergebnis haben....

Danke schonmal!:applaus:

diesmal hat es geklappt. Die externe Festplatte, auf der das oben beschriebene Problem mit den verschwundenen Datein auftritt, wurde mitgescannt.

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.05.07

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Billy :: BILLY-PC [Administrator]

Schutz: Aktiviert

05.09.2012 18:29:35
mbam-log-2012-09-05 (18-29-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 370341
Laufzeit: 3 Stunde(n), 15 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 27
HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{ACC62306-9A63-4864-BD2F-C8825D2D7EA6} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226} (Adware.ClickPotato) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2} (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB} (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF} (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.HbAx (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.HbAx.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.HbInfoBand (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.HbInfoBand.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.IEButton (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.IEButton.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.IEButtonA (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.IEButtonA.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.RprtCtrl (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShopperReports.RprtCtrl.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Mozilla\Firefox\extensions|HBLite@HBLite.com (Adware.HotBar) -> Daten: C:\Program Files\HBLite\bin\11.0.363.0\firefox\extensions -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Mozilla\Firefox\extensions|ShopperReports@ShopperReports.com (ShopperReports) -> Daten: C:\Program Files\ShopperReports3\bin\3.1.71.0\firefox\firefoxtoolbar\extensions -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 4
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096} (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\chrome (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\defaults (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\defaults\preferences (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 8
C:\Users\Billy\Downloads\video_downloader.exe (PUP.BundleInstaller.VG) -> Keine Aktion durchgeführt.
C:\Qoobox\Quarantine\C\Program Files\HBLite\bin\11.0.363.0\HBLiteSAHook.dll.vir (Adware.HotBar.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\Program Files\HBLite\bin\11.0.363.0\LaunchHelp.dll.vir (Adware.Seekmo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\Program Files\HBLite\bin\11.0.363.0\firefox\extensions\plugins\npclntax_HBLiteSA.dll.vir (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\chrome.manifest (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\install.rdf (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\chrome\questscan.jar (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096}\defaults\preferences\prefs.js (Adware.QuestScan) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hi :)

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:files

autorun.inf /alldrives

:Commands

[emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Wichtig: Schließe bitte vor dem Fix alle infizierten Datenträger an deinen PC an!

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du dennoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.