schweizer eidgenossenschaft - trojaner
 

hallo zusammen
habe mir wohl auch diesen plagegeist der mit dem fakelogo der schweizer eidgenossenschaft eingefangen. da ich ein laie bin bin ich schon ziemlich am anschlag...
kann mir jemand sagen wie ich OLT oder malwarebytes überhaupt downloaden resp starten kann? das weisse bild sperrt ja mein pc!
wäre toll hilfe zu bekommen :confused:
greetz mickyxx

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

hallo! danke, dass du dich meldest!
ja das geht noch. nun habe ich eine auswahl 3linien:
- microsoft windows recovery console
- do not select this (debugger aktiviert)
- microsoft windows xp home edition

soory, sieht scheisse aus, bin am handy :-(
was soll ich auswählen?

ach ja, ganz unten steht in blau:
abgesicherter modus mit netzwerktreibern

soll ich das "abgesicherter modus mit netzerktreibern" wählen?

hallo zusammen
bis jetzt konnte mir scheinbar noch niemand helfen.
habe per cd boot ein otlp scan fertiggebracht. das logfile habe ich auf ein usb-stick geladen. werde ich hier posten sobald ich wieder au einen anderen pc zugriff habe.

probleme:
hätte zwar eine internetverbindung auf dem otlp desktop aber die tastatur reagiert nicht. vermutlich ist etwas mit den treibern nicht mehr ok. maus funktioniert aber!
sonst hätte ich das log hier schon drauf und könnte otl runterladen um zu fixen.

habe nicht wie im fall von djiana zwei txt dateien. es wurde nur otl.txt kreiert extras.txt fehlt.

otlp logfile liefere ich baldmöglichst nach, hoffe dass mir jemand ein script machen kann.

Hier das OTLP Logfile:OTL Logfile:
--- --- ---

Bitte RICHTIG lesen! Per F8 hast du garantiert andere Menüeinträge!

Wir könnten eine Menge Zeit sparen wenn du mal vernünftig meine Beiträge liest! Natürlich sollst du das ausprobieren oder meinst du ich frage einfach nur aus Spaß ob dieser Modus noch geht?!

hey man! tut mir echt leid... war echt nervös in der situation. ich hab keinen blassen schimmer. alles was nicht nach windows oberfläche aussieht ist für mich nur bahnhof.
trotzdem bin ich schon stolz den otlp scan fertiggebracht zu haben :-D
wäre toll wenn du mir weiterhelfen könntest. geb mir total mühe allem so gut es geht zu folgen!

hallo
wie soll ich weitermachen?
im abgesicherten modus (mit f8)
komme ich auch nicht rein, egal ob mit oder ohne internetverbindung.

hilft das otlp log nicht?

hallo
wie soll ich weitermachen?
im abgesicherten modus (mit f8)
komme ich auch nicht rein, egal ob mit oder ohne internetverbindung.

hilft das otlp log nicht?

Immer schön mit der Ruhe, bevor ich wasmit OTLPE mache will ich erst die normalen Möglichkeiten ausschöpfen :pfeiff:


Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

hi. danke für die antwort

fürs verständnis:
entspricht otl auch otlp? ich habe einfach ein icon otlp auf demselben desktop. wenn ich otl zuerst runterladen muss geht dies nicht, da meine tastatur auf dem otlp desktop nicht funktioniert. eine internetverbindung scheint zu bestehen.

leider kann ich aus demselben grund nicht aufs forum zugreifen um den text ins otl zu kopieren. ich muss erst wieder auf einen anderen pc zugreifen können und dein text via usb stick kopieren.

gibt es eine möglichkeit die tastatur auf dem otlp desktop zum laufen zu bringen?

OTLPE ist die OTL-Version von der bootbaren CD - sollte man nur dann verwenden, wenn Windows sich garnicht mehr starten lässt

Und wenn du schon was von OTLPE liest dann lies die Anleitungen auch bitte richtig
Wenn du von der OTLPE-CD bootest musst du natürlich OTL nicht mehr runterladen!

Mein Fixscript kannst du via USB-Stick auf den Rechner mit geladenem OTLPE rüberbringen

ok.
beim referenzbeitrag den ich gelesen habe wurde die hilfesuchende person nach dem cd boot von otlp noch aufgefordert otl downzuloaden. aber das erledigt sich dann ja wenn beides dasselbe ist.

ich werde morgen wieder auf ein pc zugriff haben um den text auf usb zu laden.
schöner abend und danke!!

Ähm nein :wtf:
Hast du einen Link dazu?
Und klappt das mit dem Fix nun?


Meine Anleitung OTLPE sieht immer so aus:

hi
nö. habe an meiner arbeitsstelle nun dein script auf den usb stick geladen.
versuche den fix heute nachmittag.

hier der andere beitrag:
http://www.trojaner-board.de/121660-...-gesperrt.html

eventuell ist auch gemeint olt auf den home dektop zu laden wenn dieser wieder geht.

bis später. thx

OK. Langsam wirds was. Hier Das OTL-Log

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_USERS\M.villiger_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Badoo Desktop deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:I:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat deleted successfully.
C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26 deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 09042012_194928

Bitte auch an den Upload denken!
Geht der normale Modus von Windows jetzt wieder?

Ja, habe jetzt den Upload gemacht. Schau mal, obs geklappt hat.
Ja, der normale Modus geht wieder...

Geht es noch weiter?

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hier ein altes und das neue Mbam Log:

Wo lade ich ESET runter?
Und wo sehe ich ob mein PC 64Bit hat?

Wie wärs mal mit Anleitung lesen? Ich schreib hier nicht alles doppelt und dreifach nur weil du nicht beim ersten Mal die Anleitung nicht richtig liest! :balla:

Du hast Windows XP => 32 Bit!

Also da ich nur einen Link sehe in deiner Antwort nehme ich an:

ich bin der Administrator? :wtf:

Lies die Anleitung doch mal endlich richtig und von vorne bis hinten durch!

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen

Sorry. Aber der Link: "Eset online Scanner" ist nun mal nur einmal erwähnt und zwar hinter dem Satz: Im als Administrator geöffneten Browser diesen Link aufrufen. Der weiter oben erwähnte grüne Vermerk "ESET Online Scanner" ist kein aktiver Link.

Hier jedenfalls das Log:

Das soll ja auch nur die Überschrift sein :rofl:
Wenn man Hilfe über ein Forum in Anspruch nehmen möchte kann das nun echt nicht zuviel verlangt sein Anleitungen mal komplett und sorgfältig durchzulesen... :(

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! :stirn:

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo Cosinus

Danke für die Tips.

Der Registry Booster ist noch ein Überbleibsel einer Verzweiflungssituation bei einem früheren Trojaner. Mir wurde auch schon gesagt, dass diese Booster nichts bringen.
Wie kann ich den removen?

Bei Softtronic handelt es sich vermutlich um meinen TubeHunter, welcher autmatisch Vids auf Pages erkennt und einen Download ermöglicht auch wenn Vids eigentlich nicht downloadbar sind. Gibt es was ähnliches was ungefährlich ist? Benutze den TubeHunter schon recht lange. Ist dies nicht der TubeHunter weiss ich nicht was das von Softtronic sein soll.

Kannst du mir bei Gelegenheit mal ein Tip für ein effektives und möglichst günstiges Virenprogramm geben? Ich benutze seit Jahren Ad-Adware von Lavasoft. Die kostenpflichtige Version habe ich vor ca. 3Wochen nicht mehr erneuert und habe die Gratis-Version verwendet. Anscheinend bietet die nicht ausreichenden Schutz...

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Guten Morgen
Vielen Dank für die Tips. Grundsätzlich halte ich mich an alle diese Regeln. Ausser dass ich IE verwende. Ich habe Firefox schon ausprobiert, aber das Layout und Bedienelemente sind mir einfach unsymphatisch.

Seit etwa zwei Tagen (resp. seit mein PC wieder funktioniert) habe ich nun folgendes Problem:
Wenn ich den PC runterfahre kann ich normal aussteigen. Beim Neustart habe ich aber ein frozen-Screen. Ich kann nichts anklicken und die Internet-Verbindung scheint nicht zu funktionieren. z.B. MSN was im Autostart ist, öffnet sich nicht und das rote Kreuz über dem Icon signalisiert, dass keine Internetverbindung da ist. Auch der Startbutton ist nicht anklickbar. In der unteren Befehlsleiste erscheint aber die Sanduhr wenn ich mit dem Cursor darauf gehe. Auch nach einer halben Stunde geht aber nichts.
Wenn ich dann aber den PC "abwürge" mittels Ausschalttaste und neustarte, funktioniert alles einwandfrei. Sobald ich aber wieder normal aussteige, efolgt nach dem nächsten Neustart wieder dasselbe Problem.

Ich habe ja keine Ahnung, aber vielleicht muss ich mal dass eine oder andere Programm der letzten Tage deinstallieren: Malware, adw, otl usw? Ich weiss nicht ob die sich gegenseitig beissen. Hätte ich die jeweils gerade nach dem Scan/Fix deinstallieren sollen?

Also ich kann beim besten Willen nicht nachvollziehen warum das Layout vom FF unsympathisch sein soll :balla: was soll denn so großartig anders sein bzgl. Anordung Adressleiste, Symbole und Tabs! Da ist doch kaum ein Unterschied
Unterschiede sieht man in den Browseroptionen und die sind umständlich, unlogisch und tw. völlig willkürlich durcheinander im IE!


Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

Hi Cosinus
Hier die OTL Logs. Das Problem besteht noch. Nach einem ordnungsgemässen Shutdown startet der PC aber reagiert nicht auf Mausbefehle. Nach Abschaltung mit Aus-Taste startet alles normal. Ich werde vom System aufgefordert Java upzudaten. Soll ich das im gegenwärtigen Zeitpunkt tun?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hi cosinus
danke für das otl fix.
ich weiss nicht ob das jetzt korrekt läuft. seit 20 min zeigt otl unten den text:
killing processes. do not interrupt...
geht das so lange oder stimmt da was nicht?
ich habe alle programme geschlossen incl ad-adware.

hmmm. otl zeigt nun oben (keine rückmeldung).
ist jetzt schon 1 1/2std seit ich den fix button gedrückt habe. kann das programm auch nicht beenden... falls du nicht mehr online bist werde ich abschalten wenn ich zu bett gehe.

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

So, nun scheints geklappt zu haben.
Ich habe jeweils mein ganzer Name in den Logfiles mit Suchen/Ersetzen durch m.vil ersetzt. Meine Name wäre noch länger. Ich habe leider dummerweise erst jetzt gemerkt, dass dieses m.vil bei deinem Script drin war und habe es beim Script nicht wieder vollständig eingesetzt.

Darum vermutlich diese beiden not founds:
File\Folder I:\Dokumente und Einstellungen\M.Vil\Desktop\registrybooster.exe not found.
File\Folder I:\Dokumente und Einstellungen\M.Vil\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found.

Kann ich den Script nochmals verwenden mit meinem vollständigen Namen oder brauche ich einen anderen? Sorry, habe deinen Script zu voreilig kopiert ohne durchzusehen.

Deswegen sollst du ja auch wie in der Anleitung beschrieben die vollen Familiennamen durch Sternchen ersetzen! Nur so kann ich erkennen, dass du etwas unkenntlich gemacht hast - das blicke ich ja nicht durch ob M.Vil schon die zensierte oder orginale Fassung ist

Und ja, das Script nochmal mit korrigiertem/originalem Usernamen durchlaufen lassen

Hier das OTL-Logfile

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hi Cosinus
Hier das Logfile vom TDSS-Killer:

Du solltest doch alles skippen! :(

Sorry
Werden bei einem nochmaligen Scan die Quarantäne Dateien angezeigt? Also so, dass ich sie Skipen kann?

Nein!!! Deswegen hab ich doch deutlich darauf hingewiesen, dass du nichts voreilig löschen darfst! Aber sooo wichtig ist das gelöschte Element nun auch nicht, es ist aber immer wieder ärgerlich wenn gerade die wichtigsten Passagen in meinern Anleitungen nicht beachtet werden! :(

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hi cosinus
combofix scant jetzt schon über eine stunde, obwohl es auf dem autoscan fenster heisst, es ginge ca. 10min.
was soll ich tun?

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Hi
Gleiches Problem mit neu runtergeladenen combofix.exe. Scanfenster erschien über eine Stunde ohne Ende. Soll ich mal im abgesicherten Modus versuchen?

Ja, das wäre auch mein nächster Vorschlag gewesen. Nimm aber bitte den abgesicherten Modus mit Netzwerktreibern.

Funktioniert auch nicht...
Wie soll ich weitermachen?

Der PC fragt mich ob ich Windows-Updates durchführen will. Ebenfalls will Java upgedatet werden. Soll ich dies zum gegenwärtigen Zeitpunkt tun?

Ad-Adware schlägt mir ein dringender Scan vor. Soll ich das tun?

Alle meine Musikstücke in i-tunes sind nicht mehr vorhanden. Ich kann aber nicht sagen nach welchem Scan oder Fix dies passiert ist.

Hast du denn auch eine aktuelle combofix.exe genommen, die von heute?
Und AdAware kannst du deinstallieren, das Tool braucht man nicht

Ja, ich habe ein Download gemacht und nicht das bestehende Icon verwendet. Ich versuchs heute nochmals

Ad-Adware ist mein Virenschutz. Ich brauch doch ein Schutz. Was soll ich als Alternative installieren?

Ad-Ware ist kein Virescanner! Deinstallier das Teil! Über Altermativen reden wir wenn wir durch sind!

OK. Ich habe CF nochmals versucht. Auch im abgesichterten Modus mit neuem Download geht beim Scan einfach nichts weiter.

dann müssen wir cf erstmal überspringen

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hier mal das Log von GMER. Das hat einwandfrei funktioniert. OSAM folgt

Hier noch das letzte Log von aswMBR

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Sieht ok aus, da wurden nur Cookies gefunden. Zudem war da nur ein Überrest in der Q von OTL bzw. noch zwei Fehlalarme bei SASW aber die Cookies können alle weg
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus

Danke nochmals für die guten Tipps. Der PC läuft eigentlich problemlos. Einfach beim Aufstarten sehr langsam. Ich vermute mal dass ist wegen einigen Updates die das System machen will und nach dem Aufstarten danach fragt.
- Malwarebytes
- Java
- Super Antispyware
usw.

Ich habe kein FB und ich melde mich immer manuell an bei allen Passwort geschützten Seiten. Wie stelle ich den IE so ein, dass beim Beenden alle Cookies gelöscht werden. Soll ich die gefundenen Cookies mittels Super Antispyware löschen?

Welches Schutzprogramm soll ich behalten und als Standard verwenden? Wie und welche Tools soll ich löschen?

Momentan auf meinem Desktop:

- CF
- OSAM
- Super Antispyware
- ADW Cleaner
- PPF Scan
- aswMBR
- OTL
- GMER (Fantsiename)
- Ad-Adware (lösche ich sobald ich weiss was ich dauerhaft verwenden soll)

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK.

Habe ich das richtig verstanden. Ich brauche kein Live Schutz welcher beim Surfen immer aktiv ist (wie Ad-Adware)? Also Firewall nennt man dies wohl auch. Macht dies Malwarebytes auch? Oder reicht der periodische Totalscan? Wird Malwarebytes irgendwann inaktiv weil man bezahlen muss, wie bei vielen Schutzprogrammen?

Ich verwende privat keinen PDF-Reader.

Ich melde mich nochmals nach der OTL-Bereinigung.

Ach so ja:
OTL ist bei mir englisch. Muss ich bei OTL zuerst wieder ein Scan machen und muss ich "Run Fix" oder "Clean up" verwenden?

Welches Java jre muss ich downloaden?

Windows x86 Online 0.85 MB jre-7u7-windows-i586-iftw.exe
Windows x86 Offline 29.73 MB jre-7u7-windows-i586.exe
Windows x64 31.18 MB jre-7u7-windows-x64.exe

Habe ich nicht XP also was mit 32? Oder hat das nichts damit zu tun?

Wo genau bitte steht das?

Und das, ich weiß einfach nicht wie du auf sowas kommst...

Nimm Malwarebytes einfach als Free-Version! Als zusätzlichen Scanner zB um 1x im Monat damit manuell zu scannen, als normalen Virenschutz nimmst du sowas wie Avast oder MSE

Das ist doch nun völliger Quatsch, PDFs sind Dokumente, fast jede Anleitung bringt ein Hersteller im PDF-Format raus!

Nein! Sonst stünde es doch in meinem letzten Post!

WindowsXP ist ein 32-Bit-OS also musst du die x86 Variante nehmen

Dies war meine Frage.

Dies habe ich als Antwort aufgefasst. Darum habe ich auch gefragt, ob ich richtig verstanden habe. Anscheinend habe ich das nicht. Dann lade ich mir AVAST oder MSE runter.

Ich kann PDF-Files jeweils nicht öffnen, da ich diesen PC nur zum Surfen verwende. Alle PDF-Files öffne ich und brauche ich nur am Arbeitsplatz.

Dies war Deine Anweisung zu OTL im letzten Post. Ich weiss nicht welcher Button "Bereinigung" sein soll, da ich nur "Run Fix" oder "Clean Up" im OTL als englische Auswahl habe.

OK: 32 = 86, für jeden wohl logisch. Brauche ich die Online- oder Offlinevariante? Sorry, bin Laie

x86 weil die ersten 32-Bit-CPUs sogenannte x86-Prozessoren sind bzw. x86 kompatibel!
Die erste 32-Bit-x86-CPU war der intel 80386 (auch bekannt als i386)

Welche Installvariante du nimmst ist völlig egal, ich nehm immer die offline Variante

OK. Danke
Ich wollte AVAST runterladen. Bei der Installation verlangt es ein Neustart. Es erfolgte jedoch keine Installation nach dem Neustart.

Klicke ich auf das AVAST Icon auf dem Desktop kommt die Meldung:
Failed to load Language dll (1033/UIlangres.dll)

Möchte ich AVAST entfernen in der Systemsteuerung/Software ist das Programm vorhanden. Klicke ich auf Ändern/Entfernen passiert jedoch nichts.

Während der Installation erschien ein Bruchteil einer Sekunde ein blaues Dosbild wo ich nur so ungefähr ....hat ein Problem festgestellt.... lesen konnte. Danach wurde mein PC runtergefahren.

Möchte ich AVAST erneut downloaden kommt die Meldung, dass schon ein Setup läuft und ein Neustart verlangt und eine weitere Installation Probleme auslösen könnte.

Wie weiter?

Hallo Cosinus
Ich habe an das Avast Support Center geschrieben, erhalte jedoch keine Antwort.
Momentan ist mein PC ohne Schutz.

Ich wollte mir nun Avira runterladen. Dieses erkennt Avast als inkompatible Software, also konnte ich dies auch nicht ausführen.

Kennst Du echt keine Lösung? Du hast mir immerhin Avast empfohlen :-)
OTL?