Infektion mit PUP.LoadTubes festgestellt
 

Guten Tag zusammen,

bei einem Scan mit Malwarebytes habe ich PUP.LoadTubes gefunden. Nach Verschieben in Quarantäne und einem erneuten Scan wurde kein Fund mehr gemeldet.

Sind noch weitere Maßnahmen erforderlich?

Hier die Logs:

Malwarebytes:
OTL:
GMER:
Im Anhang sind die bisherigen MBAM-Logs.

Gruß

Hi,


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo schrauber,

hier sind die Logs:

Schön :)

Malwarebytes updaten, Quick scan, Funde löschen lassen, Log posten.




ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste ein frisches OTL logfile und sag mir ob es noch Probleme gibt.

So, hier erstmal MBAM:
Beim ESET haben wir jetzt ein Problem: Das Programm hat zwar keine Funde gemeldet. Aber entweder habe ich die Schaltfläche "List of found threats" nicht gefunden, oder das Programm hat sie nicht angezeigt. Jedenfalls habe ich keine Logdatei herausbekommen.

OTL:
Der Computer läuft soweit wie immer, also keine Probleme. Nur, dass die Videowiedergabe (Youtube u.Ä.) im Firefox schon längere Zeit sehr hakelig lief. Damals wurde aber keine Malware gefunden. Ich werde nochmal beobachten, ob sich da was geändert hat.

Kennst du diesen Proxy?

FF - prefs.js..network.proxy.http: "83.170.117.223"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co"

Ehrlich gesagt: Keine Ahnung. Ich muss zugeben, dass ich mich mit Netzwerkdingen eigentlich nicht auskenne. Ich bin froh, wenn es läuft. Stealthy sagt mir was, das habe ich hin und wieder im Firefox verwendet. 127.0.0.1 sagt mir auch was. Der Rest: ?????

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.

und ein frisches OTL log bitte.

Hier die beiden Logdateien:

Bevor wir aufräumen, noch Probleme mit dem Rechner?

Läuft soweit alles.

Edit: Das Problem mit der ruckeligen Audio-/Videowiedergabe im Firefox besteht nach wie vor. Aber wie gesagt, das war schon länger so und hat vielleicht andere Ursachen.

Firefox deinstallieren und neu installieren. Besser? :)

Werde ich heute oder morgen ausprobieren und berichten. In Ordnung?

kein Problem :)

Also, ich habe den Firefox komplett neu installiert und finde schon, dass er jetzt insgesamt besser (= schneller) läuft. Ich meine, das ursprüngliche Problem hat sich auch etwas gebessert, ist aber immer noch nicht ideal. (Bezieht sich jetzt hauptsächlich auf Youtube und myspass.de).

Der Computer ist zwar sowieso nicht der Schnellste, aber ich glaube, das lief früher mal besser.

Früer heisst unmittelbar vor der Infektion, oder schon länger her?

Schon länger her (weiß nicht mehr genau, wann das anfing).

Mit der Zeit müllt sich so ein Rechner halt zu.

Öffne mal OTL, in dem Kästchen Extra Registrierung den Haken bei Benutze Safe List setzen und scannen lassen, poste beide Logfiles.

Ich schau mal ob ich noch was tunen kann :)

Ja, das kann natürlich gut sein. Hier das OTL-Log:

Edit: Ich kriege bei OTL immer nur eine Logdatei raus.

Wenn Du die Haken so setzt wie ich es dir gesagt hab entstehen 2 :). Öffne OTL, klicke oben auf Nichts, alle Kästchen sind jetzt deaktiviert. Klicke nun bei "Extra-Registrierung" auf "Benutze Safe List" und Scanne.

Es sollte eine Extra.txt entstehen, poste diese.

Da muss ich nochmal nachfragen: "Scan" oder "Quick Scan"? Die Anleitung hier im Forum verlangte immer Letzteres.

Quick Scan, sorry :)

Also irgendwie klappt das so nicht.

Ich starte OTL (im Admin-Modus), klicke oben auf "Nichts" und unten auf "Benutze SafeList". Wenn ich dann auf "Quick Scan" klicke, springen die Checkboxen von selbst in ihre ursprünglichen Positionen zurück und der Scan läuft los. Am Ende kriege ich nur eine Logdatei (OTL.txt) raus.

Was mache ich falsch?

Stell es wieder so ein wie ich beschrieben hab und drück auf Scan, nicht auf Quick Scan, mein Fehler :)

Schon nach 1 Minute geantwortet. Toll! :) Hat auch alles so funktioniert.

Java deinstallieren, neue Version 7 Update 7 installieren. Alles was du nit brauchst deinstallieren.

Windows-Taste+R > sc stop wsearch > Enter
Windows-Taste+R > sc config wsearch start=disabled > Enter.


Reboot. Schneller?

Ja, etwas schneller vielleicht. Avira musste ich neu installieren. Das startete nach dem ersten Neustart nicht mehr und zeigte an, dass die Datei mfc100u.dll nicht gefunden wurde. (Da habe ich vielleicht zu viel deinstalliert.)

Die beiden Befehle mit Windows-Taste+R liefen ohne Fehlermeldung?

Ja, ohne Fehlermeldung. Völlig ohne Meldung, glaube ich.

Dann bitte ein frisches OTL logfile, wieder mit Benutze Safe list und Scan Button :)

Bitte sehr:

Deinstalliere mal bitte alles was unnötig is inkl Bonjour, Ashampoo, Bietomatic und co.

Bin gerade dabei. Das Problem ist, dass ich von vielen Programmen gar nicht weiß, wofür die zuständig sind (Treiber o.Ä.). Gerade hat z.Bsp. Avira wieder einen Fehler gemeldet - bin mal gespannt, was da beim Neustart wieder passiert. (Und wie oft ich das noch neu installieren muss.)

Was "Bonjour" ist, weiß ich auch nicht. Da finde ich in der Systemsteuerung nichts und auf deinen Link habe ich keinen Zugriff.

Edit: Ja, Avira ist schon wieder hin. Obwohl ich da gar nicht drangegangen bin.

Edit 2: Avira neu installiert. Die eigentlich deinstallierte Bietomatic meldet sich beim Systemstart aus der Gruft und jammert über diverse Dateien/Serverstrings/o.Ä., die sie nicht findet, und lässt sich nur mit dem Taskmanager abschießen. Habe mal deren Eintrag aus dem Autostart entfernt.

Deinstalliere avira komplett und wechsel zu Avast.


C:\Programme\Bonjour\mDNSResponder.exe
Bei Dir läuft Bonjour, das wird von Apple ungefragt z. B. bei iTunes oder Safari-Browser ungefragt mitinstalliert. Das Programm wird von vielen Usern gar nicht gebraucht. Ich habe bei Wikipedia ausführliche Informationen zu dem Programm Bonjour gefunden und beschreibe Dir im Anschluss, wie man das Programm wieder deinstallieren kann, da das über den normalen Weg Systemsteuerung - Software nicht möglich ist. Solltest Du es nicht brauchen, bitte deinstallieren.

1. Start => ausführen => dort reinschreiben: services.msc => OK => es öffnet sich das "Dienste"-Fenster
   "Bonjour Dienst" in der Liste auswählen und "Beenden" ausführen.
2. Kommandozeile öffnen: Start => ausführen => cmd reinschreiben
   und ins Verzeichnis "<Systemvolume>\Programme\Bonjour" wechseln,
   
   z. B. mit dem Kommando: cd "C:\Programme\Bonjour"
3. Folgendes Kommando eingeben: mDNSResponder -remove
4. Danach kannst Du den Ordner C:\Programme\Bonjour löschen.

Wenn das so nicht klappt, was zu erwarten ist, dann gehe auf diese Seite, lade Dir lspfix.zip runter und entpacke das Archiv auf Deinen Desktop. Wenn Du kein Zip-Programm hast, kannst Du auch LSPFix.exe und spfix.txt runterladen. Studiere die TXT-Datei, starte danach LSPFix.exe, die mdnsnsp.dll soll nicht behalten werden, die muss raus, schiebe sie nach rechts rüber, hake "I know what i'm doing" an und klicke auf "Finish". Rechner neu starten. Der Ordner C:\Programme\Bonjour\ sollte sich nun löschen lassen.

Im Dienste-Fenster steht bei mir kein Bonjour-Dienst. Unter B stehen bei mir nur
- Basisfiltermodul
- Benachrichtigungsdienst für Systemereignisse
- Benutzerprofildienst

LSPFix habe ich runtergeladen und geöffnet, aber da steht keine mdnsnsp.dll. Was jetzt?

Übrigens habe ich iTunes und allen anderen Apple-Kram erstmal deinstalliert.

Ah ok, dann ist Bonjour schon weg, aber es stand noch in den Eventlogs.

Dann starte mal neu und poste ein frisches OTL log. Schneller?

Nicht unbedingt schneller, würde ich sagen. Keine große Veränderung.

Ich sehe jetzt spontan keine extreme Bremse mehr. Nach einer gewissen Zeit hilft halt einfach nur noch Neuaufetzen.

Ja, das ist mir schon klar.

Wie sieht es denn jetzt mit meinen Viren aus? Muss da noch etwas getan werden?

Poste mal ein frisches OTl mit Quick Scan, dann räumen wir unsere Arbeit auf :)

Hier das OTL-Log:

Hi,

AdwCleaner öffnen > Uninstall

Windows-Taste+R > Combofix /Uninstall > Enter drücken

OTL öffnen > Button Bereinigung drücken.




Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.


__________________

Leider ließ sich der PC nach der Bereinigung mit OTL nicht mehr starten. Beim Neustart bekam ich die Meldung:

STOP: C000021a {Fatal System Error}
The initial session process or system process terminated unexpectedly with a status of
0x00000000 (0xc0000001 0x0010041c).
The system has been shut down.

Auch der abgesicherte Modus und die Systemreparatur halfen da nichts mehr. Ich habe nur gesehen, dass der Start beim Laden der Datei crcdisk.sys hängengeblieben ist. Also musste ich eine Systemwiederherstellung durchführen und erneut alles neu installieren.

Wenn man meine Malware das Prozedere nicht überlebt hat (auf das ich gerne verzichtet hätte), ist also tatsächlich alles erledigt.

Lade bitte OTL neu und poste ein Log, ich schau mal drüber.

Und kaum ist das System neu aufgesetzt, klappt es auch mit der Extras.txt:

Und die OTL.txt:

Logs sind sauber :)

Sehr gut. Dann bedanke ich mich für die Hilfe und den Aufwand, den du dir gemacht hast.

Kein Problem :)