Trojaner-Board - GVU-Trojaner mit Webcam, Symmi

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner mit Webcam, Symmi (https://www.trojaner-board.de/126996-gvu-trojaner-webcam-symmi.html)

GVU-Trojaner mit Webcam, Symmi

Hallo Trojaner-Board-Team,

erst einmal: super, dass es so eine Hilfeseite wie Eure gibt und dass ihr anderen in Eurer Freizeit helft. Das sei an dieser Stelle auch einmal gesagt.

Nun zu meinem Problem. Vorgestern ließ ich den PC über Nacht an um eine Berechnung laufen zu lassen, dabei hat sich scheinbar ein Windows Update installiert. Nach diesem Windows Update kam es zum ständigen Abstürzen des Firefox, das auch mit Neuinstallation etc. behoben werden konnte. Den Tag über konnte ich auch ohne Firefox arbeiten und habe SpyBotSearchAndDestroy laufen lassen sowie AntiVir auf den neuesten Stand gebracht und einen fehlerlosen Scann des Systems durchgeführt. Natürlich habe ich dann abends kurzzeitig den IE genutzt. Ich weiß nicht ob es daran lag, abends kam jedoch der berühmte Bildschirm der GVU, ich möge doch bitte 100 € zahlen. Nach einer Systemwiderherstellung vor den Updates konnte ich dann wieder alles starten. Der Firefox ist weiterhin instabil wie die Sau, was man/ich von ihm nicht gewohnt ist und jetzt hat auch AntiVir angeschlagen und meinte "Symmi" wäre am werkeln.

Mit Eurer Anleitung habe ich die nachfolgenden Logs erstellt. Wäre super, wenn ihr mir helfen könntet, da auf diesem PC wichtige Arbeiten erledigt werden müssten.

Merci!

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL

O4 - HKLM..\Run: [] File not found 

O4 - HKCU..\Run: [] File not found 

O4 - HKCU..\Run: [AdobeBridge] File not found 

O4 - HKCU..\Run: [IExplorer Util] C:\Users\Strauss\AppData\Roaming\ie_util.exe File not found 

O4 - HKCU..\Run: [Tirui] C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe () 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

[2012.08.28 22:16:36 | 083,023,306 | ---- | C] () -- C:\ProgramData\nud0repor.pad 

[2012.07.25 00:22:10 | 000,053,760 | ---- | C] () -- C:\Users\Strauss\AppData\Roaming\msconfig.dat 

 

:Files

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\Strauss\*.tmp

C:\Users\Strauss\AppData\Local\{*}

C:\Users\Strauss\AppData\Local\Temp\*.exe

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

4. Schritt

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Danke für die schnelle Antwort! Hier die Log-Files nach OTL. Malwarebyte arbeitet gerade noch:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Tirui deleted successfully.

C:\Users\Strauss\AppData\Roaming\Igod\qeufu.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.

C:\ProgramData\nud0repor.pad moved successfully.

C:\Users\Strauss\AppData\Roaming\msconfig.dat moved successfully.

========== FILES ==========

C:\ProgramData\lsass.exe moved successfully.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.

File\Folder C:\Users\Strauss\*.tmp not found.

File\Folder C:\Users\Strauss\AppData\Local\{*} not found.

File\Folder C:\Users\Strauss\AppData\Local\Temp\*.exe not found.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.

Invalid Switch: c :Commands [emptytemp]

 

OTL by OldTimer - Version 3.2.69.0 log created on 11142012_160735
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Hier das Logfile von adwcleaner.exe:

Code:

# AdwCleaner v2.007 - Datei am 14/11/2012 um 17:58:05 erstellt

# Aktualisiert am 06/11/2012 von Xplode

# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)

# Benutzer : Strauss - STRAUSS-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\Conduit

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL

Schlüssel Gefunden : HKLM\Software\Conduit

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v16.0.2 (de)
 

Profilname : default 

Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1894 octets] - [14/11/2012 17:58:05]
 

########## EOF - C:\AdwCleaner[R1].txt - [1954 octets] ##########

Und hier der Log, nachdem adwcleaner gelöscht hat:

Code:

# AdwCleaner v2.007 - Datei am 14/11/2012 um 18:04:36 erstellt

# Aktualisiert am 06/11/2012 von Xplode

# Betriebssystem : Windows 7 Professional Service Pack 1 (64 bits)

# Benutzer : Strauss - STRAUSS-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Strauss\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL

Schlüssel Gelöscht : HKLM\Software\Conduit

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v16.0.2 (de)
 

Profilname : default 

Datei : C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\prefs.js
 

C:\Users\Strauss\AppData\Roaming\Mozilla\Firefox\Profiles\nlr4y5tm.default\user.js ... Gelöscht !
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [2019 octets] - [14/11/2012 17:58:05]

AdwCleaner[S1].txt - [2057 octets] - [14/11/2012 18:04:36]
 

########## EOF - C:\AdwCleaner[S1].txt - [2117 octets] ##########

Bitte das Malwarebytes Logfile posten!
(Reiter Logberichte)

Hier der Log von heute Nachmittag, der gefehlt hat:

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.14.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Strauss :: STRAUSS-PC [Administrator]
 

Schutz: Aktiviert
 

14.11.2012 16:14:22

mbam-log-2012-11-14 (16-14-22).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 773870

Laufzeit: 1 Stunde(n), 37 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\msconfig.dat (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\Roaming\Igod\qeufu.exe (Trojan.Agent.EDDGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Strauss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Hier der Code des Scans von gerade eben:

Code:

Malwarebytes Anti-Malware (Test) 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.11.14.06
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Strauss :: STRAUSS-PC [Administrator]
 

Schutz: Deaktiviert
 

14.11.2012 21:07:19

mbam-log-2012-11-14 (21-07-19).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 775238

Laufzeit: 2 Stunde(n), 51 Minute(n), 35 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Soweit ich's beurteilen kann läuft wieder alles stabil, inkl. der eingangs angesprochene Firefox... nur der Lüfter fährt recht dauerhaft auf Volllast. Hol jetzt mal Emsisoft Anti-Malware und führe den Deinen nächsten Schritt durch.

Deinstalliere Spybot.
Deaktiviere alle Plugins in Firefox und sage bescheid, ob er weiter abstuertzt.

Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss. Hab vorher geschrieben, dass alles stabil läuft.

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 15.11.2012 01:11:49
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        15.11.2012 01:18:00
 

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8)         gefunden: Gen:Variant.Symmi.4661 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class         gefunden: Exploit.Java.CVE-2012-0507.BB (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8)         gefunden: Gen:Variant.Symmi.4661 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8)         gefunden: Trojan.Generic.7701155 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\Users\Strauss\AppData\Local\Mozilla\Firefox\Profiles\nlr4y5tm.default\Cache\4\CF\1585Ed01 -> (INFECTED_JS)         gefunden: JS:Trojan.Iframe.S (B)
 

Gescannt        868749

Gefunden        26
 

Scan Ende:        15.11.2012 04:01:42

Scan Zeit:        2:43:42

Kann es sein, dass der letzte Eintrag von Emsisoft etwas mit dem Dauerlaufen meines Lüfters zu tun hat?

Zitat:

Ne, da stürzt nichts ab, auch ohne dass ich Spybot deinstalliere oder die Plugins deaktivieren muss.

Hab mich verlesen.

Spybot ist trotzdem kontraproduktiv.

Sehr gut! :daumenhoc

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ein erneuter Scan heute morgen hat das Teil bzgl. Firefox nicht mehr gezeigt:

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 15.11.2012 01:11:49
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        15.11.2012 07:44:25
 

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\0cc24330.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\1cd63fa7.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\3f615d1b.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\407a6f7a.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\44e21782.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4e986546.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ecff50d.qua -> (Quarantine-8)         gefunden: Gen:Variant.Symmi.4661 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222a.class         gefunden: Exploit.Java.CVE-2012-0507.BB (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222f.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222b.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222e.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222c.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553af047.qua -> (Quarantine-8) -> v222222a/v222222d.class         gefunden: Exploit.Java.CVE-2012-1723.N (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4a.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4f.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4b.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4c.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4d.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55cbcd7c.qua -> (Quarantine-8) -> b4a/b4e.class         gefunden: Exploit.Java.CVE-2012-1723.M (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\561e4ae8.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5658d356.qua -> (Quarantine-8)         gefunden: Gen:Variant.Symmi.4661 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\578a5e4e.qua -> (Quarantine-8)         gefunden: Trojan.Generic.7701155 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5d8a2c18.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\70da0360.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\7ae57025.qua -> (Quarantine-8)         gefunden: Trojan.Script.477458 (B)
 

Gescannt        784680

Gefunden        25
 

Scan Ende:        15.11.2012 10:33:31

Scan Zeit:        2:49:06

Werde dann anschließend mit dem nächsten Schritt weitermachen. Der Lüfter läuft dauerhaft auf Anschlag...

Spybot habe ich deinstalliert. Hier der Log von Eset

Code:

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=36882

esets_scanner_update returned -1 esets_gle=12

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=af664bed2236a54c8d241b7b53a7075e

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-11-15 08:56:47

# local_time=2012-11-15 09:56:47 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 0 0 0 0

# compatibility_mode=5893 16776573 100 94 68750 104633498 0 0

# compatibility_mode=8192 67108863 100 0 31428 31428 0 0

# scanned=574286

# found=4

# cleaned=4

# scan_time=9360

C:\Users\Strauss\Desktop\Alte Firefox-Daten\user.js        JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Users\Strauss\Downloads\OptimizerPro.exe        a variant of Win32/SpeedingUpMyPC application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\_OTL\MovedFiles\11142012_160735\C_Users\Strauss\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\3dc84d3c-330a7ee9        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C

E:\Alte Firefox-Daten\user.js        JS/SecurityDisabler.A.Gen application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Zitat:

C:\Users\Strauss\Downloads\OptimizerPro.exe

Finger weg von solchem Dreck.

Bitte mal ausfuehren:
http://www.trojaner-board.de/72874-s...eparieren.html

Danach:
- neustarten

Laeuft der Luefter immer noch?

Diese .exe kenn ich nicht. Ich nehme an, das Tool hat sie entfernt weil sie in dem Ordner nicht mehr zu finden ist?

Starte mal die Systemsuche und melde mich dann wieder.

Lüfter läuft noch wie ein Großer.

Sag bescheid, was der Scan ergeben hat.

Welcher Prozess verursacht soviel Last?

Einige Systemdateien sind fehlerhaft. Es kam aber keine Aufforderung die in der Anleitung angesprochene DVD einzulegen.

Ich hab eine Auslastung von 0 % und 3 on 8 Gib Arbeitsspeicher sind belegt. Es läuft nichts, was ansatzweise so viel Leistung ziehen könnte, dass der Lüfter Vollgas gibt. Der schaltet sich normalerweise nur so krass zu, wenn ich irgendwelche Berechnungen laufen lasse.