Trojaner-Board - Bebloh (DHL-Mail)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bebloh (DHL-Mail) (https://www.trojaner-board.de/129782-bebloh-dhl-mail.html)

Bebloh (DHL-Mail)

Guten Tag,

meine Eltern haben bedauernderweise einen Anhang einer Mail geöffnet. (gefakte DHL Mail)
Sobald ich davon erfahren hab, hab ich den Rechner vom Netz getrennt.
Das ist nun schon 1-2 Monate her. Seitdem wurde der Rechner nur offline genutzt. Nun soll er wieder fit gemacht werden für den Online Betrieb, allerdings nur fürs surfen. (kein Onlinebanking, etc.)
Das ist der Grund, warum ich mich an euch wende, denn ich suche eine Bereinigung.

Nun, vor ein paar Tagen hat G-Data einen Teil des Schädlings 'entfernt' (dampvideo.exe), danach meldete sich der PC nach der Anmeldung sofort wieder ab. Das Problem konnte ich durch Verändern der Registry beheben. (per Boot-CD)
Der Eintrag hieß userinit.exe und irgendwas mit DEBUGGER, und eben der dampvideo.exe.
Den Eintrag habe ich einfach gelöscht, danach funktionierte wieder alles problemlos. Mir ist klar, dass der PC noch lange nicht bereinigt ist, sondern nur die Sympthome bereingt sind.

Da es sich bei dem DEBUGGER Eintrag eindeutig (?) um Bebloh handelt, wollte ich euch Fragen welche Logs ihr denn braucht. (OTL, Mbam, ...?)

Mit freundlichen Grüßen,
Oliver

Hi,
bitte poste die GDATA Fundmeldungen.
Warnt bitte Freunde, Bekannte, etc, das im Moment vermehrt E-Mails mit Rechnungen, und sonstigen fake Anhängen unterwegs sind, gib ihnen die Mailadresse aus meiner Signatur, mit bitte, uns verdächtige Mails weiterzuleiten.

Alle Protokolle sind im Anhang. Die .rar Datei (im Log) habe ich damals gepackt, weiß aber nicht mehr genau was das war, könnte die Ursprungsdatei gewesen sein. Kann die auch hochladen, wenn ihr wollte.
Die Email selber wurde damals gelöscht.

hi
wenn weitere Spams reinkommen, gerne weiterleiten.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Ich habe jetzt mal einen normalen Scan mit 90 Tagen gemacht, weil die Infektion ja schon länger zurück liegt. Hoffe das passt so.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 33920 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\mscywm.exe

 :Files

:Commands

[EMPTYFLASH] 

[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Log ist angehängt.
Upload hat problemlos funktioniert.

Danke für die Hilfe!
Oliver

hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Datev, WIBUKEY und AVM kenne ich. Den Rest nicht. Wollte es nur nochmal erwähnen, falls du die jeweiligen Programme nicht kennst. Log im Anhang.

Danke für die bisherige Hilfe!
Oliver

Hi
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Code:

ComboFix 13-01-21.01 - User 21.01.2013  14:08:28.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1525 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe

AV: G Data TotalCare 2012 *Disabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}

FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\User\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-21 bis 2013-01-21  ))))))))))))))))))))))))))))))

.

.

2013-01-20 20:29 . 2013-01-20 21:02        --------        d-----w-        C:\_OTL

2013-01-20 11:17 . 2013-01-20 11:17        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe Limited

2013-01-20 11:17 . 2013-01-20 11:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited

2013-01-20 09:28 . 2012-06-03 08:45        5504        ----a-w-        c:\windows\system32\drivers\StarOpen.sys

2013-01-20 09:28 . 2013-01-20 09:28        --------        d-----w-        c:\programme\CDBurnerXP

2013-01-06 14:24 . 2013-01-06 14:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

2012-12-30 16:50 . 2012-12-30 16:50        --------        d-----w-        C:\temp

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-16 12:23 . 2009-02-17 11:14        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-11-13 11:55 . 2009-02-17 11:15        1866496        ----a-w-        c:\windows\system32\win32k.sys

2012-11-02 02:02 . 2009-02-17 11:14        375296        ----a-w-        c:\windows\system32\dpnet.dll

2012-11-01 12:17 . 2009-02-17 11:15        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-01 12:17 . 2009-02-17 11:14        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2012-11-01 12:17 . 2009-02-17 11:14        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-11-01 00:35 . 2009-02-17 11:14        385024        ----a-w-        c:\windows\system32\html.iec

2002-07-04 09:44 . 2009-04-22 06:07        3208380        ------w-        c:\programme\Ulead VideoStudio 5.0.msi

2012-09-06 01:26 . 2012-09-18 18:14        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}]

2011-06-01 07:05        611936        ------w-        c:\datev\PROGRAMM\B0000397\DtvIePwdSafe.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OODIIcon]

@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"

[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]

2009-01-19 22:08        111872        ----a-w-        c:\programme\OO Software\DiskImage\oodishi.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

"nwiz"="nwiz.exe" [2009-02-18 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]

"G Data AntiVirus Tray Application"="c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe" [2011-05-11 923144]

"GDFirewallTray"="c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe" [2011-10-28 1617416]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 6 (0x6)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DVCCSA]

2011-06-28 07:22        102912        ------w-        c:\windows\system32\DVCCSAnotify002.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0OODBS

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SkyUserDevmode-Update.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk

backup=c:\windows\pss\SkyUserDevmode-Update.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-07-27 20:51        919008        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATEV_SCardMan]

2010-09-22 14:47        368736        ------w-        c:\datev\PROGRAMM\B0000347\ScMgmt\SCardManager.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVCCSAWTSSetEntryNTE]

2011-06-28 07:22        549472        ----a-w-        c:\datev\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

2007-09-19 20:48        455968        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]

2008-12-02 13:29        2221352        ----a-w-        c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2008-11-06 06:25        570664        ----a-w-        c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]

2008-09-04 04:01        2524416        ----a-w-        c:\windows\system32\oodtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]

2007-12-14 10:36        50472        ------w-        c:\programme\CyberLink\PowerDVD8\Language\Language.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]

2008-03-20 19:23        83240        ------w-        c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiPaHost]

2011-05-09 12:52        595552        ------w-        c:\datev\PROGRAMM\B0000398\SiPaHost.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]

2004-11-26 09:43        90112        ------w-        c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WkSvW32.exe"=2 (0x2)

"SQLWriter"=2 (0x2)

"SQLBrowser"=2 (0x2)

"O&O DiskImage"=2 (0x2)

"O&O Defrag"=2 (0x2)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=

"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe

"c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=

"c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"=

"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=

"c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"=

"c:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=

"c:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=

"c:\\DATEV\\PROGRAMM\\B0000398\\SiPaHost.exe"=

"c:\\DATEV\\PROGRAMM\\B0000391\\Datev.Security.Dokumentenschutz.exe"=

.

R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [26.08.2009 06:29 40440]

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [31.03.2009 13:47 30200]

R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [19.01.2009 23:11 95752]

R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [19.01.2009 23:11 28680]

R0 oodivd;O&O DiskImage VirtualDisk Driver;c:\windows\system32\drivers\oodivd.sys [19.01.2009 23:11 133640]

R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [19.01.2009 23:11 31240]

R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [31.03.2009 13:48 79992]

R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [31.03.2009 14:58 69112]

R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [12.11.2010 18:31 40568]

R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1506824]

R2 AVKService;G Data Scheduler;c:\programme\G DATA\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 381448]

R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1554184]

R2 DATEV Logon Service;DATEV Logon Service;c:\datev\PROGRAMM\B0001364\DtvScSer.exe [03.09.2010 13:50 406112]

R2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 [?]

R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [09.12.2011 01:20 79872]

R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [31.03.2009 13:47 52216]

R2 KOBIL_MSDI;KOBIL_MSDI;c:\datev\PROGRAMM\B0000404\msdisrv.exe [25.08.2010 07:54 194144]

R2 msftesql$DATEV_CL_DE01;SQL Server-Volltextsuche (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe [26.03.2010 02:07 91992]

R2 MSSQL$DATEV_CL_DE01;SQL Server (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe [10.12.2010 17:29 29293408]

R2 O&O DiskImage;O&O DiskImage;c:\programme\OO Software\DiskImage\oodiag.exe [19.01.2009 23:07 2094336]

R2 SC_Serv3D;SC_Serv3D;c:\windows\system32\drivers\d3_kafm.sys [19.07.2011 13:28 75320]

R2 SCardService;DATEV SmartCard Service;c:\datev\PROGRAMM\B0000347\ScMgmt\SCardService.exe [22.09.2010 16:47 292960]

R2 Sicherheitspaket-Dienst;Sicherheitspaket-Dienst;c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 --> c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 [?]

R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [11.11.2011 09:50 554160]

R3 GDFwSvc;G Data Personal Firewall;c:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1613424]

R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [27.08.2010 00:39 457536]

S2 DVckService;DVckService;c:\datev\PROGRAMM\B0000150\ScServer\DVckService.exe [28.06.2011 08:18 2409056]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.02.2009 14:08 1684736]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.09.2012 12:50 4352]

S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [25.07.2011 01:49 172640]

S3 Datev.Database.Conserve;DATEV Connection Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [?]

S3 Datev.Framework.RemoteServices.Messaging.CentralMessagingService;DATEV Messaging-Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 [?]

S3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 [?]

S3 fwlanusb4;FRITZ!WLAN N/G;c:\windows\system32\drivers\fwlanusb4.sys [21.09.2012 12:49 926080]

S3 GDBackupSvc;G Data Backup Service;c:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 1498616]

S3 GDTunerSvc;G Data Tuner Service;c:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 960504]

S3 ZYA22_XP;ZyXEL 802.11a+b+g AG760 1211 Driver;c:\windows\system32\drivers\WlanAGXP.sys [02.04.2009 10:20 456704]

S4 WkSvW32.exe;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [01.04.2009 08:20 577536]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 78015133

*Deregistered* - 78015133

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-09-19 20:46        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-20 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 18:44]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\

FF - prefs.js: browser.startup.homepage - google.de

FF - ExtSQL: !HIDDEN! 2009-09-02 20:53; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{557F4852-8868-44dd-B5E9-9890AC4B1FD5} - (no file)

MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

MSConfigStartUp-StartSpeedy - c:\datev\PROGRAMM\B0001356\mIDentity.exe

AddRemove-EPSON Photo Print - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-21 14:18

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql$DATEV_CL_DE01]

"ImagePath"="\"c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:DATEV_CL_DE01"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG11.00.00.01WORKSTATION"="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"

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

.

Zeit der Fertigstellung: 2013-01-21  14:21:12

ComboFix-quarantined-files.txt  2013-01-21 13:21

.

Vor Suchlauf: 18 Verzeichnis(se), 237.590.165.504 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 237.956.813.312 Bytes frei

.

- - End Of File - - 7C29693680DF32715DE8EBB3A01CCB1C

Hier das Log von ComboFix.

Hi
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Kann ich denn Malwarebytes auch offline updaten? Da der PC ja nicht ans Internet angeschlossen ist.

Ok, sorry für Doppelpost, habs hingekriegt. Malwarebytes keine Funde, habe vollständig gescannt. Wie gehts weiter?

kannst den pc auch ans netz bringen.

Zitat:

Zitat von markusg (Beitrag 995719)

kannst den pc auch ans netz bringen.

Ok. :)
Wie gesagt, Malwarebytes ohne Funde. Gibts noch was zu tun?

poste bitte den Bericht.

Code:

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.01.21.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

User :: **** [Administrator]
 

21.01.2013 16:36:46

mbam-log-2013-01-21 (16-36-46).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 443525

Laufzeit: 1 Stunde(n), 14 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

hi
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Code:

ABBYY FineReader 5.0 Sprint Plus        ABBYY Software House        21.04.2009        35,07MB        5.0.0.3501 unbekannt

ACDSee Pro 2.5        ACD Systems International        02.04.2009        89,79MB        2.5.363 benötigt

Adobe Flash Player 11 ActiveX        Adobe Systems Incorporated        28.01.2013                11.5.502.146 benötigt

Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        28.01.2013                11.4.402.287 benötigt

Adobe PageMaker 6.5                30.03.2009 benötigt                

Adobe Reader X (10.1.4) - Deutsch        Adobe Systems Incorporated        20.08.2012        227,00MB        10.1.4 benötigt

AVM FRITZ!WLAN        AVM Berlin        21.09.2012        benötigt        

CCleaner        Piriform        23.01.2013                3.27 unnötig

CDBurnerXP        CDBurnerXP        20.01.2013                4.5.0.3717 benötigt

Color LaserJet 2600n                02.04.2009 unnötig                

Compatibility Pack for the 2007 Office system        Microsoft Corporation        28.01.2013        358,00MB        12.0.6612.1000 benötigt

CyberLink PowerDVD 8        CyberLink Corp.        05.03.2009                8.0.1730 unnötig

DATEV Installation V.2.9                07.04.2012                benötigt

doPDF 7.3 printer        Softland        30.11.2012                benötigt

ElsterFormular        Landesfinanzdirektion Thüringen        30.01.2013                12.3.2.6814k benötigt

ElsterFormular        Landesfinanzdirektion Thüringen        06.02.2012                13.0.0.8086u benötigt

EPSON Copy Utility                22.04.2009        unnötig        

EPSON Copy Utility 3                10.06.2009                3.1.0.0 unnötig

EPSON Scan                21.04.2009                unnötig

EPSON Smart Panel                29.07.2009        unnötig        

EPSON TWAIN 5                22.04.2009                unnötig

EPSON-Drucker-Software                18.09.2012                unnötig

FotoSlate 4        ACD Systems Ltd        21.04.2009        40,56MB        4.0.66 benötigt

G Data TotalCare 2011        G Data Software AG        12.11.2010        206,00MB        21.0.0.0 benötigt

Hotfix für Windows XP (KB969084)        Microsoft Corporation        10.03.2011                3 benötigt

iDRS(tm) OCR Software by I.R.I.S        Samsung Electronics Co., Ltd.        28.01.2013                1.00.17 (17.04.2012) benötigt

Inkscape 0.48.3.1                27.09.2012                0.48.3.1 benötigt

Ipswitch WS_FTP LE                24.11.2010                6.00 benötigt

LightScribe System Software  1.10.16.1        hxxp://www.lightscribe.com        05.03.2009        18,71MB        1.10.16.1 unbekannt

Malwarebytes Anti-Malware Version 1.70.0.1100        Malwarebytes Corporation        21.01.2013                1.70.0.1100 benötigt

Microsoft .NET Framework 1.1                30.12.2012                

Microsoft .NET Framework 1.1 German Language Pack        Microsoft        03.04.2009        2,98MB        1.1.4322

Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        28.01.2013        2.548,00MB        2.2.30729

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        23.04.2009        6,18MB        2.2.30729

Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        28.01.2013        412,00MB        3.2.30729

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        23.04.2009        17,58MB        3.2.30729

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU        Microsoft Corporation        23.04.2009                

Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        28.01.2013                

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        28.01.2013                4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        08.04.2012                4.0.30319

Microsoft .NET Framework 4 Extended        Microsoft Corporation        28.01.2013                4.0.30319

Microsoft .NET Framework 4 Extended DEU Language Pack        Microsoft Corporation        07.04.2012                4.0.30319

Microsoft Office 2000 SR-1 Disc 2        Microsoft Corporation        02.04.2009        164,00MB        9.00.9327

Microsoft Office 2000 SR-1 Premium        Microsoft Corporation        02.04.2009        237,00MB        9.00.9327

Microsoft PhotoDraw 2000 V2        Microsoft Corporation        02.04.2009        675,00MB        2.00.00.1429

Microsoft SQL Server 2005        Microsoft Corporation        02.02.2011                

Microsoft SQL Server Native Client        Microsoft Corporation        02.02.2011        4,22MB        9.00.5000.00

Microsoft SQL Server VSS Writer        Microsoft Corporation        02.02.2011        0,67MB        9.00.5000.00

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        30.07.2009        0,10MB        8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        16.06.2011        5,24MB        8.0.61001

Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570        Microsoft Corporation        13.04.2011        10,13MB        9.0.30729.5570

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729        Microsoft Corporation        06.02.2010        9,57MB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        06.02.2010        10,12MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        16.06.2011        10,14MB        9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        08.04.2012        14,99MB        10.0.40219

Mozilla Firefox 15.0.1 (x86 de)        Mozilla        10.10.2012                15.0.1 benötigt

Mozilla Maintenance Service        Mozilla        18.09.2012                15.0.1

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        05.03.2009        2,68MB        4.20.9870.0

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        26.11.2009        2,78MB        4.20.9876.0

MSXML 4.0 SP3 Parser        Microsoft Corporation        06.02.2010        2,85MB        4.30.2100.0

MSXML 4.0 SP3 Parser (KB2721691)        Microsoft Corporation        11.07.2012        2,98MB        4.30.2114.0

MSXML 4.0 SP3 Parser (KB2758694)        Microsoft Corporation        28.01.2013        3,00MB        4.30.2117.0

MSXML 4.0 SP3 Parser (KB973685)        Microsoft Corporation        08.02.2010        2,98MB        4.30.2107.0

MSXML 6.0 Parser        Microsoft Corporation        03.04.2009        1,35MB        6.10.1129.0

Nero 8 Essentials        Nero AG        23.04.2009        577,00MB        8.3.500 benötigt

NVIDIA Drivers        NVIDIA Corporation        30.01.2013                1.3 benötigt

NVIDIA PhysX        NVIDIA Corporation        05.03.2009        121,00MB        9.09.0203 benötigt

O&O Defrag Professional Edition        O&O Software GmbH        21.04.2009        28,24MB        11.0.3265 unnötig

O&O DiskImage Professional        O&O Software GmbH        22.04.2009        22,24MB        3.2.176 unnötig

QuickTime                22.04.2009                unnötig

QuickTime for Windows (32-bit)                20.01.2013 unnötig                

REALTEK GbE & FE Ethernet PCI-E NIC Driver        Realtek        17.02.2009                1.23.0000 benötigt

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        17.02.2009                5.10.0.5783 benötigt

Samsung CLX-3300 Series        Samsung Electronics Co., Ltd.        28.01.2013                1.04 (07.07.2012) benötigt

Samsung Easy Document Creator        Samsung Electronics Co., Ltd.        28.01.2013                1.03.13 (29.06.2012) benötigt

Samsung Easy Printer Manager        Samsung Electronics Co., Ltd.        28.01.2013                1.02.57.00(05.07.2012) benötigt

Samsung Network PC Fax        Samsung Electronics Co., Ltd.        28.01.2013                1.06.24 (25.04.2012)benötigt

Samsung Printer Live Update        Samsung Electronics Co., Ltd.        28.01.2013                1.01.00.04 benötigt

ScanToWeb                22.04.2009 unbekannt                

SNS Upload for Easy Document Creator        Samsung Electronics Co.,Ltd        28.01.2013        2,01MB        1.0.0 benötigt

SQLXML4        Microsoft Corporation        07.04.2012        2,58MB        9.00.5000.00 benötigt

StarMoney 6.0        StarFinanz GmbH        02.04.2009                6.0 unnötig

StarMoney 7.0        Star Finanz GmbH        04.03.2010                7.0 unnötig

sv.net        ITSG GmbH        20.03.2012                12.0 unnötig

Ulead DVD PictureShow 2        Ulead Systems, Inc.        22.04.2009                2.00.0000 unnötig

Ulead PhotoImpact 12        Ulead System        22.04.2009                12.0 unnötig

Ulead VideoStudio 5.0        Ulead Systems, Inc.        22.04.2009        144,00MB        5.00.1006 unnötig

Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)        Microsoft Corporation        07.04.2012        38,48MB        9.00.5000.00 benötigt

WIBU-KEY Setup (WIBU-KEY Remove)        WIBU-SYSTEMS AG        01.01.1970                Version 5.20b of 2007-Apr-18 (Setup) unbekannt

Windows Internet Explorer 8        Microsoft Corporation        08.11.2009                20090308.140743 benötigt

Windows Live Anmelde-Assistent        Microsoft Corporation        04.07.2009        1,93MB        5.000.818.5 benötigt

Windows Live Essentials        Microsoft Corporation        30.07.2010                14.0.8117.0416 benötigt

Windows Live-Uploadtool        Microsoft Corporation        04.07.2009        0,22MB        14.0.8014.1029 benötigt

WinRAR 4.20 (32-Bit)        win.rar GmbH        10.10.2012                4.20.0 benötigt

WinZip        WinZip Computing LP        21.04.2009                 10.0  (7245g)

Hab die Windows Sachen (Redistributable, etc.) mal ausgelassen, ist ja klar dass die benötigt werden.
Nur ne kurze Frage: Wenn ein befallener Rechner per W-LAN mit dem Router verbunden ist, können dann andere Rechner die ebenfalls per W-LAn mit dem Router verbunden sind, infiziert werden? Angenommen, bei den anderen Rechnern ist das Heimnetzwerk deaktiviert!
Danke!

deinstaliere:
ABBYY
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Color
CyberLink

G Data : ist doch schon total veraltet, wir haben das Jahr 2013, bitte hol dir die aktuelle Version, upgrade müsste kostenlos sein.

deinstaliere:
LightScribe
OO : beide

QuickTime : beide
StarMoney : beide
sv
Ulead : alle

die andern pcs sollten io sein

Öffne CCleaner, analysieren, starten, pc neustarten
Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste
mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Code:

# AdwCleaner v2.109 - Datei am 31/01/2013 um 14:38:26 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : User - PC-INES01

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\adwcleaner_2.1.0.9.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKLM\Software\Description
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.1 (de)
 

Datei : C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [836 octets] - [31/01/2013 14:38:26]
 

########## EOF - C:\AdwCleaner[R1].txt - [895 octets] ##########

gdata mit upgrade versorgt?

Zitat:

Zitat von markusg (Beitrag 1002660)

gdata mit upgrade versorgt?

G-Data ist Version 2012 (steht fälschlicherweiße falsch drin in dem Log) und läuft im nächsten Monat aus, heißt dass ich dann da andere AV Software installieren werde.

hi
2012 währe auch nicht aktuell.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe
alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein
Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den
Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x = fortlaufende Nummer)

neustarten bitte, testen, wie PC + Programme wie browser laufen.

Code:

# AdwCleaner v2.109 - Datei am 31/01/2013 um 18:34:46 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : User - PC-INES01

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\adwcleaner_2.1.0.9.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKLM\Software\Description
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.1 (de)
 

Datei : C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [963 octets] - [31/01/2013 14:38:26]

AdwCleaner[S1].txt - [897 octets] - [31/01/2013 18:34:46]
 

########## EOF - C:\AdwCleaner[S1].txt - [956 octets] ##########

PC läuft soweit normal.

hi
was heißt soweit, entweder er läuft norlam, oder es gibt Probleme :-)
Wenn alles passt, öffne otl, bereinigen, PC startet neu, Remover werden gelöscht.
Lösche übrig gebliebene Remover, Logs, Setups, leere den Papierkorb.
PC absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 7 [1-PC] - 25% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

PC läuft normal, also bis jetzt. Soll ich dir vielleicht abschließend noch ein OTL Log zukommen lassen, oder passt jetzt alles, wenn ich deine Anleitung ausgeführt habe?

passt dann alles, nur noch PC absichern.