Trojaner-Board - Computer wird bei Verbindung mit dem Internet gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Computer wird bei Verbindung mit dem Internet gesperrt (https://www.trojaner-board.de/130033-computer-verbindung-internet-gesperrt.html)

deinstaliere:
ActiveX beide
Adobe Premiere
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Bridge
Control : alle
Controle
Controlo
Emergency : beide
Formant
Java: alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Kontrola
Kontrolnik
Ovládací
TeamViewer : solche software würd ich nur bei bedarfinstalieren, wenn sie aber unbedingt drauf bleiben muss, hol dir version 8
Uzak
Windows Live : alle für dich unnötigen

öffne ccleaner, analysieren, starten, pc neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste
mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Code:

# AdwCleaner v2.109 - Datei am 29/01/2013 um 16:20:12 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Manuel - M-PC2

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Manuel\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}

Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Wert Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16457
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v19.0 (de)
 

Datei : C:\Users\Manuel\AppData\Roaming\Mozilla\Firefox\Profiles\6zvrdmdc.default\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v24.0.1312.56
 

Datei : C:\Users\Manuel\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1344 octets] - [29/01/2013 16:20:12]
 

########## EOF - C:\AdwCleaner[R1].txt - [1404 octets] ##########

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe
alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein
Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den
Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x = fortlaufende Nummer)

neustarten bitte, testen, wie PC + programme wie Browser laufen.

Code:

# AdwCleaner v2.109 - Datei am 29/01/2013 um 16:28:32 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Manuel - M-PC2

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Manuel\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16457
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v19.0 (de)
 

Datei : C:\Users\Manuel\AppData\Roaming\Mozilla\Firefox\Profiles\6zvrdmdc.default\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v24.0.1312.56
 

Datei : C:\Users\Manuel\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1471 octets] - [29/01/2013 16:20:12]

AdwCleaner[S1].txt - [1406 octets] - [29/01/2013 16:28:32]
 

########## EOF - C:\AdwCleaner[S1].txt - [1466 octets] ##########

letzten Test bitte ausführen

Programme laufen ok ähnlich, wie vor dem befall ;-)

hi
was heißt ok, gibts probleme oder nicht? wenn ja welche

Beim hochfahren wird eine Meldung angezeigt:

Code:

C:\Users\Manuel\AppData\Local\Temp\zlrkqt wurde nicht gefunden.

Das hochfahren dauert etwas länger als vorher....

Mit den Programmen gibt es sonst keine wieteren Probleme ... ;-)

Browser laufen schneller und flüssiger als vorher ...

öffne bitte CCleaner, extras, autostart liste, und posten die.
öffne malwarebytes, gucke ob der Hintergrundwächter aktiv ist, deaktiviere ihn.

Code:

Ja        HKCU:Run        Akamai NetSession Interface        Akamai Technologies, Inc.        "C:\Users\Manuel\AppData\Local\Akamai\netsession_win.exe"

Ja        HKCU:Run        KiesAirMessage        Samsung Electronics        C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup

Ja        HKCU:Run        KiesPDLR        Samsung        C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

Ja        HKCU:Run        KiesPreload        Samsung        C:\Program Files (x86)\Samsung\Kies\Kies.exe /preload

Ja        HKCU:Run        Software Suite SE        Acer Incorporated        "C:\Program Files (x86)\Packard Bell\Software Suite SE\SoftSuiteSE.exe" /run

Ja        HKLM:Run        Adobe ARM        Adobe Systems Incorporated        "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

Ja        HKLM:Run        AdobeAAMUpdater-1.0        Adobe Systems Incorporated        "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

Ja        HKLM:Run        ADSK DLMSession        Autodesk, Inc.        C:\Program Files (x86)\Common Files\Autodesk Shared\Autodesk Download Manager\DLMSession.exe

Ja        HKLM:Run        APSDaemon        Apple Inc.        "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"

Ja        HKLM:Run        Autodesk Sync        Autodesk, Inc.        C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe

Ja        HKLM:Run        avgnt        Avira Operations GmbH & Co. KG        "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min

Ja        HKLM:Run        CanonMyPrinter        CANON INC.        C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

Ja        HKLM:Run        Cisco AnyConnect Secure Mobility Agent for Windows        Cisco Systems, Inc.        "C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" -minimized

Ja        HKLM:Run        Cmaudio8788        Microsoft Corporation        C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cmicnfgp.dll,CMICtrlWnd

Ja        HKLM:Run        Cmaudio8788GX                C:\Windows\syswow64\HsMgr.exe Envoke

Ja        HKLM:Run        Cmaudio8788GX64                C:\Windows\system\HsMgr64.exe Envoke

Ja        HKLM:Run        Hotkey Utility        Acer Incorporated        C:\Program Files (x86)\Packard Bell\Hotkey Utility\HotkeyUtility.exe

Ja        HKLM:Run        HWTablet KeyPlus                C:\Windows\SysWOW64\HWKeyPlus.exe

Ja        HKLM:Run        HWTablet Service                C:\Windows\SysWOW64\HWTabTray.exe

Ja        HKLM:Run        IAStorIcon        Intel Corporation        C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe

Ja        HKLM:Run        IntelliPoint        Microsoft Corporation        "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

Ja        HKLM:Run        KiesTrayAgent        Samsung Electronics Co., Ltd.        C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe

Ja        HKLM:Run        LWS        Logitech Inc.        C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe -hide

Ja        HKLM:Run        QuickTime Task        Apple Inc.        "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

Ja        HKLM:Run        RtHDVCpl        Realtek Semiconductor        C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s

Ja        HKLM:Run        TrayServer        MAGIX AG        C:\Program Files (x86)\MAGIX\Video_deluxe_17_Premium_Sonderedition\TrayServer.exe

Ja        Startup Common        Photo Frame.lnk        North Star com.        C:\Program Files (x86)\Northstar\Photo Frame\Photo Frame.exe

was genau ist der hintergrundwächter ??
soll ich malwarebytes komplett deaktivieren ??

alle haken raus außer:
avgnt
Hotkey Utility
LWS Logitech
Startup alle haken
malwarebytes deaktivieren.
starte neu, teste wie das system läuft, sollte was wichtiges fehlen, haken wirs wieder an.

Funktioniert alles bestens ...

was ist hiermit:
C:\Users\Manuel\AppData\Local\Temp\zlrkqt wurde nicht gefunden.

noch Probleme beim hochfahren?

Achso ja das hatte ich ganz vergessen .... das kommt immer noch .... stört zwar sehr, hat andererseits aber keine auswirkungen die ich bis jetzt feststellen konnte

poste mir noch mal ein neues otl log bitte.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread