Trojaner-Board - Umleitung von Google-Suchergebnissen, Windows-Sicherheitscenter lässt sich nicht aktivieren

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Umleitung von Google-Suchergebnissen, Windows-Sicherheitscenter lässt sich nicht aktivieren (https://www.trojaner-board.de/130739-umleitung-google-suchergebnissen-windows-sicherheitscenter-laesst-aktivieren.html)

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Brauchst du auch noch den Malwarebytes-Bericht?

Hier der Bericht von ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=c0e1fe544b6f0e42994e6c5355e84e1b

# engine=13145

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-02-13 01:10:23

# local_time=2013-02-13 02:10:23 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1799 16775165 100 99 54219 106535106 46996 0

# compatibility_mode=5893 16776574 100 94 5595083 112390873 0 0

# scanned=57987

# found=0

# cleaned=0

# scan_time=1871

ja bitte immer die Logs posten

Malwarebytes-Bericht:

Code:

Malwarebytes Anti-Malware (Test) 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.02.13.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Aaron :: SCHLACHTSCHIFF [Administrator]
 

Schutz: Aktiviert
 

13.02.2013 12:42:41

mbam-log-2013-02-13 (12-42-41).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 219034

Laufzeit: 5 Minute(n), 4 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo, ich blockiere eigentlich Cookies regelmäßig mit Aunahme bestimmter Seiten, die ich oft benutze. Ist das eine gute Variante? Habe jetzt aber auch das Firefox-Addon installiert.

Welche Virenprogramme empfiehlst du mir? Ich habe Avira Antivir (kostenlose Version).

Welche der Programme, die ich für das Entfernen des Trojaners installiert habe, solltee ich behalten, welche kann ich deinstallieren?

Der Windows-Sicherheitsdienst läßt sich komischerweise immer noch nicht starten.

Antivir hat nun nach einem Suchlauf folgendes gefunden:

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Donnerstag, 14. Februar 2013  16:22
 

Es wird nach 5000085 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows 7 Home Premium

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : SCHLACHTSCHIFF
 

Versionsinformationen:

BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00

AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 06:56:03

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 20:46:41

LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 20:46:41

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 20:46:42

AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 20:46:18

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:49:21

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 05:56:15

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 05:56:21

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 21:55:54

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 21:56:01

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 21:32:06

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 10:27:26

VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 14:49:23

VBASE008.VDF   : 7.11.60.10   6627328 Bytes  07.02.2013 22:39:16

VBASE009.VDF   : 7.11.60.11      2048 Bytes  07.02.2013 22:39:16

VBASE010.VDF   : 7.11.60.12      2048 Bytes  07.02.2013 22:39:16

VBASE011.VDF   : 7.11.60.13      2048 Bytes  07.02.2013 22:39:16

VBASE012.VDF   : 7.11.60.14      2048 Bytes  07.02.2013 22:39:16

VBASE013.VDF   : 7.11.60.62    351232 Bytes  08.02.2013 22:38:43

VBASE014.VDF   : 7.11.60.115   190976 Bytes  09.02.2013 22:38:43

VBASE015.VDF   : 7.11.60.177   282624 Bytes  11.02.2013 23:06:42

VBASE016.VDF   : 7.11.60.249   215552 Bytes  13.02.2013 23:06:43

VBASE017.VDF   : 7.11.60.250     2048 Bytes  13.02.2013 23:06:43

VBASE018.VDF   : 7.11.60.251     2048 Bytes  13.02.2013 23:06:43

VBASE019.VDF   : 7.11.60.252     2048 Bytes  13.02.2013 23:06:43

VBASE020.VDF   : 7.11.60.253     2048 Bytes  13.02.2013 23:06:43

VBASE021.VDF   : 7.11.60.254     2048 Bytes  13.02.2013 23:06:43

VBASE022.VDF   : 7.11.60.255     2048 Bytes  13.02.2013 23:06:43

VBASE023.VDF   : 7.11.61.0       2048 Bytes  13.02.2013 23:06:43

VBASE024.VDF   : 7.11.61.1       2048 Bytes  13.02.2013 23:06:43

VBASE025.VDF   : 7.11.61.2       2048 Bytes  13.02.2013 23:06:43

VBASE026.VDF   : 7.11.61.3       2048 Bytes  13.02.2013 23:06:43

VBASE027.VDF   : 7.11.61.4       2048 Bytes  13.02.2013 23:06:43

VBASE028.VDF   : 7.11.61.5       2048 Bytes  13.02.2013 23:06:44

VBASE029.VDF   : 7.11.61.6       2048 Bytes  13.02.2013 23:06:44

VBASE030.VDF   : 7.11.61.7       2048 Bytes  13.02.2013 23:06:44

VBASE031.VDF   : 7.11.61.20     37376 Bytes  13.02.2013 23:06:44

Engineversion  : 8.2.10.250

AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 23:13:23

AESCRIPT.DLL   : 8.1.4.88      471417 Bytes  07.02.2013 22:39:19

AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 14:58:13

AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 14:48:12

AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 12:28:20

AEPACK.DLL     : 8.3.1.2       819574 Bytes  20.12.2012 23:14:29

AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 16:09:14

AEHEUR.DLL     : 8.1.4.198    5751159 Bytes  07.02.2013 22:39:19

AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 18:41:21

AEGEN.DLL      : 8.1.6.16      434549 Bytes  25.01.2013 10:57:10

AEEXP.DLL      : 8.3.0.24      188787 Bytes  09.02.2013 22:38:44

AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 23:13:22

AECORE.DLL     : 8.1.30.0      201079 Bytes  13.12.2012 14:58:12

AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 16:09:10

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 20:46:41

AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 06:56:02

AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 20:46:42

AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 06:56:02

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 20:46:41

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 20:46:42

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  08.08.2012 15:17:30

NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 20:46:41

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 15:17:20

RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 06:56:01
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Donnerstag, 14. Februar 2013  16:22
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.

HKEY_LOCAL_MACHINE\Software\McAfee

  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'java.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'jp2launcher.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '93' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '110' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '125' Modul(e) wurden durchsucht

Durchsuche Prozess 'thunderbird.exe' - '101' Modul(e) wurden durchsucht

Durchsuche Prozess 'UNS.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'DMREngine.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'clear.fiAgent.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.bin' - '176' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'SSDMonitor.exe' - '18' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht

Durchsuche Prozess 'CloneCDTray.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'iTunesHelper.exe' - '69' Modul(e) wurden durchsucht

Durchsuche Prozess 'clear.fiMovieService.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'LMworker.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'nusb3mon.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'LManager.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'BackupManagerTray.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '147' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'ConversionService.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'HelperService.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'StartManSvc.exe' - '41' Modul(e) wurden durchsucht

Durchsuche Prozess 'IScheduleSvc.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamservice.exe' - '47' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamscheduler.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'GREGsvc.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'LMutilps32.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'dsiwmis.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '64' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht

Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '3023' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Acer>

C:\_OTL\MovedFiles.zip

  [0] Archivtyp: ZIP

  --> MovedFiles/02122013_115706/C_Windows/SysWOW64/UXInitj.dll

      [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8

C:\_OTL\MovedFiles\02122013_115706\C_Windows\SysWOW64\UXInitj.dll

  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
 

Beginne mit der Desinfektion:

C:\_OTL\MovedFiles\02122013_115706\C_Windows\SysWOW64\UXInitj.dll

  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5742ee6d.qua' verschoben!

C:\_OTL\MovedFiles.zip

  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f20c1d1.qua' verschoben!
 
 

Ende des Suchlaufs: Donnerstag, 14. Februar 2013  21:32

Benötigte Zeit:  1:42:14 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  37171 Verzeichnisse wurden überprüft

 1214698 Dateien wurden geprüft

      2 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      2 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 1214696 Dateien ohne Befall

  13774 Archive wurden durchsucht

      0 Warnungen

      3 Hinweise

 716835 Objekte wurden beim Rootkitscan durchsucht

      1 Versteckte Objekte wurden gefunden

Zitat:

C:\_OTL\MovedFiles\02122013_115706\C_Windows\SysWOW64\UXInitj.dll

Ist ok, ist zwar ein Schädling aber in der Quarantäne von OTL. Dort macht er nix mehr.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Danke vielmals für die Hinweise und auch für die Hilfe! Ich werde die Ratschläge alle beherzigen!

Wie gesagt besteht aber noch das Problem, daß sich der Windows-Sicherheitsdienst nicht starten läßt, was vorher meines Wissens nicht der Fall war. Woran könnte da liegen, wenn kein Trojaner mehr vorhanden ist?

OK, jetzt geht es doch alle. Also vielen, vielen Dank!