Trojaner-Board - GVU Trojaner entfernen reicht das?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner entfernen reicht das? (https://www.trojaner-board.de/131559-gvu-trojaner-entfernen-reicht.html)

GVU Trojaner entfernen reicht das?

Hallo zuallererst Ich bin absoluter Laije kann mit den meisten begriffen hier so gar nichta anfangen also biite in absoluter Idiotensprache erklären.

Aber erstmal zu meinem Problem und der damit verbundenen Frage:

Problem : Ich habe mir gestern den sogenannten GVU Trojaner eingefangen.

Ich habe bei Chip.de dazu gelesen das mann wenn mann im abgesicherten Modus seinen PC started und dann über systemwiederherstellung started wieder zugang auf seinen Computer bekommt. Hat auch geklappt sperrung ist weg.

Aber wars das jetzt wo ist der Trojener hin reicht das was muss Ich tun um wieder sorgen und Angstfrei surfen zu können?

Ich würde am liebsten alles Löschen aber habe leider eine VOrinstallierte Windowas Vista version und nie die software CDs erstellt. - also keine möglichkeiten irgendwas aufzuspielen und leider auch kein plan wie mann die erstellt und ob das nach dem Trojanerbefall überhaupt noch geht oder sinn macht wer weiß schon wo geneu der sich eingenisted hat.

Kann mir jemen meine FRagen beantworten?

Ich lasse gerade meinen Avira vierenscanner über den befallenen PC laufen weiß nicht ob das was bringt.

Hallo Lord-Flad und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Zitat:

Aber wars das jetzt

Nein, mach bitte das:

Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Gmer
Logs von OTL

Kann Ich das mit den noch infizierten rechner runterladen? mein anderer funktioniert nur mit Internetstick und ist dazu etwas langsam

Zitat:

Kann Ich das mit den noch infizierten rechner runterladen?

Ja, das kannst du.

Hallo Leo erstmal Danke für den beistand habe Ich in der Aufregung vorhin glatt Vergessen nun ein Problem Schritt 2 der Gmer scan konnte nicht ausgeführt werden bei mir kam während des scans die meldung das das Programm nicht richtig funktioniert und beendet wurde habe es 2 mal mit gleichem ergebniss probiert bei dem Otel scan wurden 3 dateien erstellt hier die ergebnisse:

Hallo,

dann mach mal so weiter:

Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

Schliesse alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Adwcleaner
Log von Combofix
Log von OTL

So hier die Daten den Cleaner hab Ich zweimal gestarted ausversehen weil Ich auf die Logdatei gewarted hab.

Hallo,

wie läuft der Rechner jetzt? Noch Probleme erkennbar?

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

O4 - HKU\S-1-5-21-712841670-1463205193-676363862-1006..\Run: [Validator] C:\Users\Markus\AppData\Roaming\vlc\{11FE23DD-C23B-4071-A5BC-05DAD56C6A7D}\Validator.exe File not found
 

:commands

[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware.

Installiere das Programm in den vorgegebenen Pfad.
Starte nun Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

Die Software von Schritt 2 lässt sich nicht Downloaden der Download startet nicht Download

Dann versuch den Download bitte über diesen Direktlink.

Darüber wude Ich weitergeleited auf eine andere Seite zu einem anderen Programm
Reimage - Behebt jeden Fehler, jeden Systemabsturz und jeden Einfrieren ihres Windows-Systems

Habe diesen scan durchgeführt aber als es ans beheben ging sollte Ich noch eine zusatzsoftware Kaufen ist das korreckt?

Ber der ESET Überprüfung kam nichts raus keine schädlinge gefunden. Rechner läuft bzw lief von Anfang an wieder bin mir eben nicht sicher wo der Trojaner ist werde jetzt mal mit den anderen Programmen weitermachen

Über diesen Link wurde Ich zu einem anderen Programm weitergeleitet ist das das richtige ???

hxxp://de.reimageplus.com/lp/nhome/index.php?tracking=ga1&banner=Content_Germany&adgroup=Spyware&ads_name=direct&keyword=spyware&gclid=CJriiL_V1LUCFQq5zAodQVoA1w

Der Scan hat schäden angezeigt aber als Ich auf beheben klicken wollte forderte das Programm eine Lizenznummer bzw mich auf eine Bezahlversion zu erwerben für irgendeinen nicht devinierbaren betrag da Canadische Dollar. ???

Die regebnisse der anderen scans sind im Anhang

Das ergebniss von OTL

Hallo,

Zitat:

Reimage - Behebt jeden Fehler, jeden Systemabsturz und jeden Einfrieren ihres Windows-Systems

Habe diesen scan durchgeführt aber als es ans beheben ging sollte Ich noch eine zusatzsoftware Kaufen ist das korreckt?

Nein! Das ist das falsche Programm. Kauf das ja nicht sondern deinstalliere es sofort wieder!

Lade bitte Malwarebytes Anti-Malware von hier herunter (oben rechts auf Download Now drücken) und mach den Scan noch wie beschrieben.

So habe die eine Datei gelöscht / Deinsalliert und die betreffende über den Link runtergeladen das Uptate befindet sich auf dem Desktop lässt sich aber nicht Installieren bekomme folgende fehlermeldung:

Interner Fehler: Failed to expand shell folder constand "userappdata"

Gut dann lassen wir das (ESET war ja sauber) und machen jetzt noch die Updates:

Schritt 1

Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
Suche und deinstalliere dort der Reihe nach folgende Einträge:
- Mozilla Firefox (3.6.28)
- Adobe Reader 8
- Adobe Reader 8.1.3 - Deutsch
- Flash Player 9 Internet Explorer
Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Schritt 3

Wenn du den Mozilla Firefox weiterhin verwenden willst, dann downloade und installiere die neuste Version.

Schritt 4

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Schritt 5

Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Log von SecurityCheck

Hallo Leo,

ein neuer Tag und neue Probleme !!

Moilla Firefox habe Ich Deinstalliert aber die anderen Programme lassen sich nicht deinstallieren es kommt sobald Ich auf deinstallieren kliche die Meldung

PC Content manegment funktioniert nicht meht.
Das Programm wird geschlossen sie werden benachrichtigt sobald eine lösung vorliegt.

Was soll Ich jetzt tun?

Hallo,

dann mach bitte nochmals einen OTL-Scan und poste die beiden Logfiles:

Starte bitte die OTL.exe.

Unter Extra Registry, wähle Use SafeList.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

So muss jetzt Leider off muss Arbeiten, bin morgen ab 14 Uhr bis 16:30 Uhr wieder online.

Hallo,

mach bitte mal das Folgende:

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

>checkUSF.txt 2>&1 (

for %%g in (

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"

) do ( 

reg query %%g /s

)

)

notepad checkUSF.txt

Speichere es unter dem Dateinamen batch.bat auf den Desktop.
(Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
Starte die batch.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"
Zum Schluss wird sich ein Notepadfenster öffnen. Kopiere dessen gesamten Inhalt hier in den Thread.
(Nachträglich findest du diese Logdatei auch als batchlog.txt auf dem Desktop.)

Guten MOrgen Leo,

ich dachte mir Ich mach das noch schnell vorm Schlafengehen. Es haben sich 2 Fenster am Ende geöffnet

1 Fenster >>> checkUSF

C:\Windows\system32>(reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s )

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
AppData REG_EXPAND_SZ %APPDATA%
Cache REG_EXPAND_SZ %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files
Cookies REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
Desktop REG_EXPAND_SZ %USERPROFILE%\Pictures\Desktop
Favorites REG_EXPAND_SZ %USERPROFILE%\Favorites
History REG_EXPAND_SZ %USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData REG_EXPAND_SZ %USERPROFILE%\AppData\Local
My Music REG_EXPAND_SZ %USERPROFILE%\Music
My Pictures REG_EXPAND_SZ %USERPROFILE%\Pictures
My Video REG_EXPAND_SZ %USERPROFILE%\Videos
NetHood REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal REG_EXPAND_SZ %USERPROFILE%\Downloads\Documents
PrintHood REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Startup REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Start Menu REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Templates REG_EXPAND_SZ %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates
{374DE290-123F-4565-9164-39C4925E467B} REG_EXPAND_SZ %USERPROFILE%\Downloads

C:\Windows\system32>(reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s )

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Common Desktop REG_EXPAND_SZ %PUBLIC%\Desktop
Common Documents REG_EXPAND_SZ %PUBLIC%\Documents
CommonPictures REG_EXPAND_SZ %PUBLIC%\Pictures
CommonMusic REG_EXPAND_SZ %PUBLIC%\Music
CommonVideo REG_EXPAND_SZ %PUBLIC%\Videos
{3D644C9B-1FB8-4f30-9B45-F670235F79C0} REG_EXPAND_SZ %PUBLIC%\Downloads
Common Start Menu REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu
Common Programs REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs
Common Startup REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
Common AppData REG_EXPAND_SZ %ProgramData%
Common Templates REG_EXPAND_SZ %ProgramData%\Microsoft\Windows\Templates

2 Fenster >>>C:/ Windows/system32/cmd.exe

Dieser Text ließ sich nicht Kopieren aber denke Du meintest eh die oberen Daten wenn Ich das richtig verstanden habe.

Zitat:

denke Du meintest eh die oberen Daten wenn Ich das richtig verstanden habe.

Genau so ist es. :daumenhoc

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

@echo off
 

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "AppData" /t REG_EXPAND_SZ /d "%%USERPROFILE%%\AppData\Roaming" /f

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "LocalAppData" /t REG_EXPAND_SZ /d "%%USERPROFILE%%\AppData\Local" /f

Speichere es unter dem Dateinamen batch.bat auf den Desktop.
(Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
Starte die batch.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"

Starte danach den Rechner neu auf.
Versuch dann, mit der vorherigen Liste (Deinstallationen etc.) weiterzumachen. Geht es jetzt?

Hallo Leo hat leider auch nur teilweise funktioniert:

Adober Reader 8.1.3 konnte Deinstalliert werden

Bei Adobe Reader 8 und Flasch player9 Internet explorret kam jeweils folgender Text:

Beim Deinstallieren von ...... auf Ihrem Computer ist ein Fehler aufgetreten.
Fehler:20

Bein Deinsatallieren von FLaschplaxer kam vor dieser meldung noch der hinweis das das Deinsatalliernen nur bei Programmen funktioniert die auf dem Computer installiert sind.

Was aber ja eigendlich sein müsste sonst würde ja nichts da stehen???

Hoffe Du kannst damit was anfangen

Hallo,

das ist in Ordnung so, dann waren das nur noch leere Überreste, das kommt vor.
Du kannst das ignorieren und normal weitermachen.

Guten Morgen Leo,

und warumm stehen die daten dann noch da bzw lassen sich nicht löschen?

Habe nun alle anderen Schritte abgearbeitet

ADobe Reader, Flaschplayer und Firefox sind installiert

Plugin Check zeigt alles Grün nur beim Reader meint er er sei nicht aktiviert bzw installiert, das Programm funktioniert aber.

Anbei noch das Ergebniss des Security Checkup´s

Hallo,

manchmal verschwindet eben nicht ganz alles und es bleiben noch Überreste stehen.
Ich nehm dir diese beiden Einträge noch raus jetzt.
Ansonsten sieht es aber gut aus, wir müssen nur noch aufräumen.

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"AdobeReader"=-

"Flashplayer"=-

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.

Schritt 2

Starte defogger und drücke den Button Re-enable.

Schritt 3

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

Combofix /Uninstall

und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.

Schritt 4

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

und drücke OK.

Schritt 5

Downloade dir bitte delfix auf deinen Desktop.

Schliesse alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Klicke auf Start.
DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.

Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:

Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.

Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.

Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:

NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.

Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).

Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.

Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:

Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hallo Leo,

alles erledigt den EST Scanner habe Ich behalten möchte mich nochmal für die Hilfe und die gute zusammenarbeit bedanken, super das es euch gibt . Selbst für mich als Laie war der umgang durch eure anleitung sehr hilfreich und hat eine menge Geld für nen spezialisten erspart. Hoffe zwar nicht das soetwas nochmal passiert aber wenn weiß Ich jetzt wo Ich Hilfe finde.:taenzer:

Vielen Dank nochmal.

gruß Markus

Danke für die Rückmeldung, Markus.

Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

Aufgrund der PM schauen wir hier nochmals rein:

Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Gmer
Logs von OTL

Hallo Leo hier die scans:

Hallo,

dann schauen wir mal, was zu sehen ist, wenn das System nicht läuft.

Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager
Starte den Rechner neu auf.

Während des Hochfahrens drücke mehrmals die F8 Taste.

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und boote von der CD.

Wähle die Spracheinstellungen und klicke Weiter.

Klicke auf Computerreparaturoptionen.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

Gib nun bitte notepad ein und drücke Enter.
- Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
- Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
- Schliesse Notepad wieder.
Gib nun bitte folgenden Befehl ein und drücke Enter:
e:\frst.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Log von FRST

Hallo Leo also ich muss Variante 1 nemen da ich keine Windows CD Besitze ( war eine vorinstallierte Version) FRage Ich habe mehrere Benutzerkonten auf dem Rechner in dem fall dann am besten vom Admin Profil aud ausführen oder?

Hallo,

Zitat:

Ich habe mehrere Benutzerkonten auf dem Rechner in dem fall dann am besten vom Admin Profil aud ausführen oder?

Nein, nimm das Konto, welches du normalerweise benutzt und in welchem du das Problem entdeckt hast.

Hallo Leo,

irgendwie klappt das bei mir nicht habe die Software auf dem Stick

Aber wenn Ich F8 drücke kommt mir immer nur so eine Art Bios Fenster mit folgenden auswahlmöglichkeiten:

USB Hard Disk
CD Rom/DVD Rom
SATA Hard Drive1
<Enter Setup>

Hab das mindestens 15 mal hintereinender versucht immer mit gleichem ergebniss

Hallo,

ja das ist nicht das Gewünschte.
Du drückst die F8-Taste möglicherweise zu früh. Warte nach dem Aufstarten, bis die BIOS Anzeigen weg sind, und drücke erst dann F8 (so, wie wenn du in den abgesicherten Modus starten wolltest).
Klappt's dann?

Hallo Leo,

ok das mit dem Annmelden im Reparaturmodus klappt jetzt,

aber kann die Eingabeaufforderung nur öffnen wenn Ich mich über mein Admin Konto anmelde bei meinem sonst verwendeten Konto wird mir die gar nicht angezeigt.

Habe Ich das so richtig verstanden den Befehl um das Programm zu Starten muss Ich in das Schwarze Feld schreiben wo Ich auch das mit dem Notepad geschrieben habe.

Wenn ja gibts das nächste Problem da heist es dann die datei konnte nicht gefunden werden oder ist falsch geschrieben. Geschrieben habe Ich es genau so wie Du es geschrieben hast und die datei ist auf dem Stick. - oder schreibe Ich das ins falsche feld??? Bin ratlos

Hallo,

Zitat:

Habe Ich das so richtig verstanden den Befehl um das Programm zu Starten muss Ich in das Schwarze Feld schreiben wo Ich auch das mit dem Notepad geschrieben habe.

Genau.

Zitat:

Geschrieben habe Ich es genau so wie Du es geschrieben hast und die datei ist auf dem Stick.

Hast du den Laufwerksbuchstaben deines USB-Sticks eingesetzt?
Du musst nur "e:\frst.exe" schreiben, wenn dieser Buchstabe auch "e" ist, sonst beispielsweise "f:\frst.exe" oder was es ist bei dir.
(Wenn du den Laufwerksbuchstaben nicht herausfinden kannst, dann versuch ihn zu erraten: Beginne bei "d" und gehe dann weiter, bis es klappt. Also "d:\frst.exe", dann "e:\frst.exe", dann "f:\frst.exe", dann "g:\frst.exe" und so weiter...)
Und hast du die Datei direkt auf der höchsten Ebene des USB-Sticks gespeichert und nicht in einen Ordner darauf?

Also angezeigt hat es Ihn mir auch als e und ja ist Direkt auf dem Stick gespeichert. Werde morgen mittag nochmal einen Versuch starten.

Ja, versuch es bitte noch einmal. Wenn "konnte nicht gefunden werden" steht, dann hat irgendetwas bei der Eingabe nicht gestimmt.

Witzige sache heute alles nocheinmal versucht und es hat beim ersten anlauf geklappt habe aber nichts anderes gemacht als die Tage zuvor - na ja manche Dinge muss mann wohl nicht verstehen.

Hier nun der scan :singsing:

Hallo,

prima, dass es doch noch geklappt hat.
Da ist nichts Auffälliges zu sehen.
Macht der Rechner denn irgendwelche Probleme?

Nun seid dem Trojamerbefall kommt er mir beim Hochfahren langsamer vor als früher aber wie gesagt das könnte auch darann liegen das meine letzte defragmentierung schon etwas länger zurückliegt.

Wenn Ich im Internet bin ist mir aufgefallen das er seid dem Trojaner beim aufrufen von Facebook zicken macht nach aufrufen der seite muss ich ca 1 bis 2 minuten warten bis Ich eine eingabe tätigen kann, die Seite kann Ich in dieser Zeit auch nicht schließen der ganze Bildschirm ist sozusagen eingefrohren.
Bei allen anderen Seiten funktioniert es aber von anfang an, auch sonst habe ich bis jetzt keine Probleme festgestellt.

Hallo,

Zitat:

Wenn Ich im Internet bin ist mir aufgefallen das er seid dem Trojaner beim aufrufen von Facebook zicken macht

Kannst du mal überprüfen, ob dieses Problem in allen Browsern auftritt oder nur in einem (und in welchem)?

Noch eine Kontrolle:

Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

Klicke auf den CleanUp Button und erlaube den Neustart.
Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.

Bitte poste in deiner nächsten Antwort:

Log von MBAR

Sorry die Datei lässt sich immer noch nicht runterladen, wenn Ich den Downloadlink anklicke kommt die Meldung : Fehler: Incorrect key file for table './usr_web3_1/descr.MYI'; try to repair it

Das mit Facebook ist auf allen Browsern

Ok, dann downloade Malwarebytes_Anti-Rootkit über diesen Direktlink und mach dann weiter nach obiger Anleitung.

Hallo Leo,

ich gleub da stimmt wieder was nicht habe die Datei runtergeladen und auf dem Desktop gespeichert, aber sobald Ich sie anklicke oder auf öffnen drücke wird nichts entpackt das einzige was passiert ist das sich die Windows Fotogalerie öffnet.

Hallo,

und was passiert, wenn du einen Rechtsklick auf die zip-Datei machst, dann Alle extrahieren... auswählst und den Inhalt auf den Desktop extrahieren lässt?

NIchts die option steht gar nicht zur verfügung Ich kann nur öffnen dann komme Ich auf die Fotogalerie oder öffnen mit ? und da weiß Ich nicht welches Programm

Hmm, dann installiere mal 7-zip und lade danach MBAR neu herunter, versuche es mit 7-zip auf den Desktop zu extrahieren und es danach gemäss obiger Anleitung auszuführen.

Hallo Leo,

ok die Datei lässt sich nun öffnen aber wenn Ich mbar.exe anklicke kommt folgende meldung:

Die Annwendung konnte nicht geöffnet werden,weil QtGui4.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben.

Ich habe 4 mal die Datei neu heruntergeladen und versucht zu Installieren komme immer zu dem gleichen ergebnis.

Hallo,

Zitat:

die Datei lässt sich nun öffnen

Öffne die heruntergeladene Datei nicht direkt, sondern entpacke sie zuerst, sonst klappt es nicht.
Das geht so: Rechtsklick auf die zip-Datei, dann wähle 7-zip -> Extract here. Es wird ein neuer Ordner erstellt und dort sollst du dann die mbar.exe öffnen.

Hallo Leo,

schweere Gebuhrt aber nun hat es endlich geklappt >>> Ergebniss negativ keine funde entdeckt.
Habe am WE nochmal Avira scannen lassen die versteckte Datei ist noch irgendwo aber kann ja auch sein das die ungefählich ist oder?

Hier mal der Bericht:

Hallo,

das sieht alles sauber aus.

Zitat:

Habe am WE nochmal Avira scannen lassen die versteckte Datei ist noch irgendwo aber kann ja auch sein das die ungefählich ist oder?

Ja, ich denke auch, dass es ungefährlich ist. Avira wird wohl die sptd.sys als versteckten Treiber erkennen.

Um sicher zu gehen, können wir das zum Schluss noch testen:

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Danach lass bitte noch einmal Avira scannen und schau, ob immer noch ein versteckter Treiber gemeldet wird oder nicht.

Hallo Leo,

Habe den scan durchgeführt werde aus dem ergebniss nicht schlau, der Avira scan hat keine Versteckte Datei mehr angezeigt dafür aber 8 Funde und einen Virus der in die Quarantäner verschoben wurde .
Anbei beider scans.

Hallo,

Zitat:

der Avira scan hat keine Versteckte Datei mehr angezeigt dafür aber 8 Funde und einen Virus der in die Quarantäner verschoben wurde .

Die Funde zeigen nur an, dass versucht wurde, dir über eine Java-Lücke etwas unterzuschieben. Aber das scheint nicht geklappt zu haben.
Überleg dir doch, ob du nicht das Java-Plugin im Browser deaktivieren möchtest. Hier sind die Anleitungen für die verschiedenen Browser.
Ob dieses Plugin in jeweiligen Browser aktiv ist oder nicht, kannst du mit dem Plugin-Check kontrollieren.

Aber die Sache mit dem versteckten Treiber ist geklärt, wir können das Thema beenden.
Gib mir bitte noch eine kurze Rückmeldung, wenn alles ok ist bei dir.

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:commands

[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.

Schritt 2

Starte defogger und drücke den Button Re-enable.

Schritt 3

Downloade dir bitte delfix auf deinen Desktop.

Schliesse alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.
DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

Hallo Leo, so das mit dem Java Plugin deaktivieren hat bis auf Goggle Crom Überall geklappt, Ich gehe davon aus das muss Ich bei jeden Benutzerkonto seperat deaktivieren?

Alles andere habe Ich gelöscht hat alles geklappt?

Ich Denke Dir nochmal für die gedult und den beistand.

Hoffe jetzt hab Ich wieder ruhe, falls nicht würde Ich mich nochmals per PN melden wenn das ok ist.

gruß Markus

Hallo Markus,

ja ich würd in jedem Benutzerkonto reinschauen, ob es deaktiviert ist.
Genau, wenn wieder Probleme auftreten, dann melde dich einfach wieder.

Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.