Ist das ein TROJANER/Ist mein Laptop INFIZIERT?: Interface (Isp Command), HKLM\SOFTWARE\Classes\Interface\
 

Hallo Leute!

Also ich bin ein echter Laie, was das gesamte IT betrifft....
Aber jetzt bin ich echt schockiert! Ich glaube ich habe seit Monaten einen TROJANER auf meinem Laptop!

Heut habe ich mir mal die Zeit genommen zu googeln, was eigendlich das:
Interface (Isp Command), HKLM\SOFTWARE\Classes\Interface\
bedeutet, bzw. beinhaltet.
Spybot seach & destroy zeichnet das jedesmal, wenn ich spontan nen spybot scan mache, als ROT an)
UND siehe da!: Alle Meldungen zeigen mir was mit Trojaner und Systembereinigung. :eek:

Zu vorherigen Ablauf:

Seit ich im Juli 2013 einen BKA-Trojaner hatte (die Kripo nannte den so), habe ich Sybot - Search & Destroy installiert (Tipp von der Kripo) und Kaspersky PUR gekauft und istalliert.

Den Virus hatte mir eine Bekannte irgendwie beseitigt. Ich glaube nicht sehr professionell. Egal, mein Laptop funktioniert ja im Grunde einwandfrei.
Je nachdem, wie hoch man seine Ansprücke stellt. :wtf:

Hin und wieder gibt es die Meldung: > Shockwave reagiert nicht, ist evtl. überlastet...Plugin stoppen, oder...<, oder es gibt irgendwelche Schwierigkeiten mit Adobe, oder mit dem Flashplayer. Ich habe mir dann immerwieder gratis downloads zum updaten von chip.de geholt.
Aber das hat das Problem auch nicht wirklich behoben. Das fand ich haber nicht sooooo störend.
Manchmal ist mein Laptop beim Öffnen neuer Seiten extrem langsam! Das nervt schon mehr!
Naja und nach den Meldungen bei google.de bin ich doch jetzt etwas beunruhigt!

Ich bin neu hier und hoffe, dass mir hierbei jemand weiterhelfen kann!!!
Vielen Dank schon mal im Voraus!

:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

[CODE]Guten Morgen Sandra,
vielen Dank, dass Du mir so schnell zur Hilfe gekommen bist!
Es tut mir echt SEHR leid, dass ich mich so blöd anstelle!
Ich bin bis jetzt so vorgegangen, wie Du es mir geschrieben hast.
FRST32-Bit ist die richtige Version für mein Laptop).
Ich habe jetzt das Fenster von Farbar Recovery Scan Tool offen mit dem Button SCAN / SCAN File / FIX. Hier drücke ich jetzt den Button SCAN und berichte dann von dem Ergebnis.

OK, folgende Angabe:
>>Scan completed. The "FRST.txt" is saved in the same location FRST tool is run.<<
Ich bestätige das mit OK, daraufhin:
>>The Addition.txt is saved in the same location FRST tool is run.<< (das bestätige ich mit OK)
und ein zweites Fenster, ggf. FRST.txt, mit folgendem Inhalt öffnet sich:
......................................................................................................................
FRST Logfile:

Hallo elnino1,

perfekt :)

Ein Antispyprogramm reicht. ;)

Schritt 1
Fragen beantworten :)
1. Hast du noch den genauen (kompletten) Fundort von Spybot? Das ist nur ein Registrierungsschlüssel, wie er auf jedem System vorhanden ist.
2. Hast du diesen Proxyserver eingerichtet?

Schritt 2
Bitte deinstalliere folgende Programme (falls vorhanden) :
Java 7 Update 13
Java(TM) 6 Update 37

Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen

Schritt 3

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 4
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Windows Vista und höher: mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language German aus.
• Klicke auf Armaturenbrett und auf Jetzt aktualisieren, um die Datenbank zu updaten.
• Klicke im Anschluss auf Suchlauf, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf jetzt starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Aktionen anwenden.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Wähle Exportieren auf Textdatei (.txt) und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 5
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hallo Nina,
die fixlist muss in demselben Ordner sein, in dem sich auch FRST befindet. Bei dir ist das: C:\Users\IBM\Downloads versuche es nochmal indem du die Fixlist da speicherst und dann FRST öffnest und auf den Fix-Button drückst, dann sollte es eigentlich funktionieren. :)

Hallo Nina,

vielen Dank :)

Ja, das sind die Protektionsprotokolle
Jedesmal wenn du einen Suchlauf startest, Malwarebytes startet oder Malwarebytes sich aktualisiert wird so eins angelegt. :)
Die Logs sehen soweit gut aus.

Mache nun bitte noch mal einen Kontrollscan mit Eset


Schritt 1
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Nina,
Nein, generell ist es sowieso besser direkt beim Hersteller herunterzuladen :)

Nein, du brauchst das auf keinen Fall zu deinstallieren!

Klick mal mit rechts auf das Icon von Kaspersky unten in der Leiste deines Bildschirms, du solltest da eine Anzeige haben, wo Schutz deaktivieren oder anhalten steht, wähle das mal aus.
Vergesse aber nicht, es nach dem Scan von ESET wieder anzuschalten.

Alles klar, ich warte dann hier ;)

Hallo Nina,

kein Problem :)
Du markierst den kompletten Inhalt des Logs, drückst dann STRG+C gehst dann hier in deinen Thread, drückst auf die Raute und klickst dann zwischen [code][/code] <- die beiden code-Bausteine und drückst dann STRG+V, dann sollte sich das Log einfügen und du kannst es mir posten :)

P.S.: OK: Frage gestrichen! Sonst kommen wir hier nur durcheinander! (Ich zumindest! ;-))
Wenn ich das mit dem Kaspresky nicht geregelt bekomme mache ich mich erstmal bei google schlau! :-D
[CODE]
Hallo Sandra, ich habe es doch noch heute versucht...Aber es geht nicht!
Auch nicht mit Strg. + X.....Es gibt einfach keine Reaktion auf Strg. + V am Ziel, also hier!
Auch nicht wenn ich die Elemente versuche einzeln zu kopieren!
Keine Anhnung, was hier wieder nicht so richtig funktioniert! Wenn ich hier z.B.
Textelemente auf die gleiche Weise "transportiere", dann funktioniert das ja,
also völlig unfähig ist das Ganze hier auch nicht!
Mensch, Mensch, Mensch! Das tut mir echt leid, dass es noch dazu immer noch so
zusätzliche Nebeneffekte bei mir gibt!!! Morgen geht es weiter!
Gute Nacht und dankeschön! Grüße, Nina
[CODE]

Drückst du denn eigentlich nur die STRG und die C Taste zusammen? Nicht das Pluszeichen das steht nur als (und).
Geht es denn, wenn du den Test markierst und dann rechtsklick-> kopieren dann hier den Thread öffnen und dann wieder rechtsklick -> einfügen machst.

Kaspersky kannst du deinstallieren und dir dann neu runterladen und den Key dafür verwenden, das geht. Aber was stimmt denn nun mit Kaspersky nicht?

Hallo Sandra,
natürlich drücke ich nur die jeweilige Komandotaste (C, V, oder X) und gleichzeitig die STRG Taste,
eine Plus Taste drücke ich nicht auch noch! Aber vielen Dank für die Nachfrage!
Kaspersky aktualliesiert sich zZ grade.
Viele Grüße, Nina

Oder evtl. etwas mit Verknüpfung? Ich habe die Dateien jetzt auch noch in "der Bibliothek" gespeichert... Ich kann sie "überall hin" kopieren, nur nich in dieses Threat!
Überhaupt keine Ahnung warum das so ist!!!
Tut mir echt leid! Grüße, Nina

Hallo Nina,

Sonst lass das Log von Eset einfach weg. Wenn nichts gefunden wurde, ist doch alles gut.
Gibt es denn aktuell noch Auffälligkeiten?

Hallo Sandra,

tut mir echt leid!!!! Ich habe mich SUPER BLÖÖÖÖD angestellt!!!!!! :headbang:
Die Hintergründe lohnt es sich nicht zu erklären!!! :stirn:

Hier jetzt endlich die log.txt Datei von dem ESET Onlinescann:


Kaspersky hat gestern einen "Komplett-Check" gemacht und sagt: Keine Bedrohung, ESET sagt das auch. Aber bei Spybot Seach & Destroy wird immernoch dieser eine kritische Fund angezeigt. (Pfad steht im Titel dieses Threads)

Außerdem zeigt mir mein Laptop immerwieder folgende Information:
Shockwave Flash ist möglicherweise beschäftigt, oder reagiert nicht mehr. Sie können das Plugin jetzt stoppen oder fortsetzen, um zu sehen, ob das Plugin weiter reagiert.

Vielen Dank und viele Grüße!
Nina

P.S.: Kaspersky hatte ich selber etwas demoliert, aber auch selber wieder gerichtet!
P.P.S.: Ich deistalliere jetzt alles Überbleibsel von dem ESET Onlinescann, ist das OK?

Dankeschööööön! VG, Nina

Hallo Nina,


das ist doch kein Grund für Selbstgeißelungen :)

Mir fehlt da noch ne CLSID zu, also eine Zahlen\Buchstabenfolge die in solchen {} Klammern steht.
Gibt es dort eine? Mach sonst mal einen Screenshot von dem Fund von Spybot und häng ihn an.
Das was gefunden wurde ist erstmal nur ein Registrykey.
Hast du den Fund denn schon mal löschen lassen?

Guten Morgen Sandra!
Nöööö, gelöscht habe ich erstma noch garnichts, auch das Ergebnis von ESET Onlinescann habe ich noch aufgehoben.
Also, nachdem ich das mit dem Kopieren und das mit dem Sreenshot nicht effiktiv hin bekomme, hier mal händisch notiert, was mich Spybot über den vermeintliche Trojaner so wissen lässt:


bzw.:

Beschreibung: Interface(IspCommand)
Pfad:
HKLM\SOFTWARE\Classes\Interface\{FC 856072-9CC4-4B33-8EBA-F62224A6A59}
Bedrohung: Diese Feld ist vollstädnig gefüllt mit den Farben links: grün zu rechts: rot. Rechts von dem Feld ist so ein Blumenkohl, Erdbeer, oder ??? abgebildet.
Typ: Registry Key
Kategorie: Trojans-ZL-000
Regel-ID: 4E2AF2AC

Ich hoffe das ist das, was Dich weiter bringt! Irgendwie habe ich das Gefühl, als wird das hier immer "schlimmer"! Das Laptop reagiert manchmal scheinbar garnicht, oder braucht gefühlte Stunden..... Manchmal, wenn ich dann ungeduldig werde und des öfteren auf die Return-Taster drücke, wird der Bildschirm von einem halbtransparenten, weißen Schleier überzogen, manchmal wird der Bildschirm auch einfach schwarz.... Meistens behebt sich das dann wieder, wenn ich ihn in Ruhe lasse! Hääää?!

Ich hoffe Du hast da noch nen Plan!!!! Mir wird das alles immer rätselhafter!!!
Viele Grüße, Nina

Hallo Nina,

Echt? Ein Blumenkohl... :)

Normalerweise soltest du den Fund von Spybot in Quarantäne schieben können.

Dass dein Rechner momentan so langsam ist, hat aber imho nichts mit den Funden zu tun.

Du könntest aber einmal Windows Repair (all in one) probieren.
Windows Repair (All In One)

Guten Morgen Sandra!

Ich habe jetzt grade 3 vom System vorgeschlagene Win.-Updates gemacht, ich hatte in den letzten Tagen so viel wie möglich an Änderung usw. unterbunden, damit ich Dir den ganze Haufen hier möglichst im "Ist-Zustand" prestentieren konnte.
Ich muss halt auch mal schauen, was mit diesen ständigen ShockwaveFlash Fehermeldungen ist! Vielleicht ist das jetzt nach den Updates besser..!?!!

Ach! Da fällt mir ein:
Mit großer Wahrscheinlichkeit über chip.de, aber sicherlich trotzdem ziehmlich dumm! :stirn:
Ob das was gebracht hat!?!?!?!!!:pfeiff:
Das mit der Quarantäne bei Spybot verstehe ich auch nicht so ganz! Ich habe gestern einen System-Scann gemacht und dann, so wie die ganzen Monate davor auch, "Ausgewähltes beheben" gewählt. Trotzem blieb das Bild der Funde immer ähnlich. Ich habe dann anschließend auch noch >Immunisieren< gedrückt, mit dem Hinweis >alles immunisieren<... trotzdem!
Ich schau mir das nochmal an und versuche den beschriebenen Störenfried endlich in die Verdammnis zu jagen!!!:aufsmaul:

Was ist denn jetzt eigendlich Dein Urteil? Oder lässt sich das erst sagen, wenn wir den BKA-Trojaner endlich beseitigt haben?

Vielen Dank!
Grüße, Nina
P.S.: Hahahaaaa! Ja! Mittags: Blumenkohl-Salat mit Erdbeeren-Dressing!
(Gut O.K.!!! Inzwischen habe ich erkannt, dass das wohl einen sich auflösenden Quader darstellen soll!? Oder?! :lach:)

Hallo Nina,

Mein Urteil ist, dass das keine akute Bedrohung ist, dennoch sollten wir das entfernen. Es wäre gut, wenn du mir einen Screenshot von der Anzeige von Spybot zeigen könntest, damit ich die CLSID genau sehe.

Das funktioniert eigentlich ganz einfach :)

Du öffnest Spybot, gehst auf den Fund und drückst dann Alt und die Drucken-Taste, dann öffnest du paint (Windowssymbol -> ins Feld Programme und Dateien durchsuchen klicken -> Paint eingeben, Paint oben in der Auswahl suchen und starten, dort einfach auf Einfügen gehen -> Datei speichern und hier anhängen

Vom BKA seh ich in den Logs nichts mehr :)
Hattest du den schon mal deinstalliert und dann wieder neu installiert?

Guten Morgen Sandra!

Es wundert mich eben, dass der ums verrecken nicht verschwindet! :confused:
In den vergangenen Monaten habe ich Spybot ja mehr als einmal benutzt!
-> 1. System scannen, 2. Fund anzeigen, 3. Ergebnisse beheben
-> Dadruch werden die Scann-Ergebnisse in Quarantäne verschoben.
Aber bei jedem nächsten Scann ist eben dieser genannte Trojaner wieder im Scann-Ergebnis aufgelistet!

Vielen Dank für die genaue Beschreibung bzgl. Sceenshot! Ich habe aber keine "Win-Tastatur", sondern ein IBM Laptop.... Ich werde einen Weg finden! :)
Das Snipping Tool habe ich inzwischen schon auf meine Menü-Leiste gesetzt!

Nein, bis jetzt noch nicht!
Wie gesagt, ich habe so wenig wie möglich verändert, seit ich mich an Euch gewendet habe!
Außerdem ich habe ich inzwischen so viele verschiedene Adobe-Versionen gedownloadet...
Ich werde jetzt mal ALLE deinstallieren und dann nur eines aktuell downloaden!


Übrigens, hat mir Sypbot nach meinen letzten beiden Scanns einen Container voll mit CAB-Dateien auf den Desktop gestellt! Kann ich die einfach wieder löschen? Oder sind die wichtig?

Vielen Dank!!!:)
Grüße, Nina

Hallo Sandra!

OK, sieht so aus, als würde das mit dem Screenshot Anhang endlich klappen!:

Anhang 66804

Beinhaltet dieses Bild die Infos, die Du brauchst?


Außerdem traue ich mich jetzt doch nicht einfach ALLE Adobe zu deinstallieren! Hier noch ein Screenshot von denen, die ich upgeloadet habe:

Anhang 66805

Kannst Du mir bitte sagen, welche ich davon deinstallieren kann und welche echt "oldschool" sind! :)

Vielen Dank & viele Grüße,
Nina

Hallo Nina,

danke für den Screenshot, leider erkenne ich auch hier nicht die CLSID (das ist das, was hinter dem /Interface in den Klammern {} steht, dann würd ich dir das eben manuell rauslöschen.

Die Adobe-Versionen sind alle aktuell, kannst du so lassen :)

Hallo Sandra!
Bitte entschuldige, dass ich mich die Tage nicht gemeldet habe! Leider habe ich zZ extrem viel andere super wichtige Dinge zu regeln!
Und aus meiner "händischen Notiz" kannst Du diesen CLSID Code nicht herauslesen?
Wenn Du das hier nicht raus lesen kannst, habe ich noch eine Idee bzgl. dem Screenshot, aber das versuche ich heute nicht mehr! Ich hoffe Du kannst es mir verzeihen! Ich melde mich wieder die Tage!!!
Vielen 1000 Dank nochmal für die viele Hilfe bis jetzt!!!!!!!
Viele Grüße, Nina
Danke für die Info bzgl. dem Adope! Die CAP-Container von Spybot Team habe ich inzwischen von meinem Desktop entfernt und gelöscht!

Hallo Nina,

Vollkommen in Ordnung, trotzdem vielen Dank für die Info.

Jein, ich ahne, dass es {FC856072-9CC4-4B33-8EBA-F62224A62A59} sein könnte. Deine hat allerdings ein Leerzeichen, was dort nicht hingehört und es fehlt eine 2 im letzten CLSID-Segment, von daher ist das immer etwas risikobehaftet. :)
Ich werd den Schlüssel mal ansehen

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hallo,

ich habe schon länger keine Antwort mehr von Dir erhalten. Benötigst Du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von Dir höre, gehe ich davon aus, dass sich das Thema erledigt hat wenn du weiter machen möchtest schicke mir bitte eine PN

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hallo Sandra,
bitte entschuldige, dass ich schon wieder keine Zeit hatte mich zu melden!
Ich kümmere mich heute Abend darum, um so vorzugehen, wie Du es mir in Deiner letzten Mail nahegelegt hattest!
Vielen Dank für Deine Nachfrage!!!
Viele Grüße, Nina

Hallo Nina,

alles klar :). Danke für deine Rückmeldung.

Guten Morgen Sandra,
gestern nicht, aber heute:

Ich hoffe das bringt Dich und uns wieder weiter! ;)
Vielen Dank & LG, Nina

Hallo Nina,

ja, das ist ein Ansatz, damit können wir arbeiten :)

Scan mit SystemLook

Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :regfind
754F0533-4EA1-4A6A-B9C3-2D2BFBED9C69

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Hallo Sandra,
ich bin doch immer wieder sehr überrascht, was diese IT-Welt noch so alles in petto hat! ;)
Hier das Ergebnis von dem SystemLook.exe scann:

Ich freue mich auf Weiteres!
VG, Nina

Hallo Nina,

das sieht sehr nach einem false-positiv von Spybot aus. Hast du da die Möglichkeit Ausnahmen zu setzen?

Ich würd jetzt gerne noch einmal ein komplett neues Log von FRST sehen, um einen aktuellen Blick aufs System zu haben.

Schritt 1
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Sandra,
ok, ier die FRST.txt:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Addition.txt finde ich grad irgendwie nicht. Bzw. zeigt der mir dafür Verschiedenes an, was gut daran liegen kann, daß ich noch die ganzen alten Ergebnisse (von meinem ersten FRST Scan aufgehoben habe!
Diesbezüglich melde ich mich später nochmal!
Viele Grüße, Nina

Hallo Sandra!
Wow! Mir platzt echt blad der Kopf! :confused:
Es tut mir, mal wieder, total leid, dass ich mich so anstelle! Also den FRST.txt hatte ich ja schon gepostet. Allerdings habe ich keine Ahnung wo der Addition.txt hin ist! Fakt ist: Zutreffende Datei ist nicht zu finden.
Ich habe dann nochmal einen Scan über FRST gemacht und diesesmal das Kästchen Addition.txt dazu angeklickt. (Obwohl ich damit Deinen Hinweis: "ungefragt keine zusätzlichen Kästchen anklicken" nicht befolge :daumenrunter:)
Jetzt habe ich noch mehr Ergebnisse und noch weniger Plan was ich damit anfangen soll/kann. Alles posten? :wtf:War es ein grober Fehler von mir FRST Scan mit zustätzlich angelicktem Feld zu starten? Ich höre jetzt mal auf herum zu doktern, weil ich ja doch LEIDER keine Ahnung habe!
Ich freue mich auf Weiteres von Dir!
Vielen Dank schon mal im Voraus!
MfG, Nina

Hallo Nina,

nein das war kein grober Fehler, das war sehr richtig :)
Schau mal, ob du hier C:\Users\IBM\Downloads eine addition.txt findest mit dem Datum 06.06.2014 und poste mir das.
Dein Log sieht aber soweit gut aus. :)

Hallo Sandra!
WOW! Du bist so gut!!! Gesucht, gefunden und gepostet! ;):
addition.txt Numero uno:
FRST Additions Logfile:
addition.txt Numero due:
--- --- ---


Ich habe mal sicherheitshalber beide gepostet. Ich mache zwar dank Dir inzwischen scheinbar Fortschritte, aber wirklich kapieren.... Naja! :D

1000 Dank soweit & schöne Pfingstfeiertage!
Viele Grüße, Nina

Hallo Sandra!
Jetzt bin ich wieder da und bereit für die nächsten Schritte!
Viele Grüße, Nina

Hallo Nina,

sorry für die Verzögerung und vielen Dank für deine bisherige gute Mitarbeit :)

Die Logs sehen soweit gut aus, konntest du Spybot von der Ausnahme überzeuge?


OK
So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.

Schritt 1

Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren.
Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen.

Schritt 2
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Falls nach Delfix noch Programme aus unserer Bereinigung vorhanden sein sollten, kannst du diese nun bedenkenlos löschen.

Updates / Programme aktualisieren

• Shockwave Player

Lade dir von hier den Shockwave Player herunter, schaue beim Herunterladen und Installieren, ob sich gegebenenfalls etwas anderes mitinstallieren, deine Suchmaschine oder deine Hompage verändern möchte und wähle dies ab.

Bitte auch mal die Aktualität von Firefox überprüfen

• Firefox

Dein Firefox ist veraltet, gehe im Firefox auf

• Hilfe
• Über Firefox - nun sollte Firefox nach updates suchen, lasse es herunterladen und installiere es, falls es nicht automatisch geschieht

Alternativ:
Lade dir bitte von hier den aktuellen Firefox herunter.

Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.

Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.

Antivirensoftware

• Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.

Zusätzlicher Schutz

• MalwareBytes Anti-Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
  Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu die Datenträgerbereinigung von Windows.
Windows Vista

• Klicke unten links auf das Vistasymbol
• Gehe auf Programme -> Zubehör -> Systemprogramme -> Datenträgerbereinigung
• Wähle nun Dateien von allen Benutzern des Computers aus und bestätige mit OK
• Setze den Haken bei den zu löschenden Dateien zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Windows 7

• Gehe auf das Windowsstartsymbol
• Gebe im Suchfeld Datenträgerrereinigung ein
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK

Windows 8

• Rechtsklicke in die untere linke Ecke deines Bildschirms
• Klicke auf Suchen
• Klicke auf Einstellungen
• Gebe im Suchfeld Datenträgerbereinigung ein
• Klicke in den Einstellungen auf der linken Seite nun auf Speicherplatz durch Löschen nicht erforderlicher Dateien freigeben
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.

Verhaltensregeln zum sichereren Surfen

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
• Achte besonders bei der Installation von Programmen darauf, ob sich weitere Software mitinstallieren möchte, wähle wo immer es geht die benutzerdefinierte Installation und wähle alles ab, was nichts mit dem Programm zu tun hat, welches du dir installieren möchtest.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind.

Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.

Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.

Hallo Sandra,
"Verzögerung"? --> Kein Problem! Ich bin da ja keinen Deut besser! ;-)

VIELEN DANK für die SUPER geduldige und ausführiche Hilfe bis jetzt!!!!!!!!!!!

Das klingt ja gut, dass der "Bösewicht" jetzt endlich verjagt ist!
Ich werde mich jetzt an die von Dir beschriebenen Aufgaben machen und meld mich "nach getaner Arbeit"!

Viele Grüße, Nina

Hallo Nina,

alles klar. :)

Hallo Sandra,

schon wieder gehen die Tage ins Land und eine Katrasrophe jagt die nächste....

Aber endlich konnte ich mir mal wieder Zeit für meinen Computer nehmen!
Bei meinem letzten Ansatz bin ich irgendwie nicht fertig geworden! -> ????? <-
Heute sieht das schon besser aus.

Ich habe inzwischen Schritt für Schritt das von Dir beschriebene weitere Vorgehen
durchgeführt.

Jetzt läuft grade MBAM. Gestern beim Check mit Spybot S&D hatte der den "alten Bekannten" noch immer angezeigt.

Merkwürdig finde ich, dass zZ mein Laptop häufig meldet, dass nicht genügend Arbeitspeicher vorhanden sei und dessehalb sicherheitshalber Programme geschlossen werden sollten, um den Verlust von Daten zu vermeiden.
Und das wenn ich eh nicht mehr als maximal 2 Fenster geöffnet habe! und nicht mal was Besonderes!

Jetzt "sehn wa mal", was MBAM so berichtet und dann überlege ich weiter!
Notfalls müsste ich Dir doch den genauen "{ }-Inhalt" notieren.

Meine Dankes und Lobeshymnen kommen noch!!!
Da kannst Du Dir ABSOLUT SICHER SEIN!:)

Viele Grüße, Nina

Hallo Nina,

wir haben den ja auch nicht gelöscht... deshalb meckert Spybot da rum, kannst du da Ausnahmen setzen?

Hallo Sandra,

nach dem System-Scan wird bei meinem Spybot nicht automatisch Immunisiert.
Zuest folgt die Möglichkeit "Ausgewähltes beheben" (Alles Gefundene ist mit einem Haken versehen).
Erst nach diesem Schritt gehe ich über die Startseite von Spybot zum Immunisieren über.
Ich denke dass dadurch das zuvor "Behobene" mit in den Immunisierungs-Prozess genommen wird.

Ich könnte also zuvor das Häkchen bei dem Trojaner entferen, so daß dieser nicht mit "behoben" wird (was scheinbar bisher je erfolglos war).

Setzte ich so eine Ausnahme?

Bin ich da bisher überhaupt richtig vorgegangen?!??? :confused:

Ich freue mich, wie immer auf Deine Antwort!

Viele Grüße, Nina

Hallo Nina,

nein du musst die Ausnahme unter Einstellungen hinzufügen.

Guck mal dort unter erweiterter Modus - Einstellungen
http://www.trojaner-board.de/63106-s...tml#post386650

Guten Morgen Sandra,

OK, den Menüpunkt "Ausnahmenliste" habe ich bei Einstellungen gefunden.
Und nu?
Bitte schreibe mir, was ich in diese Liste eingeben soll und wie ich am besten weiter verfahre!
:)
Vielen 1000 Dank! Nina

Hallo Nina,
dort musst du nun den Registrierungsschlüssel der immer wieder gefunden wird und nicht gelöscht wird als Ausnahme unter Einzelausnahmen setzen

Hallo Sandra,

also hier wird es immer "bunter"!

Ich habe alles so gemacht, wie von Dir beschrieben....alles super.....
Bis auf dass jetzt mein PC, bzw. die Firefox Verbindung andauernt abstürzt!:killpc:
Ich dachte vielleicht ist das kleine Laptop etwas überfordert?
Also sicherheitshalber mal wieder einen malware-check. Dieser konnte garnicht zuende geführt werden, da nach ca. 30 sec.: Error 2018, oder 2.
Beim Check mit Spybot S & D ist die Verbindung wärend des Suchlaufs auch immer wieder unterbrochen!
Was ist denn jetzt wieder los?:eek:

Alles nochmal von vorne? Habe ich jetzt hier den nächsten Trojaner on board?:heulen:

I am SO SORRY! Aber ich weiss ja leider nicht, was jetzt wieder los ist!
VG, Nina

_____________________________________________________________________________________


Also jetzt habe jetzt ein bischen herum geschaut und scheinbar ist der Arbeitsspeicher meines Laptop wirklich, warum auch immer, etwas zu überfüllt.

Wenn ich also jetzt so ein paar Programme lösche, sollte das gut überlegt sein! :-)

Darum jetzt meine Frage:
Wenn ich das "Microsoft visual cc redistributable 2010" drauf habe, brauche ich dann auch noch die "Microsoft visual cc redistributable 2005" und 2 x "Microsoft visual cc redistributable2008"?
Ich frage Dich das, weil ich keine Ahnung habe wofür man diese nun wieder braucht!

Vielen Dank im Voraus und im Nachhinein und überhaupt!!!!

Nina

Viele Grüße, Nina