Trojaner TR/Crypt.ZPACK.gen in C:/WINDOWS/TEMP/xxxx.temp/svchost.exe
 

Hallo liebe Helfer des Trojaner-Boards!

Habe mir wie einige andere hier auch den oben genannten, offensichtlich sehr hartnäckigen Trojaner eingefangen und hoffe, dass ihr auch mir helfen könnt!

Habe zunächst recherchiert und einiges gefunden (z.B hier oder im avira-Forum), jedoch kommen bei allen Hilfestellungen Programme zum Einsatz, bei denen ausdrücklich nur der Einsatz nach Expertenhinweis empfohlen wird. Da ich doch ein ziemlicher Laie auf diesem Gebiet bin, erhoffe ich mir eure Hilfe. Ich habe alle Anleitungen aufmerksam gelesen und hoffe ich mache nun alles richtig!

Was ist passiert:
Meldung AntiVir - Trojaner wie oben - Zugriff verweigert
weitere Meldung - Zugriff verweigert
im Firefox öffnet sich eigenständig ein neuer Tab mit einem wohl gefakten Windows-Sicherheitscenter auf Englisch und will einen Virenscanner starten, lässt sich nicht schließen und auf Firefox lässt sich nicht zugreifen
ich trenne Internetkabel
Fenster lassen sich nicht schließen - starte PC neu - Systemprüfung mit Antivir - kein Fund
später weitere Prüfung mit vom Avira-Forum empfohlenen Einstellungen - kein Fund
sobald ich Internet wieder anschließe kommt nach einiger Zeit auch wieder ein Antivir Fund wie oben und der Fake öffnet sich wieder selbstständig

Antivir Prüfung im abgesicherten Modus -kein Fund

Win Future XP SP3 Update Pack 3.21 (Voll) installiert um mögliche Sicherheitslücken zu schließen

CCleaner durchgeführt

Malwarebytes 1 infiziertes Ojekt gelöscht - seitdem kommt die Fakeseite nicht mehr, allerdings alle paar Minuten immer wieder die Fundmeldung von Antivir in jeweils einem anderen temporären Ordner - ohne Internet keine Meldungen mehr

RSIT durchgeführt

hier die Logfiles

falls ich was vergessen habe, bitte melden

Hallo und :hallo:

Mach bitte einen Vollscan mit malwarebytes und poste das Logfile. Bitte auch OSAM sowie GMER und OTL ausführen und alle Logs posten.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne!

Vielen Dank schon mal für deine Hilfe!

Vollscan mit Malwarebytes abgeschlossen, die anderen folgen bald...

so nun das Ergebnis von OSAM

Report of OSAM: Autorun Manager v5.0.11926.0
h**p://www.online-solutions.ru/en/
Saved at 22:51:48 on 25.04.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.3

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"alsndmgr.cpl" - ? - C:\WINDOWS\system32\alsndmgr.cpl (File signed by Microsoft | File found, but it contains no detailed information)
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis TrueImage Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis TrueImage FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found)
{FCF608CF-5716-47C3-A1A8-991D873AF72B} "Delphi Context Menu Shell Extension Example" - ? - C:\Programme\Exifer\exifershellext.dll (File found, but it contains no detailed information)
{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll
{463e6ce0-ade4-11d1-bb29-00c0f022239b} "ThumbsPlus" - "Cerious Software, Inc." - C:\Programme\ThumbsPlus2002\cswshlex.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_15.dll / h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{A93C41D8-01F8-4F8B-B14C-DE20B117E636} "HP Intelligente Auswahl" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
{E763472E-A716-4CD9-89BD-DBDA6122F741} "HP Sammelmappe" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{053F9267-DC04-4294-A72C-58F732D338C0} "HP Print Clips" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
{0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists)
"Utility Tray.lnk" - "Silicon Integrated Systems Corporation" - C:\WINDOWS\system32\sistray.exe (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Frau Albers\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"QuickGammaLoader" - "Eberhard Werle" - C:\Programme\QuickGamma\QuickGammaLoader.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Acronis*True*Image Monitor" - "Acronis" - "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"HP Software Update" - "Hewlett-Packard Co." - C:\Programme\HP\HP Software Update\HPWuSchd2.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"SiSPower" - "Silicon Integrated Systems Corporation" - Rundll32.exe SiSPower.dll,ModeAgent
"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
"hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZinw12.dll
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\system32\HPZipm12.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru

nun das Ergebnis von GMER

und nun noch OTL

Jetzt gehts erstmal mit CF weiter:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so Combofix ist fertig:

beim Scan hat der allerdings Rootkitaktivitäten (o.ä.) gefunden und ist mittendrin neugestartet. AntiVir hatte ich nach der Anleitung des Leitfadens/Tutoriums abgeschaltet, aber nach dem Neustart war der wieder an, so dass der ständig TR/Spy.Gen in immer derselben Datei gefunden hat. Ich habe Zugriff verweigern lassen. 2mal hat er Combo gemeldet, das habe ich aber ignorieren lassen. Ich hoffe das Ergebnis ist dadurch nicht verfälscht. Ansonsten wäre eine Anleitung nicht schlecht wie ich Antivir vorübergehend auch für den Neustart abschalte!

Vielen Dank nochmal (auch wenn ich mich wiederhole - das ist für mich nicht selbstverständlich!)

LG Stephanie

Ok. Das mti AntiVir ist leider so eine Sache, ich kenn keine Möglichkeit, den Guard dauerhaft zu deaktivieren. Am besten bei solchen Bereinigungsgeschichten beim Neustart von Windows alle etwaigen Meldungen erlauben. In ganz harten Fällen muss man den Virenscanner vorher deinstallieren.

Bitte jetzt mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

9.) Logs mit GMER und OSAM erstellen und posten

Da werde ich mich dann mal direkt ran machen.

Eine Frage habe ich noch. Bin bei meinen Anfangsrecherchen schon über Avenger gestoplert und da wurde geschrieben, dass die backup.zip am Ende gelöscht werden soll. Kann ich die von dem upload.net später wieder runter nehmen?[B]edit[B]: gefunden!!!geht! Ich habe auch so fast gar keine Ahnung was hier alle passiert. Scheint aber wohl was Schlimmeres zu sein. Vllt kannst du mir bei Gelegenheit nochmal verraten was es ist/sein könnte und wie ich vermeide, mir das nochmal einzufangen. Das wäre wirklich super! Danke!

so Avenger ist durch:

Allerdings ist das Internet jetzt sehr, sehr langsam. Mehrfach wurde die Netzwerkzeit überschritten bis ich endlich bis zur Antwortseite gelangt bin. Auf dem Laptop geht alles wie gewohnt ratzfatz. Wollte ich nur erwähnen falls das wichtig ist!

Lasse jetzt die anderen beiden Programme durchlaufen!

Backuplink: h**p://www.file-upload.net/download-2470242/backup.zip.html

Ok. Zur Kontrolle bitte frische Logs mit OTL und GMER erstellen.

hier zunächst OSAM und in Anhang ein frisches GMER, OTL lasse ich nun folgen...

Ist das nicht dasselbe GMER-Log wie von vorher?

Mist falsche Datei erwischt!:headbang:

Hier auch gleich die OTL Logfiles

Eine Datei stört mich da noch...

Fix das mal bitte mit OSAM.

so das ganz aktuelle OSAM. Diese Datei hatte Antivir gestern auch ständig gemeldet, aber nach Avenger kam keine Meldung mehr.

Hast Du das Teil nicht gefixt? Ist immer noch da... :balla:

So richtig kann ich aus dem letzten GMER auch das nicht zuordnen => tgmvyy.sys
Die wird im nächsten GMER Log aber wahrscheinlich wieder anders heißen oder garnicht mehr da sein :mad:

Was muss ich denn machen, um das zu fixen? Habe einfach wieder die Anleitung befolgt!

Meinst du mit fixen das "Einträge deaktivieren"?

Ja, mit OSAM nach Anleitung eben...aber der Eintrag war immer noch oder schon wieder da. Prüf das mal ob der immer noch zu sehen ist. ("youja_" - ? - youja_.dll (File not found) )

Hallo Arne,

so habe jetzt die komplette Anleitung durchgearbeitet - bis auf Punkt 6, der folgt noch...

beim 1ten Run war der Eintrag noch da
dann habe ich die Settings eingestellt usw. reboot und osam neu gestartet. Dabei hat er ein Feld aufgemacht (das man nicht kopieren konnte) mit einem grünen Haken neben dem Eintrag/Datei. Diese konnte ich kopieren:
(Success) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\youja_ youja_ youja_.dll

Dann hat er automatisch den Suchlauf gestartet bis zur online-Geschichte, da sagte er dann failed. Man konnte es dann nur schließen.

Dann habe ich ihn nochmal gestartet und das kam bei raus.
Jetzt mache ich dann Teil 6, wenn das so alles richtig war!?

Ja, das war schon soweit richtig, der Eintrag ist schon mal auf (disabled) gesetzt, also nicht mehr aktiv. Jetzt nur noch mit (delete from storage) den Eintrag komplett löschen.

Da bin ich ja froh, dass das richtig war! Werde das "delete from..." dann nachher machen und nocheinmal Osam. Antivir hat bisher auch keine Meldungen mehr gemacht!

Nochmal ein dickes Dankeschön zwischendurch!

Ok. Ein frisches GMER Log möchte ich nochmal sehen.

Hallo Arne,

habe nun osam wieder gestartet, dort kam bei der Online -Prüfung wieder der Eintrag:

waiting for server analyse request - failed

dann habe ich wie in der Anleitung die Datei gelöscht, neu gestartet und osam wieder laufen lassen: immer mit dem Ergebnis wie oben (3mal), dann habe ich jetzt erst mal GMER drüber laufen lassen. hier das Ergebnis:

Die OSAM-eigene Analyse bzw. Bewertung kannst Du weglassen, mich intressiert nur das Log.
Das GMER Log sieht gut aus, da taucht auch der hier => tgmvyy.sys bzw. etwas Vergleichabres nicht mehr auf. :)

Das gibt mir Hoffnung. Internet hat auch wieder am PC die normale (lahme) Geschwindigkeit!

Hier das osam log

Auch das sieht gut aus, ich denke wir sind überm Berg (endlich :o) ;)
Hast Du noch Fragen, Probleme oder sonstwie Auffälligkeiten am Rechner?
Die Internet-Geschwindigkeit ist beui Dir noch langsam. Router oder Direktverbindung? Blinkt das Modem bzw. der Router ständig auch wenn Du selbst keine Daten überträgst?

Hallo Arne! Puh!!!! das ist ja super! Ganz, ganz vielen lieben Dank für deine Hilfe!!!!!

Also ich habe Internet über den Kabelanschluss. Der PC ist mit Kabel angeschlossen, der Laptop über WLAN. Da ist die Verbindung super schnell. Ich denke eher, der Computer ist schon zu alt (mind. 5 oder 6 Jahre) und vllt zu zugemüllt. Habe dieses Jahr noch neuen RAM (und mehr) eingebaut, seitdem ist es schon einiges besser. Nur Internet ist nicht so schnell, vor allem bei Flash Geschichten u.ä. hängt er wohl mal. Der aktuelle Player ist aber drauf.

So, auch wenn ich wiederhole: nochmal super lieben Dank! Hat zwar gedauert, aber hauptsache es ist geschafft! Finde es echt toll, dass ihr Laien wie mir helft!

Hast du vllt noch nen Tipp wie ich diesen blöden "alten Griechen" den Zutritt besser versperren kann? Oder war das ein trickreicher? Am WE kommt endlich auch auf dem PC Norton drauf. Das ist etwas besser als Antivir oder?

Liebe Grüße

Stephanie

Bleib bei AntiVir, Du brauchst nicht extra zu bezahlen (ok, mit der Einschränkung, dass das freie AntiVir ausdrücklich nur für reinen Privatgebrauch zulässig ist), da ein Virenscanner eh nicht alles ist. Meiner Meinung nach ist ein ständig im Hintergrund laufender Scanner eher optional und kein Muss.
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Super! Danke für die Tips und deine top- Hilfe!
Kann (und werde) euch nur weiterempfehlen! Und euch unterstützen....

Ciao...Stephanie

Ok, bitte dann mal die Updates prüfen:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Danke für die weiteren Hinweise! Werde mich zügig darum kümmern!

Ein richtiges "Rundumsorglospacket" hier:dankeschoen: