Folgen nach Löschung von AV Security - Keine Themenerstellung auf trojaner board möglich
 

Hallo liebe Helfer,

ich wurde vor wenigen Tagen von AV Security befallen. Ich habe das Programm nach der beschriebenen Vorgehensweise hier im Board versucht zu löschen. Was auch geklappt hat. Nun gibt es einige weitere Probleme (Fenster öffnen sich automatisch im Firefox, google verlinkt auf schädliche Seiten).

Das schlimmste ist, dass ich nicht von dem betroffenen Rechner hier im Forum ein Thema über AV Sercurity erstellen kann. :koch: Wenn ich nur test schreibe geht es; sobald ich jedoch mein detailiertes Anliegen über AV Security posten möchte, geht gar nichts mehr. Bei Firefox wird die "Verbindung unterbrochen", google chrom meldet "Fehler 101 (net ERR_CONNECTION_RESET): Unbekannter Fehler und über den Internetexplorer komme ich überhaupt nicht mehr ins Netz, da eine Seite geladen wird und AntiVir erkennt sofort Viren.

Nun ist die Frage inwieweit es Sinn macht über einen anderen Rechner das Problem zu behandeln, da ich ja einige Dateien zur Bearbeitung auch auf diesem Rechner transferieren müsste (Logfiles etc.). Möchte nicht auch noch diesen Rechner infizieren.

Freue mich über Hilfe!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Gehe mit dem infizierten Rechner in diesen Thread

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Vielen Dank für Deine Hilfe!

Ich habe nun alle Schritte abgearbeitet. Malewarebytes hat keine Probleme festgestellt. Bei Schritt 4 ist beim Ausführen des Scannvorgangs von Gmer.exe ein Fehler aufgetreten und der Rechner wurde neu gestartet. Auch ein 2. Versuch brachte keine Besserung. AntiVir war wie beschrieben deaktiviert.

Hier die Dokumente 1. Zitat OTL.Txt 2. Zitat scan.txt (statt einer Extra.txt Datei wurde eine Scan.txt Datei erstellt) 3. Zitat Malewarebytes Logdatei:

OTL Logfile:
--- --- ---

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte poste in Deiner nächsten Antwort
ComboFix.txt

Anbei der Text :kaffee::

Combofix Logfile:
--- --- ---

Zu meiner Schande muss ich gestehen, dass ich eine Word-Datei auf dem Desktop löschen musste, weil er fast voll ist. Sorry

Wer ist fast voll ?


Schritt 1

Nutzt du Symantec noch. Wenn nein,

verwende das Norton Removal Tool


Schritt 2

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Hinweis für Mitleser:
Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
Combofix.txt
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

So Daniel,

hier die Dateien:

Combofix Logfile:
Combofix Logfile:
--- --- ---

--- --- ---
Combofix Logfile:
--- --- ---


OTL EXTRAS Logfile:
--- --- ---
Jetzt konnte ich auch die Dateien von dem betroffenen Rechner hier hochladen!

Der neue Internetexplorer funktioniert zunächst auch ohne Fehler und Virenmeldungen!
An dieser Stelle schon mal ganz herzlichen Dank für Deine Hilfe!

Ich hoffe das System bleibt stabil und ich kann meine Daten bald wieder sichern.

Muss ich noch weitere Schritte vornehmen?

Mir fehlt noch die OTL.txt

Ups, da ist der Text: OTL Logfile:
--- --- ---

Schritt 1

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Setze einen Hacken bei http://img25.imageshack.us/img25/6167/unbenanntgtd.jpg und drücke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Berichte wie der Rechner läuft

Habe nun die Anweisungen abgearbeitet. Insgesamt wurden keine Fehler gefunden. Leider ist im Ordner :\Programme\Eset\EsetOnlineScanner\ kein log.txt zu finden.

Nur folgende Dateien:

OnlineScanner.ocx
OnlineScannerApp.exe
OnlineScannerUninstall.exe

Zudem hat vor dem Scannen AntiVir (beim Scannen war AntiVir aus) folgenden Fund festegestellt:

In der Datei 'C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP279\A0043274.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Der Fund belastet uns mal nicht. Noch Probleme ?

Bisher sind keine Probleme erkennbar.

Also soll ich nun auch C:\Programme\Eset in den Papierkorb verschieben und Leeren?

Ein Problem ist nun wieder aufgetreten. Ich hatte in einer Firefoxsitzung 2 Tabs offen. Nun wurden automatisch 2 Sitzungen gestartet mit jedem Tab einzeln.

Im Firefox auf Extras --> Einstellungen --> Tabs
Setze einen Hacken bei: statt neuen fenster neuen Tab öffnen.

Ok, FF neu starten

Berichte bitte

Also der Hacken war bereits gesetzt. Hab trotzdem nochmal OK bestätigt und neu gestartet. Bisher keine Probleme.

Außerdem sehe ich seit dem Befall immer die geöffneten Dateien doppelt mit einem ~ davor. Verändert habe ich selbst jedoch nichts.

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 2

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 3

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 4

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 5

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 6

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Also zunächst ganz herzlichen Dank für Deine Hilfe! Manchmal wäre es aber schön, wenn Du auch auf meine Fragen eingehst. Ich habe nun soweit alles abgearbeitet und werde heute und morgen/Zukunft noch Schritt 5 und 6 beherzigen.

Leider öffnen sich ab und an dennoch die Tabs in einem neuen Fenster automatisch. Schädliche Seiten werden bisher aber nicht geöffnet. Anbei der Java Text:

Also Danke für Deine Hilfe! Ob alles passt werde ich sicher erst in einigen Tagen beurteilen können. Würde mich dann nochmal melden, aber ich hoffe es wird nicht notwendig sein :dankeschoen:

Ne das hab ich nicht gesehen. Tut leid, aber ich hab nicht immer die Zeit auf jede Frage zu 100% einzugehen. dazu ist gerade zuviel los

Falls noch vorhanden, lösche die vorhandene Version

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok. Soll ich dann den gesamten Weg, der hinter mir liegt nochmal wiederholen oder lässt sich da was abkürzen? Wäre ja der Wahnsinn.:balla: Im Moment scheint alles zu passen. Auch Ein Vollscann von AntiVir brachte keine Meldungen mehr.

Als ich Fragte alle I.O sagtes Du ja, auf einmal
So kann ich dich nicht weg lassen.

Es öffneten sich in dem Fall keine neuen Seiten, sondern eine bestehende wurde automatisch in ein neues Fester geöffnet. Bisher passiert auch das nicht mehr. Wenn ich "nur" Combofix durchlaufen muss, wäre das ja nicht so viel Aufwand. Meine Frage ist, ob sich dann alles weitere wiederholen muss, oder nicht.

Also gestern lief über min. 4 Stunden alles ohne Probleme und auch heute bisher keine Probleme.

Dann bist Du entlassen

Also besten Dank nochmal! Falls sich was ändern sollte, werde ich mich melden :party:

Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.

Wie meintest Du das, dass du kein Thema eröffnen kannst ? :confused:


Gehen wir graben.

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Entferne rechts den Haken bei
  
  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 2

Downloade OTS.exe und speichere es unbedingt auf Deinem Desktop. Doppelklick auf die OTS.exe
Wenn Dein Anti-Viren-Programm bei OTS Meldung macht, erlaube es.

• Mache einen Haken bei "Scan All Users und Include MD5".
• Kopiere folgenden Text in die http://img695.imageshack.us/img695/918/customscan.jpg Box.
  
  Code:

  ---

  %SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

  ---

• Unter der http://img268.imageshack.us/img268/8083/additional.jpg Box klicke auf den http://img823.imageshack.us/img823/9514/extrasb.jpg Button.
  Hake nun folgende Einträge an:
  
  
  • Reg- Active Sub Paths
  • App Paths
  • Approved Shell Extensions
  • Disabled MS Config Items
  • Drivers32
  • NetSvcs
  • File Lop Check
  • File Purity Check

  Mache währenddessen nichts anderes an dem Rechner.
  Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile.
  Auch zu finden auf dem Desktop ( OTS.txt )

• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den http://img689.imageshack.us/img689/4333/runscan.jpg links oben, um die Untersuchung zu starten

Hänge diese Log bitte hier an, die ist nicht gerade kurz.


Bitte poste in Deiner nächsten Antwort
Gmer.txt
OTS.txt (angehängt)

Ich verstehe das nicht ganz. Bei den Feldern sind nur englische Begriffe. Wo soll ich den Hacken setzen und wo nicht? Hilf mir mal auf die Sprünge.

entferne den hacken von hier und lass laufen
IAT/EAT

Also das Scannen hat über 7 Stunden gedauert. Wahnsinn. Der Log-Text ist im Anhang.

Nun kommt beim Öffen von Word folgende Meldung:

"Beim Öffnen des Add-Ins "send to bluetooth" ist zuletzt ein schwerer Fehler in Word aufgetreten. Möchten Sie diesen Add-In deaktivieren?
Um das Add-In zu reaktivieren, klicken Sie im Menü Hilfe auf Info und dann auf deaktivierte Elemente. Ja Nein "

Was soll ich hier zunächst tun?

"Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 329,2 KB groß." Für ein Zitat ist der Text auch zu groß.

Bei dem Link OTS.exe kommt folgendes: 403 Forbidden
Access to this resource on the server is denied!

Lade die Logfile bitte bei File-Upload.net hoch und poste mir den Downloadlink.

Geeks to Go ist derzeit offline :o

Bitte downloade Dir OTL von http://www.itxassociates.com/OT-Tools/OTL.exe

CustomScan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hier der Link: hxxp://www.file-upload.net/download-2690736/Gmer.txt.html Rest kommt noch!

Ok.Hier die anderen Sachen OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---
Falls ich noch irgendwo einen Hacken machen sollte, lass es mich bitte wissen.

Warum ist die Systemwiederherstellung deaktiviert ?

Führe bitte mit http://www.trojaner-board.de/59299-a...eb-cureit.html einen QuickScan durch

Ich hab keine Ahnung. Hier die Datei. Es gab 2 Funde:

Wie läuft der Rechner ?

Also im Moment gibt es keine Klickgeräusche mehr oder Fehler im IE. Firefox läuft auch, nur ab und an öffnet sich dennoch eine bestehende Seite im neuen Fenster.

Außerdem habe ich in meinem persönlichen Ordner C:\Dokumente und Einstellungen\*** 2 neue Ordner mit den Namen .jenny und .jorden entdeckt. Sie sind leer. Ich habe die Ordner nicht erstellt.Bei den Eigenschaften steht: Erstellt: Gestern, 23. Juli 2010, 15:27:39 . Der Ordner .jenny ist leer in .jorden ist eine Datei permList_52F659959F12002E41008AA43C2E9EBC und ein Ordner "image-provider" mit der Datei "plugin".

Downloade dir bitte GooredFix.exe auf Deinem Desktop.

• Schliesse bitte alle laufenden Programme inklusive Browser.
• Doppelklick auf die .exe
  Vista User: Mit Rechtsklick "als Administrator starten".
• Wenn der Scan beendet wurde, erstellt das Tool eine GooredLog.
  Diese ist auch auf Deinem Desktop zu finden.

Poste mir bitte den Inhalt der GooredLog.txt

Das ging in 3 Sekunden :eek:

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat, poste mir den Inhalt des Textdokuments.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Ergebnis von Schritt 1:

Ergebnis von Schritt 2:

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"


Schritt 2

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Compact" klicken (Links oben zu finden)
• Ein neuer Tab dürfte sich öffnen.
• Den Inhalt komplett kopieren und hier einfügen

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Zu Schritt 1: Die Datei file.bat bestand bereits aus dem vorherigen Schritt. Ich habe sie daher nun ersetzt. Als ich den Doppelklick nun ausgeführt habe ist die Datei verschwunden. :o

Auch über die Suchfunktion hab ich sie nicht gefunden.

Das schon okay so ;)

Zu Schritt 2: Den Button Compact kann ich nicht finden. Es wurde folgendes Ergebnis signalisiert: Datei plugin.xml empfangen 2010.07.25 11:06:05 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/42 (0%)

weitere Informationen
File size: 1316 bytes
MD5...: 1b0841333f0c17809987b6d5f4fc1eca
SHA1..: c537eb6bb1bd5a322afa6e650a53833de0e58e33
SHA256: 332e73d35f78d4c5e9cb20d0d36fb7e0a846d4c4c0733c8dbb4aa569824ea8de
ssdeep: 24:2ddGMStfBtoIg9UeQ8uFxR89fwzVRd98sq0nQ50To9irx08TTo9VrWz0Kn:cd
nMfg3DuFxMmVRb8R0Q50Tq408TTqwp
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: file seems to be plain text/ASCII (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Grundreinigung mit SUPERAntiSpyware

• Bitte lade Dir SUPERAntiSpyware FREE Edition herunter.
• Das Programm ist geeignet für: Windows 98, 98SE, ME, 2000, 2003, XP und Vista.
• Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
• Eine bebilderte Anleitung findest Du hier.
• Schließe alle Anwendungen inkl. Browser.
• Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
• Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
• Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
• Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
• Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
• Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
• Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
• Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
• Bitte kopiere diesen Bericht hier in den Thread.

Schritt 2

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Ok. Ich muss jetzt leider erstmal weg. Werde heute Abend weiter machen. Danke und bis später!

So. Zu Schritt 1 hier die Logdatei:

Zu Schritt 2. Ich bin mir nicht ganz sicher, ob es auch der richtige Text ist, weil ich versehentlich den Bereich "critical areas" angeklickt hatte statt mein Computer. Werde nochmal scannen. Hier erstmal der Bericht.

ja müss ma wohl :)
Den kritischen Bereich hab ich schon in den restlichen Logs gesehen

Bidde, da ist der Text

Sieht alles gut aus. Jetzt seh ich mir nochmal 2 OTL Logs an und dann solltes es das gewesen sein. Ausser du hast immernoch Probleme

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

Hier die Logs. Evtl. liegt es auch an meiner Ungeschicktheit am Laptop, dass sich manchmal bestehende Seiten in einem seperaten Fenster öffnen. Ich weiß nur nicht, wie das geht bzw. was ich falsch mache. Ist mir auf einem anderen Rechner auch gestern passiert. OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Noch Fragen ?

Ja es gibt eine Tastenkombination wo sich ne Seite öffnet. Passiert mir auch ab und an, aber welche das ist kann ich auch nicht sagen :D


Sollte dir das erneut passieren, schicke mir den Link mal via PN :)

Habe soweit erstmal keine Fragen. Also an der Stelle nochmal besten Dank! Ich werde die nächsten Tage sehen, ob nun alles klappt. Wünsch Dir was!

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.

==========================================

Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.