ESET NOD 32 findet Win 32 Mebroot Trojaner
 

Hallo zusammen!

Folgendes Problem: Hatte bis letzte Woche Antivir auf dem Laptop und da kamen immer hunderte von Viruswarnungen. Hab dann unterschiedliche Virenprogramme drauf gemacht (die anderen auch wieder entfernt) und bin zum Schluß bei ESET NOD 32 gelandet, was zur Zeit als Testversion läuft. Jetzt kommt die Meldung über den Fund von Win 32 Mebroot/ Trojaner und ich kann es keine Säuberung durchführen. Es heißt: Die Aktion ist für dieses Objekt nicht vorgesehen. Bei wir in letzter Zeit auch diese Schlachtenmusik im Hintergrund zu hören, wenn ich mit Firefox online war.

Bisher habe ich folgendes gemacht: CCleaner laufen lassen (mehrmals) und mir GMER runtergeladen. Ergebnisse poste ich gleich. Außerdem noch MBR check exe. Bei Gmer war zumindestens nichts weiter als bösartig gemeldet oder markiert. Bei MBR schon. Hoffe, ihr könnt was mit den Daten anfangen.

Vielen Dank im Voraus

GMER:

GMER Logfile:
--- --- ---

So und das ist, was mit MBRcheck rausgekommen ist:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 133):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7B10000 \WINDOWS\system32\KDCOM.DLL
0xF7A20000 \WINDOWS\system32\BOOTVID.dll
0xF75C0000 ACPI.sys
0xF7B12000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF75AF000 pci.sys
0xF7610000 isapnp.sys
0xF7A24000 compbatt.sys
0xF7A28000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BD8000 pciide.sys
0xF7890000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7591000 pcmcia.sys
0xF7620000 MountMgr.sys
0xF7572000 ftdisk.sys
0xF7A2C000 ACPIEC.sys
0xF7BD9000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7898000 PartMgr.sys
0xF7630000 VolSnap.sys
0xF755A000 atapi.sys
0xF7640000 disk.sys
0xF7650000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF753A000 fltmgr.sys
0xF7528000 sr.sys
0xF7660000 PxHelp20.sys
0xF7511000 KSecDD.sys
0xF7484000 Ntfs.sys
0xF7457000 NDIS.sys
0xF7670000 ohci1394.sys
0xF7680000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF743D000 Mup.sys
0xF76A0000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7700000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7ADC000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF729F000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF728B000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7968000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF7267000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7970000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7710000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7978000 \SystemRoot\system32\drivers\iviaspi.sys
0xF7AE0000 \SystemRoot\system32\drivers\pfc.sys
0xF7720000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7730000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7244000 \SystemRoot\system32\DRIVERS\ks.sys
0xF721C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7740000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7980000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF71EE000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7B2E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7988000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF717B000 \SystemRoot\system32\DRIVERS\ar5211.sys
0xF714A000 \SystemRoot\system32\DRIVERS\dne2000.sys
0xF7C7C000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7810000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7B00000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF7133000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7820000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7830000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7A18000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF70FA000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7840000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78D0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78D8000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7850000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B42000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF709C000 \SystemRoot\system32\DRIVERS\update.sys
0xF7408000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7B44000 \SystemRoot\system32\DRIVERS\NBSMI.sys
0xF7860000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF76B0000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF2EA1000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF78E0000 \SystemRoot\System32\Drivers\Modem.SYS
0xF2AA2000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xF2A7E000 \SystemRoot\system32\drivers\portcls.sys
0xF76D0000 \SystemRoot\system32\drivers\drmk.sys
0xF76E0000 \SystemRoot\system32\DRIVERS\Tvs.sys
0xF78E8000 \SystemRoot\system32\DRIVERS\tsxt_kern_i386.sys
0xF78F8000 \SystemRoot\system32\DRIVERS\wowhd_kern_i386.sys
0xF76F0000 \SystemRoot\system32\DRIVERS\csiidecoder_kern_i386.sys
0xF7B50000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7C57000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B52000 \SystemRoot\System32\Drivers\Beep.SYS
0xF2A5F000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF7920000 \SystemRoot\System32\drivers\vga.sys
0xF7B56000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B58000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7928000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7930000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AD0000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF2A2C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF29D3000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF29AB000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2993000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xF296D000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7780000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF294B000 \SystemRoot\System32\drivers\afd.sys
0xF7790000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7940000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2880000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF2810000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF77A0000 \SystemRoot\System32\Drivers\Fips.SYS
0xF77B0000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF2786000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
0xF77F0000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF276E000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B6C000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6FE8000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7950000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7D38000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF049000 \SystemRoot\System32\ati2cqag.dll
0xBF07D000 \SystemRoot\System32\atikvmag.dll
0xBF0B2000 \SystemRoot\System32\ati3duag.dll
0xBF2F4000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF052C000 \SystemRoot\system32\DRIVERS\eamon.sys
0xF0626000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xF061A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF0612000 \SystemRoot\system32\DRIVERS\netdevio.sys
0xF02CF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF0292000 \SystemRoot\system32\drivers\wdmaud.sys
0xF28FB000 \SystemRoot\system32\drivers\sysaudio.sys
0xEFE82000 \??\C:\WINDOWS\system32\Drivers\CVPNDRV.sys
0xEFDF2000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
0xEF80E000 \SystemRoot\System32\Drivers\HTTP.sys
0xF7BCC000 \SystemRoot\system32\DRIVERS\CVirtA.sys
0xEF2CD000 \SystemRoot\system32\DRIVERS\Rtlnicxp.sys
0xEF2B9000 \??\C:\DOKUME~1\Uni\LOKALE~1\Temp\aujasnkj.sys
0xF78F0000 \??\C:\DOKUME~1\Uni\LOKALE~1\Temp\mbr.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
716 C:\WINDOWS\system32\smss.exe
764 csrss.exe
800 C:\WINDOWS\system32\winlogon.exe
844 C:\WINDOWS\system32\services.exe
860 C:\WINDOWS\system32\lsass.exe
1020 C:\WINDOWS\system32\ati2evxx.exe
1036 C:\WINDOWS\system32\svchost.exe
1164 svchost.exe
1284 C:\WINDOWS\system32\svchost.exe
1420 svchost.exe
1576 svchost.exe
1788 C:\WINDOWS\system32\spoolsv.exe
1848 C:\WINDOWS\system32\acs.exe
1972 C:\WINDOWS\system32\ati2evxx.exe
124 svchost.exe
208 C:\WINDOWS\system32\ctfmon.exe
236 C:\WINDOWS\explorer.exe
984 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
1064 C:\WINDOWS\RTHDCPL.exe
1116 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
1220 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1240 C:\WINDOWS\agrsmmsg.exe
1276 C:\Programme\TOSHIBA\TOSHIBA Applet\THotkey.exe
1376 C:\Programme\TOSHIBA\Tvs\TvsTray.exe
1640 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
1700 C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
1836 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
1968 C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
144 C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
220 C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
1464 C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
556 C:\WINDOWS\system32\TPSBattM.exe
572 C:\Programme\Atheros\ACU.exe
580 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
636 C:\Programme\Winamp\winampa.exe
660 C:\Programme\ICQ6Toolbar\ICQ Service.exe
1216 C:\Programme\Java\jre6\bin\jqs.exe
1316 C:\Programme\QuickTime\qttask.exe
1604 C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
1660 C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
1672 C:\Programme\FreePDF_XP\fpassist.exe
1900 C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
520 C:\Programme\Java\jre6\bin\jusched.exe
820 C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
1372 C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
2052 C:\Programme\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
2108 C:\Programme\Messenger\msmsgs.exe
3124 C:\Programme\WinZip\WZQKPICK.EXE
3228 C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe
1084 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2716 alg.exe
4012 C:\WINDOWS\system32\svchost.exe
2860 C:\WINDOWS\system32\wscntfy.exe
3908 C:\Dokumente und Einstellungen\Uni\Lokale Einstellungen\Temp\_AZTMP1_\Exec\gmer.exe
908 C:\Programme\Mozilla Firefox\firefox.exe
3452 C:\Programme\ESTsoft\ALZip\ALZip.exe
2168 C:\Programme\ESTsoft\ALZip\ALZip.exe
732 C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHV2080BH, Rev: 00000028

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: EC71149ED7D5E039022870C82E8B68D641C4F09D


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:


Habt ihr Vorschläge, was ich mache kann?

Danke im Voraus

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig und genau durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Danke für die schnelle Bearbeitung!

Hier OTL.txtOTL Logfile:
--- --- ---

Hiert Extras.txt
OTL EXTRAS Logfile:
--- --- ---

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hat gedauert, aber voila!
Combofix Logfile:
--- --- ---

Schritt 2

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierungen), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Schritt 3

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.


Bitte poste in Deiner nächsten Antwort
MBAM Log
Kaspersky.txt
checkup.txt

So hier mal ein Anfang: Malwarebytes hat nix gefunden, somit konnte ich auch nix löschen. Der Kaspersky Online Scanner führt seit über einer Stunde ein Database upload durch ist das normal? Versuch mich jetzt erst mal an Securtiy Check.


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4414

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

10.08.2010 22:50:39
mbam-log-2010-08-10 (22-50-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164592
Laufzeit: 15 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Kann das mit dem Kaspersky Online Scaner daran liegen, dass der laut Homepage zur Zeit nicht verfügbar ist?

Hier schon mal die Security Check Ergebnis:

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 7 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
ESET NOD32 Antivirus
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
CCleaner
Java(TM) 6 Update 17
Out of date Java installed!
Adobe Flash Player 10.0.32.18
Adobe Reader 9.3 - Deutsch
Mozilla Firefox (3.6.8)
````````````````````````````````
Process Check:
objlist.exe by Laurent
````````````````````````````````
DNS Vulnerability Check:
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````

Hier lest anscheinend wirklich niemand :schmoll:

• F-Secure Onlinescanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
• Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
• Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.

Deinstallation

• Firefox:
  Addon über Extras => F-Secure deinstallieren.
• Internet Explorer:
  mit HJT folgenden Eintrag fixen:
  O16 - DPF: {BDBDE413-7B1C-4V68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3)

Sorry :o

Hab F-Secure Scanner gestartet, der hat allerdings von sich aus schon gesagt, dass das ein paar Stunden dauern kann. Wenn du nicht gleich noch Einspruch erhebst, dann poste ich den log morgen früh.

Hier endlich F-Secure.txt:

Scanbericht


Mittwoch, August 11, 2010 16:06:56 - 19:29:45

Name des Computers: PLATSCH
Scantyp: Scansystem für Malware, Spyware und Rootkits
Ziel: C:\

------------------------------------------------------------------------


11 Malware gefunden

TrackingCookie.Advertising
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Advertising&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Atdmt
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atdmt&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Adform
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Adform&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Doubleclick
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Specificclick
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Specificclick&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Zanox
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Zanox&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Adbrite
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Adbrite&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Xiti
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Xiti&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Tradedoubler
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Tradedoubler&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Instadia
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Instadia&orig='disk'>
(Spyware)

* System (Desinfiziert)

TrackingCookie.Atwola
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Atwola&orig='disk'>
(Spyware)

* System (Desinfiziert)

------------------------------------------------------------------------


Statistik

Gescannt:

* Dateien: 49317
* System: 3765
* Nicht gescannt: 7

Aktionen:

* Desinfiziert: 11
* Umbenannt: 0
* Gelöscht: 0
* Nicht bereinigt: 0
* Übermittelt: 0

Nicht gescannte Dateien:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\DOKUMENTE UND EINSTELLUNGEN\UNI\LOKALE
EINSTELLUNGEN\TEMP\HSPERFDATA_UNI\2348

------------------------------------------------------------------------


Optionen

Scan-Engines:

Scanoptionen:

* Festgelegte Dateien scannen: COM EXE SYS OV? BIN SCR DLL SHS HTM
HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO
PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI
TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE
WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB
LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Erweiterte Heuristik verwenden

------------------------------------------------------------------------


Copyright © 1998-2009 Produktsupport
<hxxp://www.f-secure.de/estore> | Virusbeispiel an
F-Secure senden
<hxxp://support.f-secure.com//enu/home/virusproblem/sample/>


F-Secure übernimmt keine Verantwortung für Material,
das von Drittparteien erstellt oder veröffentlicht
wurde, die mit den WWW-Seiten von F-Secure verlinkt
sind. Falls von Ihnen nicht ausdrücklich anders
angegeben, stimmen Sie durch das Übermitteln von
Material auf einen unserer Server, zum Beispiel per
E-Mail oder über F-Secure CGI E-Mail, zu, dass das von
Ihnen zur Verfügung gestellte Material auf den
WWW-Seiten von F-Secure oder in gedruckten
Publikationen von F-Secure veröffentlicht werden darf.
Sie gelangen auf die öffentliche Website von F-Secure,
indem Sie auf unterstrichene Links klicken. Dabei wird
Ihr Zugriff in unserer privaten Zugriffsstatistik mit
Ihrem Domänennamen protokolliert. Diese Informationen
werden nicht an Dritte weitergeleitet. Sie erklären
sich damit einverstanden, in Zusammenhang mit von
Ihnen übermitteltem Material keine rechtlichen
Schritte gegen uns einzuleiten. Falls von Ihnen nicht
ausdrücklich anders angegeben, berechtigen Sie
F-Secure durch die Übermittlung von Material, alle
darin beschriebenen Konzepte in Produkten oder
Publikationen von F-Secure zu veröffentlichen, ohne
dass F-Secure dafür verantwortlich zeichnet.

Sorry für die Verzögerung.


Schritt 1

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 2

Downloade Dir bitte den Internet Explorer 8 von hier und installiere diesen.
Auch wenn dieser nicht dein Standard-Browser ist, sollte sich die aktuelle Version am Rechner befinden. Es gibt noch genug Software die diesen zum Updaten verwendet.


Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in deiner nächsten Antwort
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

Hallo! Hier die gewünschten Logs:

Java
JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Aug 13 16:32:23 2010

------------------------------------

Finished reporting.


OTL.txtOTL Logfile:
--- --- ---

Extra.txt

"OpenAL" = OpenAL
"PC-Diagnose-Tool" = TOSHIBA PC-Diagnose-Tool
"Power Saver" = TOSHIBA Power Saver
"RealPlayer 6.0" = RealPlayer
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TIPP10_is1" = TIPP10 Version 2.0.1
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"ViewpointMediaPlayer" = Viewpoint Media Player
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 10.08.2010 19:31:05 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 10.08.2010 22:39:39 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 11.08.2010 06:39:26 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 11.08.2010 15:43:50 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 12.08.2010 03:38:10 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 12.08.2010 12:35:56 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 12.08.2010 13:58:45 | Computer Name = PLATSCH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung plugin-container.exe, Version 1.9.2.3855,
fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x0001b21a.

Error - 13.08.2010 09:21:15 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 13.08.2010 10:59:50 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 13.08.2010 11:33:28 | Computer Name = PLATSCH | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

[ System Events ]
Error - 13.08.2010 10:37:18 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 13.08.2010 10:37:18 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 13.08.2010 10:37:18 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 13.08.2010 10:37:18 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 13.08.2010 10:37:18 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126

Error - 13.08.2010 10:46:12 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 13.08.2010 11:33:19 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "adfs" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 13.08.2010 11:33:33 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7038
Description = Der Dienst "upnphost" konnte sich nicht als "NT AUTHORITY\LocalService"
mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden: %%5 Vergewissern
Sie
sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft
Management Console (MMC).

Error - 13.08.2010 11:33:33 | Computer Name = PLATSCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Universeller Plug & Play-Gerätehost" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1069

Error - 13.08.2010 11:33:33 | Computer Name = PLATSCH | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1069" aufgetreten, als der Dienst "upnphost"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {204810B9-73B2-11D4-BF42-00B0D0118B56}


< End of report >


Der Rechner läuft ansonsten gut. Die Meldung von ESET NOD mit dem Trojaner erscheint nicht mehr und die Musik im Hintergrund ist auch noch nicht wieder aufgetaucht.

Die Extras.txt ist nicht vollständig

Extras.txt vollständigOTL EXTRAS Logfile:
--- --- ---

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Viewpoint wird als foistware eingestuft. Es installiert sich ohne deinem Wissen. Es macht zwar nichts böses, würde dir aber denoch raten die Finger davon zu lassen und folgendes zu deinstallieren (falls vorhanden)
Viewpoint, Viewpoint Manager, Viewpoint Media Player.


Schritt 2

Starte OTL.exe.
Füge nun folgendes aus der Codebox in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.
Klicke nun auf den Run Fix Button.

Schritt 3

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 4

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 5

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 6

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 7

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo!

Erst mal vielen Dank, dass du meinen Laptop befreit hast! Echt super, dass es euch gibt!
Hab nur noch eine Frage: Sind die unter Schritt 6 genannten Programme alle kompatibel? Oder kann ich davon nur das eine oder das andere installieren/verwenden?

Wenn alle zusammen funktionieren habe ich keine Fragen mehr, kannst also dein Abo auflösen!

Nochmals vielen Dank

mfg

Arbeiten alle zusammen :)

Froh das wir helfen konten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere möge bitte einen eigenen Thread erstellen