Tabs öffnen sich automatisch - Scan durchgeführt - ist mein Laptop wieder sauber?
 

Hallo liebe Experten,

bei mir öffnen sich seit ein paar Tagen bei Mozialle Firefox immer wieder von selbst extra Tabs mit seltsamen Inhalten.
Ich hab nun einen "Quick-Scan" mit Malwarebytes' Anti-Malware 1.46 durch geführt, die betroffenen Dateien entfernt, anschließend einen Vollständigen Suchlauf durchgeführt und die infizierte Datei ebenfalls entfernt (Logs siehe unten).
Ich bin mir nun unsicher, ob das reicht und meine Laptop wieder sauber ist oder ob ich noch zusätzliche Scans durchführen sollte. Freue mich auf Ratschläge!

Mein Laptop war seit einiger Zeit (ca. 2 Monate) außerdem sehr langsam (Festplatte ist aber nicht überfüllt) - kann das auch an den Viren gelegen haben?
Wenn möglich, dann wären auch "Erklärungsversuche" hilfreich, also Tips wo und wann ich mir die Viren eingefangen haben könnte (falls das erkennbar ist).

Vielen vielen Dank für Eure Hilfe!
Bettina

Logdatei vom Quick-Scan:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4474

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

25.08.2010 11:48:00
mbam-log-2010-08-25 (11-48-00).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 137207
Laufzeit: 14 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\gnja.exe (Heuristics.Shuriken) -> Delete on reboot.
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\0891.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.


Logdatei vom Vollständigen Suchlauf:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4474

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

25.08.2010 15:04:07
mbam-log-2010-08-25 (15-04-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 246310
Laufzeit: 2 Stunde(n), 14 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z5HGM98Y\super130[1].exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

Das war eine schnelle Antwort! DAnke.
Hier die Reports:

OTL:
OTL Logfile:
--- --- ---




Extras:
OTL Logfile:
--- --- ---

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

So, jetzt konnte ich endlich der Anweisung folgen. Freue mich auf weitere Anweisungen! Danke!!

Hier das Log:

Combofix Logfile:
--- --- ---

http://www.trojaner-board.de/74908-a...t-scanner.html
bitte erstelle und poste einen gmer log.

Ich hab den scan durchgeführt und da er dann schon länger als 2 Stunden lief, bin ich irgendwann schlafen gegangen - jetzt finde ich leider kein Log... Kann ich das noch irgendwie wieder aufrufen oder muss ich den gesamten Scan nochmal durchführen?

du musst den scan ausführen, da du das log nicht gespeichert hast. vergiss nicht, alle aktieven programme abzuschalten

ist es normal dass der scan so viele stunden dauert?
bei mir lief er gestern bereits 7 stunden, dann hatte ich das gefühl, dass dateien gescannt werden, die zuvor bereits gescannt wurden. deswegen wollte ich dann abbrechen und das bis dahin entstandene log posten - und dabei ist mir der laptop abgestürzt.

ich würde jetzt heute einen neuen scan starten, wäre aber klasse, wenn du mir sagen kannst, ob die lange laufzeit normal ist?

am wochenenden hat mein bruder mich auf den virus auf meinem laptop hingewiesen - ich hatte eine sd-karte bei mir drinnen und da hat sich der virus direkt drauf gespielt. da ich meine sd-karte und usb-stick auch verwendet habe eine frage dazu: wie kann ich diese geräte denn auf virus scannen? möchte vermeiden, dass ein virus vom usb-stick auf den gereinigten laptop gelangt.

viele grüße und danke! b.

wir formatiern die sticks später.
versuche radix.
Radix Antirootkit - Download - CHIP Online
entpacke es in einen eigenen ordner, schalte alle laufenden programme aus, trenne die internetverbindung, starte radixgui.exe
hake auf der registerkarte 1-klick-scan alles an, evtl. nachfragen mit yes bestätigen. nichts löschen.
log hier hochladen:
File-Upload.net
link posten.

2 mal versucht zu scannen, zweimal ist mir der computer mitten während dem scan abgestürzt (ich gaube beide mal ungefähr an der gleichen stelle).
gibt es einen trick den absturz zu vermeiden? oder soll ich es einfach immer wieder probieren, bis ein vollständer scan möglich ist?

mein mcAffee hat sich zwischendrin zu wort gemeldet - kann es daran liegen? weiß nicht, wie ich den ganz zu schweigen bringe - habe eigentlich alle benachrichtigungen und scan-funktionen deaktiviert! es poppen trotzdem immer wieder warnungen auf, dass der schutz nicht aktiviert sei...

kannst mir erst mal sagen ob noch solche fenster aufgehen?

fenster gehen keine mehr auf.

computer ist aber nach wie vor sehr langsam.

ok, wir haben jetzt 2 möglichkeiten.
1. noch lange rum probieren, was irgendwie schwierig wird, da keine programme funktionieren.
2. neu aufsetzen, vernünftig absichern mit regelmäßigen backups und dafür dann für immer ruhe haben

dh aber du denkst, dass grundsätzlich noch etwas drauf ist?

neu aufsetzen heißt alles neu installieren? würde ich momentan lieber noch nicht machen - ich versuchs heute abend nochmal mit den programmen und hoffe, dass es irgendwann geht...

abgestürzt ist radix jedesmal an folgender stelle: "IRP hooks". würde es evt. helfen, wenn ich bei den IRP hooks den Haken entferne und den Scan ohne diesen Bereich durchführe?

MfG
bettina

versuche es mal obs hilft. naja es muss ja irgendwas nicht in ordnung sein, wenn der pc langsam läuft. es ist halt ne zeitliche frage und sicherheitstechnisch natürlich auch. wenn man jetzt alles neu aufsetzt hat man vllt arbeit, arbeit hast du jetzt aber auch. wenn du später immer backups machst, sagen wir 1x die woche, sind das 5 minuten und wenn du dann noch mal n malware problem hast, kannst du mit diesem backup dein system in 10 minuten wieder zurücksetzen. was dir in zukunft einiges erleichtern wird

Hab jetzt nochmal mit GMER scannen lassen und folgendes Log erhalten. Ist irgendwie sehr kurz deshalb weiß ich nicht, ob der Scan fehlerfrei durchgeführt wurde.
GMER Logfile:
--- --- ---
Gruß Bettina

ok das zeigt auch nichts, erstelle n neues otl log und poste die otl.txt bitte

OTL Logfile:
OTL Logfile:
--- --- ---


Extras:
OTL Logfile:
--- --- ---

was meinst du - ist mein laptop wieder clean?
vllt. ist er ja auch einfach nur so langsam ohne dass etwas dahinter steckt.

kannst du mir bitte noch tips geben, wie ich meinen usb-stick und sd-karte überprüfe, so dass evt. vorhandene viren dabei nicht meinen laptop erneut infizieren?

danke!

1. verzichte auf toolbars, die machen das internet nur langsamer und sind ein sicherheitsrisiko.
deinstaliere:
google toolbar.
dann partner oder google partner.
ok nun autorun deaktivieren:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

jetzt sticks etc anschließen und prüfen, autorun sollte nicht mehr aktiviert werden, somit wird keine malware über den weg übertragen. wir können deinen autostart aufräumen, das könnte n bissel geschwindigkeit bringen.

Zwischenzeitlich habe ich googlebar deinstalliert und Autorun deaktiviert. Meine Sticks etc. scheinen sauber zu sein. Insgesamt scheint mein Notebook ein bisschen schneller zu sein.
Habe mir Avira als neues Virenschutzprogramm installiert - und heute hat Avira Alarm geschlagen, zwei Sachen wurden gefunden und in Quarantäne geschoben:TR/Trash.Gen und TR/Crypt.XPACK.Gen3 (Report siehe unten)

Daraufhin habe ich mit Malware einen Quick-Scan durchgeführt, dabei wurden 3 Sachen gefunden und entfernt (Log siehe unten).
Der vollständige Malware-Scan hat dann nichts mehr gefunden.

Muss ich nun noch was machen mit den Sachen, die Avira in Quarantäne genommen hat? Oder sind die damit ausgeschaltet?

DANKE für die erneute Hilfe!!

hallo markusg,

kannst du dir bitte meinen letzten post mal anschauen? wäre klasse - DANKE! :)

herzliche grüße
bettina

hab dich wohl übersehen
1. atf cleaner:
|MG| ATF Cleaner 3.0.0.2 Download
hake alles an, auch auf dem firefox tap, wähle emty selected, bestätige mit ok.
2. ccleaner, dateien + registry bereinigen:
http://www.trojaner-board.de/51464-a...-ccleaner.html
3. systemwiederherstellung de-und reaktivieren
Windows XP - Die Systemwiederherstellung komplett abschalten
warte 5 min, schalte sie wieder ein.
reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Danke für Deine Antwort!
Hab nun alle Schritte abgearbeitet, hier ist der Log von Avira: