ist mein pc wieder sauber?
 

hi, das hier ist mein erster Post in diesem Forum. Ich hoffe ich verstoße nicht gegen alle Regeln.

ich benutze Win7 32-bit

also gestern wurde mein Pc von einigen netten Trojanern besucht.

ich habe sie mit Malwarebytes entfernt:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Rdusodatodejexij (Trojan.Agent.U) -> Value: Rdusodatodejexij -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ukawomukedomig (Trojan.Agent.U) -> Value: Ukawomukedomig -> Quarantined and deleted successfully.

c:\Users\****\AppData\Local\dpnedo.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Local\Temp\tmpD492.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Local\Temp\err.log18072185 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Roaming\Adobe\plugs\kb18115631.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Roaming\Adobe\plugs\kb18151886.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Local\Temp\0.14235745390834598.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\Windows\Temp\0.3907940333391492.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\Users\****\AppData\Local\utorijanoxozoq.dll (Trojan.Agent.U) -> Quarantined and deleted successfully.

und noch ein paar andere.

Ich würde jetzt gerne wissen, ob ich irgendwie feststellen kann, auch mit Eurer Hilfe, ob mein PC jetzt wieder ganz normal läuft, weil er mir irgendwie ein wenig langsam vorkommt.

Danke

Huhu juhuhuhu :blabla:,

poste bitte das gesamte Logfile von Malwarebytes, mit Header und allem.


Vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst - doofe Fragen gibt es nicht.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:




1.) Systemscan mit OTL
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.) Gmer - Rootkitscan
Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

hier ist der logfile von der letzten prüfung.

ich hab ja schon gesehen, dass da nichts mehr drinsteht, ich wollte nur wissen, ob man Malware trauen kann, weil mein pc immer noch irgendwie langsam ist.

danke für die schnelle antwort

Sorry, ich meinte das Log mit den obigen Funden. Gibts noch weitere Logs? Alle posten bitte. Ich denke, du meinst Malwarebytes,
Malware nennt man dann nämlich die Fieslinge...
Das ist auf jeden Fall schon ein super Programm, aber es kann auch nicht alles finden. Die Wahrscheinlichkeit alles zu erwischen ist um einiges höher wenn wir weiter scannen. Wenn der Rechner langsamer läuft wie sonst, könnte das schon ein Symptom von noch aktiver Malware sein.

alles klar bekommst du^^

also einfach mal alle die ich finden konnte^^

und hier auch die beiden OTL files:

OTL

Extras:

hoffe das war jetzt nicht zu viel

Nö wars nicht, hier ist immer noch mehr als genug Platz, zb für das Log vom Gmerscan das jetzt noch fehlt ;)

also mein pc war nicht sauber......

AntiVir sagte:

In der Datei 'C:\Windows\System32\file.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

hier ist einmal alles:

mbam log:

OTL

Extras:


Gmer:


hoffe du kannst mir helfen, irgendwie habe ich das gefühl, als ob ich irgendwo ne sicherheitslücke habe.

danke bis hierhin schonmal

Also folgendes; es bringt wenig, wenn du nun nach Lust und Laune Programme ausführst, zb. war jetzt nur noch das Gmerlog gefordert und nicht nochmal Malwarebytes oder OTL. Also halt dich bitte konkret an die Anleitung, sonst gibts nur Durcheinander und manchmal können dadurch mehr Probleme entstehen.
Ansonsten hoffe ich auch, dass ich dir bei dem Problem helfen kann. ;) Versuch mal bitte folgendes:


TDSS-Killer

• Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
• Extrahiere den Inhalt der Datei auf deinem Desktop.
  Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
• Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
• Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
  Dieses bitte einfach schließen.
• Nun auf Report klicken.
• Bitte poste mir den Inhalt hier in deinen Thread.
  (auch zu finden unter C:\TDSSKiller<time_date>.txt)

die aktion cure wird beim nächsten systemstart durchgeführt. kam sofort als ich das fenster mit den funden per [x] geschlossen habe.

Okay, wenn du dann den Neustart durchgeführt hast scanne nochmal zur Kontrolle nach der obigen Anleitung mit Gmer.

alles klar. Nach einem Neustart sagt Gmer das:

Mein Pc läuft auch schon spürbar schneller und ordentlicher.

Hoffe du findest nichts neues.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
(Danke @ Larusso :))
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

hier ist der ComboFix log


ich hoffe es ist alles in ordnung, bedanke mich hier aber schonmal recht herzlich :dankeschoen: :dankeschoen: :dankeschoen: für die schnelle und super hilfe

Sieht schon besser aus, aber fertig sind wir noch nicht ;) Erstell und poste mir zwei neue OTL-Logs:



1.) Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

du kannst ja jemanden echt beschäftigen...^^


OTL:
Extras:

da ich mich ein wenig für pcs interessiere und wenn es nicht zu viel arbeit ist:
was machen die einzelnen programme, so wie OTL,GMer,Combo-Fix??

Ich hab dir keine Rootkits und Trojaner auf deinem PC installiert ;)

Naja, in erster Linie scannen sie PC-Systeme und in zweiter räumen sie auf ;) Sehr viel mehr darf ich nicht verraten, bei einigen kannst du natürlich Google bemühen und wirst eventuell sogar Infos finden.

Hast du während des letzten OTL-Scans deinen Windows Media Player genutzt?
Was ist dein Laufwerk F:\ ?


1.) Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /Uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.





2.) Programme deinstallieren
Du hast verschiedene Toolbars laufen, zb die Conduit Toolbar und die FamilyToolbar. Deinstalliere die, wenns nicht gehen sollte sag mir Bescheid.





3.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  Denke daran die ***** vor dem Fix wieder in deinen Benutzernamen zu ändern!!!
  
  
  Code:

  ---

  :OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
[2010.12.07 14:01:04 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\Xbanowijeh.bin
[2010.12.07 14:01:03 | 000,000,120 | ---- | M] () -- C:\Users\****\AppData\Local\Gwerasuqeb.dat
:Files
c:\windows\system32\XDva375.sys
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

4.) Erneuter Scan mit Malwarebytes Antimalware
Bitte vor dem Scan das Programm über den Reiter Aktualisierung auf den neusten Stand bringen. Der Scan selbst sollte ein Vollständiger Suchlauf sein (nicht der Quickscan). Werden Funde gemacht, lasse sie entfernen, bei Funden im Ordner "System Volume Information" nimm den haken raus, sonst sind die Wiederherstellungspunkte unbrauchbar und sie könnten eventuell im Verlauf der Bereinigung noch gebraucht werden. Poste mir wieder das entstandene Logfile.





5.) Erneuter Systemscan mit OTL
Wie nach der Anleitung weiter oben :)

den Windows Media player habe ich eigentlich nicht benutzt. und F:\ ist ein USB-Stick zur Speichererweiterung bei Win 7.

keine ahnung wie ich die toolbars deinstallieren soll.


ist das so richtig, weil ich habe sowohl den Public User mit **** unkenntlich gemacht, und auch meinen Username. ich weiß jetzt leider nicht genau welcher gemeint war. Ich habe den Public genommen, weil mein Username kein AppData ordner hat.

danke für die kleinen infos zu den programmen, die anderen Logs kommen bald

Arbeite erstmal weiter der Reihe nach die Anleitung ab. Benötigst du deinen Windows Media Player-Netzwerkfreigabedienst derzeit für Irgendetwas? Sonst würd ich sagen, den deaktivieren wir dann auch noch im Anschluss. Überprüfe die zuständige Datei nach dem letzten OTL-Scan bei Virustotal:

Besuche www.virustotal.com
Wähle über den Button "Durchsuchen" folgende Datei:
C:\Program Files\Windows Media Player\wmpnetwk.exe
Klicke auf "Send file".
Die Überprüfung der Datei kann ein paar Minuten dauern.
Im Anschluss siehst du eine Liste, in der man entnehmen kann ob einer der Scanner Malware in der Datei entdecken konnten. Wenn das der Fall ist, kopiere mir die Liste hierher in deinen Thread.

den windows media player brauche ich überhaupt nicht mehr. Ich benutze ein ganz anderes Musikprogramm

hier schonmal der Malwarebyte Log

hier sind

OTL

und

Extras

Gefühlt läuft mein PC wieder wie früher

und das sagt virustotal zu dem wmpnetwk:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 77fbd400984cf72ba0fc4b3489d65f74
Date first seen: 2009-08-04 03:57:51 (UTC)
Date last seen: 2010-12-03 20:12:52 (UTC)
Detection ratio: 0/43

What do you wish to do?

Lass die Datei trotzdem überprüfen. Bei OTL hast du wohl ausversehen zweimal dasselbe Log gepostet, da fehlt noch die Extras :)

Wie früher klingt ja schonmal gut, aber da ist leider noch ein bisschen Arbeit.

upps, sry
OTL:
Extras:

Fehlt nur noch die Dateiüberprüfung.

File name:
wmpnetwk.exe
Submission date:
2010-12-12 12:31:53 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)

Antivirus Version Last Update Result
AhnLab-V3 2010.12.13.00 2010.12.12 -
AntiVir 7.10.14.255 2010.12.10 -
Antiy-AVL 2.0.3.7 2010.12.12 -
Avast 4.8.1351.0 2010.12.11 -
Avast5 5.0.677.0 2010.12.11 -
AVG 9.0.0.851 2010.12.12 -
BitDefender 7.2 2010.12.12 -
CAT-QuickHeal 11.00 2010.12.11 -
ClamAV 0.96.4.0 2010.12.12 -
Command 5.2.11.5 2010.12.11 -
Comodo 7035 2010.12.12 -
DrWeb 5.0.2.03300 2010.12.12 -
Emsisoft 5.1.0.1 2010.12.12 -
eSafe 7.0.17.0 2010.12.09 -
eTrust-Vet 36.1.8034 2010.12.10 -
F-Prot 4.6.2.117 2010.12.11 -
F-Secure 9.0.16160.0 2010.12.12 -
Fortinet 4.2.254.0 2010.12.12 -
GData 21 2010.12.12 -
Ikarus T3.1.1.90.0 2010.12.12 -
Jiangmin 13.0.900 2010.12.12 -
K7AntiVirus 9.72.3219 2010.12.11 -
Kaspersky 7.0.0.125 2010.12.12 -
McAfee 5.400.0.1158 2010.12.12 -
McAfee-GW-Edition 2010.1C 2010.12.11 -
Microsoft 1.6402 2010.12.12 -
NOD32 5695 2010.12.11 -
Norman 6.06.12 2010.12.12 -
nProtect 2010-12-12.01 2010.12.12 -
Panda 10.0.2.7 2010.12.11 -
PCTools 7.0.3.5 2010.12.12 -
Prevx 3.0 2010.12.12 -
Rising 22.77.05.00 2010.12.12 -
Sophos 4.60.0 2010.12.12 -
SUPERAntiSpyware 4.40.0.1006 2010.12.12 -
Symantec 20101.3.0.103 2010.12.12 -
TheHacker 6.7.0.1.098 2010.12.11 -
TrendMicro 9.120.0.1004 2010.12.12 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.12 -
VBA32 3.12.14.2 2010.12.10 -
VIPRE 7616 2010.12.12 -
ViRobot 2010.12.11.4196 2010.12.12 -
VirusBuster 13.6.88.2 2010.12.11 -

Additional information
MD5 : 77fbd400984cf72ba0fc4b3489d65f74
SHA1 : 5c5feb6189d7c3e0415ef1236028b7112743ac0f
SHA256: 9aa404f17177feb43a9ea1a86061b452e7c4a93c873e61b68269047519cd433e

Gut.
Ich hab dir einen neuen OTL-Fix geschrieben indem du erneut deinen Benutzernamen mit den **** austauschen musst, aber da die Dateien hier noch vorhanden sind, glaub ich wars wohl doch der andere User als der oben :)



1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  Denke daran, vor dem Fix die ***** wieder in deinen Benutzernamen zu ändern!!!
  
  
  
  Code:

  ---

  :OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\****\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKCU\..\URLSearchHook: {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Programme\Family Toolbar\tbhelper.dll ()
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
[2010.03.24 15:13:02 | 000,000,917 | ---- | M] () -- C:\Users\****\AppData\Roaming\Mozilla\FireFox\Profiles\pv346vdd.default\searchplugins\conduit.xml
O2 - BHO: (MHTBPos00 Class) - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Programme\Family Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Programme\Family Toolbar\tbcore3.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Family Toolbar) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Programme\Family Toolbar\tbcore3.dll ()
O32 - AutoRun File - [2008.05.06 13:26:23 | 000,000,309 | R--- | M] () - F:\autorun.inf -- [ CDFS ]
[2010.12.07 14:01:04 | 000,000,000 | ---- | M] () -- C:\Users\****\AppData\Local\Xbanowijeh.bin
[2010.12.07 14:01:03 | 000,000,120 | ---- | M] () -- C:\Users\****\AppData\Local\Gwerasuqeb.dat
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

hier ist der Log, sieht schon besser aus, denke ich

Jepp, war diesmal richtig bei den beiden :) Dann bitte nochmal zwei frische OTL-Logfiles.
Die Probleme sind alle weg?

hier sind die neuen OTL files:

OTL:

Extras:

also gefühlt ist alles wieder in ordnung.

Hast du irgendeine Idee wie ich die Malware bekommen konnte?

Dein System sieht garnicht mal so veraltet und chaotisch aus, wie man es schon häufiger hier sehen kann (Muss aber nichts heissen). Es gibt leider haufenweise Möglichkeiten sich Malware einzuhandeln, zb. wenn man einen verseuchten Emailanhang öffnet, dubiose Seiten besucht, fragwürdige Dateien aus Tauschbörsen oder sonstwo runterlädt und (ganz wichtig) diese auf dem System auch ausführt, illegale Software verwendet (die hat oft genug die Malware mit dabei) etc.
Was mir bei dir sicherheitstechnisch aufgefallen ist, sind diverse veraltete Programme, zb Java, ausserdem dein Adobe Reader. Das kann schon reichen für eine Infektion. Kann auch sein, dass dir auch noch ein wichtiges Windowsupdate fehlt oder es war sonst eine "Alterslücke" im System.



1.) Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.
Downloade nun die Offline-Version von Java Version 6 Update 22 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.





2.) Sicherheitsrisiko Adobe Arcrobat Reader

Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader 9.4.x herunter und installiere ihn.

Da der Adobe Acrobat Reader immer häufiger für gezielte Verbreitung von Malware genutzt wird, schlage ich vor, stattdessen einen alternativen PDF-Anzeiger zu nutzen, beispielsweise kannst Du den Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Achte bei der Installation unbedingt darauf, dass die Ask-Toolbar und/oder Foxit-Toolbar bzw. Sponsoren nicht mitinstalliert werden (ggfs. sofort über Systemsteuerung => Software wieder deinstallieren).




3.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  
  Code:

  ---

  :OTL
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

4.) Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.





5.) Dienst beenden und deaktivieren
Schauen wir mal, ob wir deinen Windows MediaPlayer Netzwerkfreigabedienst so deaktivieren können. Zuerst einmal ändere folgende Einstellung:

Rechtsklick auf Start -> Explorer auswählen
=> Organisieren
=> Ordner- und Suchoptionen
=> Ansicht
=> Dateien und Ordner
Ändere folgende Einstellung:
Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden. -> Klicke auf OK
Das Fenster kannst du dann schliessen.

Dann gehts so weiter:

Start -> Ausführen -> Tippe in das Eingabefeld ein notepad und klick auf OK
Es öffnet sich nun ein Textdokument.
Füge folgenden Text aus der Codebox hinein:
Speichere die Datei als Dienste.bat auf deinem Desktop. Unter "Dateityp" musst du "Alle Dateien" auswählen.
Rechtsklick auf die Dienste.bat auf deinem Desktop und dann "als Administrator starten". Starte deinen PC neu, nachdem sich das fenster geschlossen hat. Berichte mir dann bitte :)

also Flash_Disinfector kann ich irgendwie ausführen, aber ich habe eh seit wochen kein USB Laufwerk mehr angeschlossen.

das macht das BAT-Programm:

[SC] ControlService FEHLER 1062:

Der Dienst wurde nicht gestartet.

[SC] ChangeServiceConfig ERFOLG


und das ergab der OTL Fix

Sieht doch gut aus :) Den Flashdisinfector sollst du in erster Linie wegen deines Laufwerk F:\ ausführen. Du sagtest doch das wäre ein Speicherstick, den FD kannst du auch ausführen wenn die letzte Benutzung länger her ist.

ach so, wobei der F:\ fast komplett durch die Win7-Speichererweiterung benutzt wird. Ich muss mal gucken ob ich den FD irgendwie dann bekomme.

Sag bloß wir sind fertig?^^

Ein letzter Scan noch bitte ;)



ESET Online Scan

Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit dem ESET Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• ESET Online Scanner
  • Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP/Vista und Win 7
    
  • Anmerkung für Vista und Windows 7 User: Bitte den Browser unbedingt Als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
  • Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
  • IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
  • O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Aber ich verspreche wenn der nix findet geb ich dir bloss noch drei Schritte :teufel2: :lach:

willst du gerade echt, dass ich ins internet gehe und mein antivir ausschalte?

also ich halte nicht so viel von selbstmord^^

Selbstmord ist was anderes, halt dich einfach an die Anleitung :) Du brauchst ja nicht woanders zur selben zeit rumsurfen.

sorry hat ein wenig gedauert

das sind 3 scans, weil ich die ersten 2 wegen Zeitmangel abbrechen musste

den ersten fund habe ich schon durch deinstallation des Programms entfernt, war auch kein wirklicher Trojaner, sonderen diente dazu gecrackte Versionen des Spiels zu identifizieren.

Ahjo, und wozu brauchst du bitte gecrackte Spieleversionen??? Du weißt, dass wir bei sowas sofort den Support einstellen?

Und wir waren fast fertig :heulen:

Gecracktes Zeugs ist Selbstmord - jedenfalls aus Computersicht :daumenhoc

ich hab ja auch keine gecrackte version

ich hab die originale, nur der "trojaner" ist drauf um sicher zu stellen dass ich keine gecrackte benutze. ist ein online game

als erklärung:

forums.gamersfirst.com/index.php?showtopic=31514

ist der dritte post, ich hoffe ich darf andere foren hier posten

du musst also nicht weinen^^

Na zum Glück, ich seh immer schrecklich aus wenn ich geheult habe :balla: Dann gehts natürlich weiter, i`m sorry (für die Vorverurteilung) ;) :heilig:

Schau mal bitte im folgenden Ordner, ob und was dort noch vorhanden ist:

C:\Users\****\AppData\Local\oleCommonPath

da wird mir nichts angezeigt und größe ist 0 Bytes

Okay, den kannst du noch löschen.




1.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter - sofern dir noch welche angeboten werden. (Gegebenenfalls musst du das mehrfach wiederholen)

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.





2.) Systemwiederherstellung leeren

• Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen.
• Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK

3.) Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.




Dann sind wir fertig :) Fröhliches Weitersurfen!