Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 17 von 17
  1. #11
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.865
    Hallo Bot270,

    Ad-Aware bitte über Systemsteuerung => Programme wieder deinstallieren. Das ist inzwischen ein Anti-Virus-Programm und es sollten niemals zwei Anti-Virus-Programme gleichzeitig laufen.



    2. Spybot hat 77 Reg-Einträge mit Trojanern etc. erkannt und gelöscht
    Kannst Du mir davon bitte den Bericht hierher posten.

    Spybot starten => im Menü Modus => erweiterter Modus einstellen => links auf Werkzeuge klicken => Berichte anzeigen => Bericht anzeigen => Bericht kopieren und hier einfügen. Ältere Berichte kannst Du über "Frühere Berichte ansehen" anzeigen lassen.

  2. #12
    Einsteiger
    Registriert seit
    15.05.2013
    Beiträge
    7
    SpyBot Reports:

    SpybotSD.Report.Checks.txt
    SpybotSD.Report.Resident.txt

    Ad-Aware is weg....

    Das Problem mit dem FRST Tool konnte ich auch lösen:
    Du hast in deinem Post 2 mal die gleiche Version (32 und 64 Bit) als Download angegeben, da ich ein 64 Bit System habe hat das mit 32 Bit nicht funktioniert...
    Überprüfe mal bitte deine Posts mit dem Link zu den Downloads:

    Suchlauf mit Farbar's Recovery Scan Tool


    "
    Downloade Farbar's Recovery Scan Tool und speichere diese Datei auf einem USB-Stick. Schließe den USB-Stick an das infizierte System an. User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.
    "

    Hier die Logs von FRST64:

    Addition.txt
    Extras.Txt
    Geändert von Petra (17.05.2013 um 16:18 Uhr) Grund: Beiträge zusammengefügt

  3. #13
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.865
    Hallo Bot270,

    oha, da hast Du Recht, der zweite Link stimmt nicht. Werde den Baustein sofort anpassen - danke für den Hinweis
    Kleiner Fehler (eine Zahl falsch) - große Wirkung!

    Mache bitte nochmal frische OTL-Logs, da in den obigen Ad-Aware noch drin ist. So sehe ich nicht, ob evtl. noch Reste da sind. Am besten den Computer einmal neu starten (sofern das nicht nach der Deinstallation von Ad-Aware ohnehin schon gemacht wurde) und dann frische OTL-Logs erstellen.

  4. #14
    Einsteiger
    Registriert seit
    15.05.2013
    Beiträge
    7
    Moin,
    hatte gestern keine Lust mehr was zu machen, dafür gehts jetzt weiter - sollte aber nun alles clean sein - Mehrere verschiedene Scanner haben nichgts mehr gefunden....

    Hier die letzten OTL Logs:


    Extras.Txt
    OTL.Txt

  5. #15
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.865
    Hallo Bot270,

    ok, dann schaumermal, die Infektion ist jetzt fast weg (bis auf ein paar Ordner namens 2433f433 an verschiedenen Stellen, die ich mit dem OTL-Fix lösche), jetzt kümmern wir uns um Spy-/Adware, Toolbars und die Absicherung


    ===== Punkt 1 =====

    Teatimer deaktivieren

    Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):

    Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.



    ===== Punkt 2 =====

    Programme deinstallieren

    Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig (z. B. Toolbars) oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Programme komplett zu deinstallieren.

    Toolbars bitte auch in den Chrome- und Firefox-Addons unter Erweiterungen entfernen.

    Code:
    "conduitEngine" = Conduit Engine
    "DVDVideoSoftTB Toolbar" = DVDVideoSoftTB Toolbar
    "PHPNukeDE Toolbar" = PHPNukeDE Toolbar
    "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
    DVDVideoSoftTB
    LimeWire Music
    "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17 (veraltete Version müssen deinstalliert werden)
    Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

    Toolbars - Nutzen oder Risiko?

    Du hast einige Toolbars installiert, die meisten sind relativ nutzlos. Lese dazu bitte diesen Blogeintrag bzgl. Toolbars. Bitte zunächst alle Toolbars, die Du nicht unbedingt brauchst, über Systemsteuerung => Programme und Funktionen deinstallieren, ggfs. zusätzlich im Firefox und IE unter Extras => Addons entfernen. Sage mir Bescheid, wenn sich eine Toolbar nicht deinstallieren lässt und welche Du behalten hast. Dann kann ich evtl. Reste oder nicht deinstallierbare Toolbars im nächsten Schritt entfernen.



    ===== Punkt 3 =====

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:





    Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

    Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
    Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!


    Code:
    :OTL
    IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
    IE - HKLM\..\URLSearchHook: {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files (x86)\PHPNukeDE\tbPHP0.dll (Conduit Ltd.)
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{AA50DAE1-A780-4517-AFD0-99016EFB3302}: "URL" = http://deutsch.eazel.com/de/index.php?rvs=hompag
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=660B000D15C26483CF66755196346028
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.conduit.com?SearchSource=10&ctid=CT2269050
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=LMW2&o=&src=crm&q={searchTerms}&locale=
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://lavasoft.blekko.com/ws/?source=f439e2c0&tbp=rbox&toolbarid=adawaretb&u=660B000D15C26483CF66755196346028&q={searchTerms}
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\SearchScopes\{AA50DAE1-A780-4517-AFD0-99016EFB3302}: "URL" = http://deutsch.eazel.com/de/index.php?rvs=hompag
    IE - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
    FF - prefs.js..browser.search.defaultthis.engineName: "DVDVideoSoftTB Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=660B000D15C26483CF66755196346028"
    FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
    [2012.02.06 20:23:10 | 000,000,931 | ---- | M] () -- C:\Users\*****\AppData\Roaming\mozilla\firefox\profiles\d6tkhpyh.default\searchplugins\conduit.xml
    [2013.05.17 15:45:21 | 000,000,628 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml
    CHR - plugin: Java Deployment Toolkit 6.0.170.4 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeploytk.dll
    CHR - plugin: Java(TM) Platform SE 6 U17 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll
    CHR - Extension: DVDVideoSoft Browser Extension = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp\1.0.1.1_0\
    CHR - Extension: DVDVideoSoftTB = C:\Users\*****\AppData\Local\Google\Chrome\User Data\Default\Extensions\plmlpkfpkijnlijgalnjaacllnjmoamo\2.3.19.11_0\
    O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngin.dll (Conduit Ltd.)
    O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
    O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O2 - BHO: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files (x86)\PHPNukeDE\tbPHP0.dll (Conduit Ltd.)
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngin.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files (x86)\PHPNukeDE\tbPHP0.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
    O3 - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngin.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2547114642-957291833-88589776-1000\..\Toolbar\WebBrowser: (PHPNukeDE Toolbar) - {C9508125-4747-4733-B048-E4B82DC9716D} - C:\Program Files (x86)\PHPNukeDE\tbPHP0.dll (Conduit Ltd.)
    O4 - HKLM..\Run: [SearchProtection] C:\ProgramData\Search Protection\_run.bat File not found
    O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\*****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
    O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\*****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
    O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.21.2)
    O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
    
    :Services
    Lavasoft Ad-Aware Service
    
    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{30FCBD9C-FE0E-4779-9098-6A2A222260EA}"=-
    "{387A1E69-39F8-4349-A936-1C05D9531450}"=-
    "{884FB0CB-E8F2-4066-941B-205D51401D01}"=-
    "{EDB5FA7C-B436-46BB-B976-68C60E643CE2}"=-
    
    :Files
    C:\Users\*****\AppData\Local\{*}
    C:\Users\*****\AppData\Roaming\LavasoftStatistics
    C:\Windows\SysNative\drivers\gfibto.sys
    C:\ProgramData\2433f433
    C:\Users\*****\AppData\Local\2433f433
    C:\Users\*****\AppData\Roaming\2433f433
    C:\Users\*****\AppData\Roaming\DVDVideoSoft
    C:\Users\*****\AppData\Roaming\DVDVideoSoftIEHelpers
    C:\Users\*****\AppData\Roaming\Gutscheinmieze
    C:\Users\*****\AppData\Roaming\OpenCandy
    C:\Users\*****\AppData\Roaming\LimeWire Music
    c:\program files (x86)\limewire music
    
    :Commands
    [purity]
    [emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>




    ===== Punkt 4 =====

    Windows Update (Vista und Windows 7)

    Dein Windows und der Internet-Explorer sind nicht auf dem neuesten Stand. Lasse Windows-Update laufen und lasse alle wichtigen Updates installieren, die Dir angeboten werden.

    Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, empfehle ich auf jeden Fall den Internet Explorer 10 zu installieren. Internet Explorer sicher konfigurieren, siehe auch hier und hier.



    ===== Punkt 5 =====

    Adware mit adwCleaner suchen

    • Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.


    • Starte die adwcleaner.exe mit einem Doppelklick.
      Vista- und Windows 7-User starten bitte per Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
    • Klicke auf Suche.
    • Am Ende des Suchlaufs öffnet sich eine Textdatei.
    • Poste den Inhalt hier in den Thread.
    • Die Logdatei findest Du auch unter C:\AdwCleaner[R1].txt.
    Geändert von Petra (18.05.2013 um 12:01 Uhr)

  6. #16
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.865
    Fehlende Rückmeldung

    Gibt es Probleme beim Abarbeiten obiger Anleitung, wenn ja welche? Wenn wir in den nächsten Tagen keine Rückmeldung von Dir erhalten, gehen wir davon aus, dass Du nicht mehr weitermachen möchtest und/oder Du das Problem lösen konntest und werden diesen Thread schließen, damit Kapazitäten für andere wartende User frei werden.

    Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist. Erst wenn alle Punkte abgearbeitet sind, ist Dein Computer ausreichend bereinigt und abgesichert.

  7. #17
    Anti-Botnet-Team Avatar von Petra
    Registriert seit
    06.09.2011
    Ort
    Nähe Düsseldorf
    Beiträge
    16.865
    Thread geschlossen

    Thread wird mangels Rückmeldung mit einigen Tipps zur Absicherung geschlossen, damit wir ihn nicht weiter unter Beobachtung halten müssen und aus den Abos löschen können. Wenn Du noch Fragen oder wieder Zeit zum Weitermachen hast, eröffne bitte einen neuen Thread.

    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Datensicherung
    Browser- und Plugincheck
    DNS manipuliert?
    Phishing und Malwareseiten melden

Ähnliche Themen

  1. Windows 7 Home Premium, GUV 2.10
    Von Supahupe im Forum Gelöst / Rechner bereinigt
    Antworten: 7
    Letzter Beitrag: 18.12.2012, 07:11
  2. Antworten: 3
    Letzter Beitrag: 14.10.2012, 01:50
  3. Windows 7 Home Premium und BKA 1.3
    Von SilverShadow im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 13.10.2012, 23:11
  4. GVU-Vius; Windows 7 Home Premium 64 Bit
    Von Lennart Jürgens im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 08.10.2012, 22:05
  5. Antworten: 19
    Letzter Beitrag: 30.09.2012, 23:57

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S