BKA Virusbefall

[lumpen]

Tachjen,

habe, wie viele hier, den BKA Virus. Habe mittels des abgesicherten Modus und Anti-Malware wieder Zugriff auf meine Daten. Da ich aber Onlinebanking betreibe, will ich mir absolut sicher sein, dass ich das wieder sicher tun kann. Ich mache das Onlinebanking wohlgemerkt mittels einer extra Softwarte und nicht über den Browser.

Hier die Logs.

1. Log nach dem ersten Scan mit Anti-Malware:

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.10.03

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
***** :: ******-PC [Administrator]

Schutz: Deaktiviert

10.09.2012 12:59:34
mbam-log-2012-09-10 (14-12-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 443578
Laufzeit: 1 Stunde(n), 12 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|olepjadhmbeqnmr (Trojan.Phex.THAGen9) -> Daten: C:\ProgramData\olepjadh.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\ProgramData\olepjadh.exe (Trojan.Phex.THAGen9) -> Keine Aktion durchgeführt.
C:\Users\.....\0.8272398592812767.exe (Trojan.Phex.THAGen9) -> Keine Aktion durchgeführt.
C:\Users\.....\35198_444303580188_566780188_6414145_4016684_n1.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
C:\Users\.....\39019_30-12-2007-010_123_514lo.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
C:\Users\.....\96775_125607000_123_496lo.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
C:\Users\.....\l_60e87927cc9b4b008f7905549ad00357.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
C:\Users\.....\0377.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
C:\Users\.....\35198_444303580188_566780188_6414145_4016684_n1.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.

(Ende)

2. Log nach dem zweiten Scan mit Anti-Malware, nachdem befallene Daten entfernt worden sind:

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.10.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Hauke :: HAUKE-PC [Administrator]

Schutz: Aktiviert

10.09.2012 14:18:51
mbam-log-2012-09-10 (14-18-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 445298
Laufzeit: 1 Stunde(n), 17 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Seitdem scheint alles wieder normal zu funktionieren. Im Anhang findet ihr die fehlenden Logs, die Dateinamen sollten eindeutig sein. Vielen Dank schonmal für eure Hilfe

Habe nochmal nachgeschaut, es handelte sich um dem BKA Virus 1.13

[TB]

Hallo lumpen,

Willkommen im Botfrei - Forum,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden.
Bevor wir anfangen, hier noch ein paar lästige, aber wichtige und grundsätzliche Punkte, die von Dir zu beachten sind:

• Es gibt grundsätzlich keinen Support per PN oder Mail.
• Wir bereinigen keine Rechner, die Cracks oder sonstige Hacks enthalten, die es ermöglichen, Bezahlsoftware ohne Bezahlung zu nutzen.
• Es ist wichtig, dass Du solange mitarbeitest, bis alle Punkte abgearbeitet sind und das Signal kommt, dass die Bereinigung beendet ist, auch wenn die Symptome vielleicht schon nach den ersten Aktionen verschwunden sein sollten.
• Evtl. vorhandene persönliche Daten und Realnamen ggfs. anonymisieren.
• Entfernungs-Programme (Removal-Tools) ausschließlich von den in unserer Anleitung angegebenen Links herunterladen!

Wichtig:

• Während unserer Reinigungsphase nur Programme installieren und Scans durchführen, die wir anordnen.
• Während der Bereinigung alle externen Medien, wie USB-Sticks, externe Festplatten und Flash-Karten an den Rechner anschließen!
• Wenn Du dazu bereit bist, arbeite die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge ab.
• Das ist deshalb so wichtig, weil häufig der eine Punkt den anderen voraussetzt!
• Wenn bei einem Punkt etwas unklar ist oder etwas nicht (wie geplant) funktioniert, bitte nachfragen, bevor Du weitermachst.
• Berichte mir zu jedem Punkt, ob Du ihn erledigt hast.

100%ige Sicherheit auf deinem Rechner, bekommst du nur mit einer Neuinstallation!! Vor allem, wenn du Online Banking darauf betreibst.


1. Fixen mit OTL

1.) Software deinstallieren
Deinstalliere DVDVideoSoft und Bing Bar unter Systemsteuerung- Software

2.) Hiermit fixen wir unnötige oder schädliche Einträge.
Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:E8BE05FA
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/09/15 15:17:56 | 000,000,080 | -H-- | M] () - F:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\Shell - "" = AutoRun
O33 - MountPoints2\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\Shell - "" = AutoRun
O33 - MountPoints2\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\Shell - "" = AutoRun
O33 - MountPoints2\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\Shell - "" = AutoRun
O33 - MountPoints2\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\Shell\AutoRun\command - "" = G:\autorun.exe
O33 - MountPoints2\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\Shell - "" = AutoRun
O33 - MountPoints2\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\Shell\AutoRun\command - "" = F:\AutoRun.exe

:Files
C:\ProgramData\qsgauqxsyvmqpxw
C:\ProgramData\nwgjvvppmizlaio

:Commands
[PURITY]
[EMPTYTEMP]

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


3.) Der Rechner startet neu, Internetverbindung herstellen, Windows "normal" starten und berichten, ob der Sperrbildschirm noch erscheint.

[lumpen]

Alles erledigt. Ich hatte ja bereits vorher mittels OLT die befallenen Daten entfernt und dadurch wieder uneingeschränkten Zugriff auf meine Dateien erhalten.

Hier der Log nach dem von dir vorgeschlagenem Fix:

Code:

All processes killed
========== OTL ==========
ADS C:\ProgramData\Temp:E8BE05FA deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Setwallpaper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File F:\autorun.inf not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5971a66b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5971a67b-5bc9-11e1-a292-90e6ba7fcecd}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d5c3247d-aa1b-11e1-90e5-90e6ba7fcecd}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{df2352f9-9c0c-11e1-985d-90e6ba7fcecd}\ not found.
File G:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fc5c6b6f-6774-11e1-ad78-90e6ba7fcecd}\ not found.
File F:\AutoRun.exe not found.
========== FILES ==========
C:\ProgramData\qsgauqxsyvmqpxw moved successfully.
C:\ProgramData\nwgjvvppmizlaio folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: .....
->Temp folder emptied: 945126311 bytes
->Temporary Internet Files folder emptied: 127241063 bytes
->Java cache emptied: 12577922 bytes
->FireFox cache emptied: 327175292 bytes
->Flash cache emptied: 8173801 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 42075255 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes
RecycleBin emptied: 713479 bytes
 
Total Files Cleaned = 1,395.00 mb
 
 
OTL by OldTimer - Version 3.2.61.3 log created on 09122012_184707

Files\Folders moved on Reboot...
C:\Users\.....AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[TB]

Morgen lumpen,

Mach mal bitte weiter mit...

1.) MBAM

• Malwarebytes Anleitung und Download>>

2.) Online Scanner ESET

• ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista/ W7
• Anmerkung für Vista/W7-User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Poste mir die Logfiles hier in den Thread.

[lumpen]

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=af33c8a9154ff248b93fb7a81aecfcd2
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-09-19 11:45:14
# local_time=2012-09-19 01:45:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 66 85 25644823 99677016 0 0
# compatibility_mode=8192 67108863 100 0 232 232 0 0
# scanned=234449
# found=4
# cleaned=4
# scan_time=7968
C:\Users\.....\Downloads\DTLite4454-0315.exe	Win32/OpenCandy application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Users\.....\Downloads\SoftonicDownloader_fuer_datarecovery.exe	a variant of Win32/SoftonicDownloader.D application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Users\.....\Downloads\SoftonicDownloader_fuer_openoffice.exe	Win32/SoftonicDownloader.C application (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\_OTL\MovedFiles\09122012_184707\C_ProgramData\nwgjvvppmizlaio\main.html	HTML/Ransom.B trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C

[TB]

Morgen lumpen,

1.) MBAM

wo ist das MBAM Log?

[lumpen]

Sorry, hier ist er:

Code:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.20.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
..... :: .....-PC [Administrator]

Schutz: Aktiviert

20.09.2012 09:30:36
mbam-log-2012-09-20 (09-30-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 441434
Laufzeit: 1 Stunde(n), 23 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

[TB]

sieht doch gut aus...

1.)
Welche Java-Version ist installiert?

Viele Schädlinge kommen über Sicherheitslücken in Java (sog. Exploits) auf ein System. Sofern Java benötigt wird, ist es unbedingt erforderlich, alte Versionen (falls vorhanden) zu deinstallieren und das Risiko zu minimieren, indem Java immer topaktuell gehalten wird.

Da mittlerweise selbst in den aktuellsten Versionen Sicherheitslücken vorhanden sind, Java am besten nur dann installieren, wenn es zwingend benötigt wird. Einige Kollegen haben Java inzwischen komplett von ihrem System verbannt und konnten keinerlei Einschränkungen feststellen. In diesem Artikel von helpster.de wird erklärt, was Java ist und wozu es benötigt wird.

Bei zscaler.com kannst Du testen, ob Deine Java-Version von bekannten Sicherheitslücken betroffen ist. Falls im Firefox das Addon NoScript installiert ist, Skripte auf dieser Seite erlauben.



Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 6 ist:

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren
ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.
Bei Dir sehe ich:

Die Offline-Version von Java Version 7 Update 6 von Oracle findest Du hier.
Eventuell angebotene Toolbars nicht mitinstallieren, ggfs. also den Haken beim Toolbar-Angebot entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK


Heute: Oracle stopft mit Patch die Sicherheitslücke in Java
http://www.heise.de/newsticker/meldu...e-1696086.html

2.)
Update veralteter Software?

• Wenn Java erledigt ist, bitte auf secunia.com einen Check deiner Programme machen, evtl. sind veraltet dabei!!

[lumpen]

Habe die aktuelle Java Version Windows 7 6.1 in der 32 Bit Version (trotz 64 Bit System).
Also wie von dir beschrieben.

[TB]

Hallo lumpen,

sorry falscher Baustein, kommt schon mal bei der Masse an Anfragen vor. Natürlich Java 7 upd7