[Windows 7-64 bit] Post von der Telekom- Abuse.

[AHT]

Das LOG von Combofix bitte noch einmal hochladen. Da hat was mit dem Upload nicht geklappt. Bei den Filehostern haut öfters mal wegen Überlastung was nicht hin.

Suche bei den installeren Pragrammen (Software) in der Systemsteuerung nach der Winload Toolbar. Einmal melden, ob du die findest. Hast du die gefunden, deinstalliere sie. Die Toolbar leitet sämliche Suchen im Browser um.

[AHT]

Ich muss mir noch ansehen, was Combofix gelöscht hat, danach machen wir noch einen weiteren Scan mit der Kiste - der wird einige Stunden dauern.

[Kevin1122]

File-Upload.net - combofix-log.txt
Hier der Combofix Log von meinem Computer

Toolbar war drauf. jetzt nicht mehr!

[AHT]

• Scan mit Eset Onlinescanner machen: http://www.eset.com/de/home/products/online-scanner/
• Scanner nach dem Scan nicht deinstallieren.
• LOG von Est posten (befindet sich im Ordner, in den Eset installiert wurde.

[AHT]

Tut mir leid, der Trojaner hat dir da noch mehr versaut.
Danach das tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_Scan3
REGISTRY_ENUM->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REGISTRY_ENUM->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REGISTRY_ENUM_DEPENDANT_KEY->HKEY_CLASSES_ROOT\CLSID
->HKEY_CLASSES_ROOT\CLSID\%DEPENDANT%\InprocServer32
->
REGKEY_ACES->HKEY_USERS\S-1-5-21-132506674-3345899555-316722747-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C089AEC-664E-0364-656B-1D3D1E788FCE}
->@
->+
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-132506674-3345899555-316722747-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C089AEC-664E-0364-656B-1D3D1E788FCE}
->@
->+
->GENERIC_ALL
COPY_SCANFILES->C:\PPF_Scan3
OPEN->C:\PPF_Scan3
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan3 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

[Kevin1122]

File-Upload.net - log.txt

ESET scan meines computers

[Kevin1122]

File-Upload.net - PPF_Scan3.rar
Die Logdateien des PPF3 scans

[AHT]

ESET kann wieder deinstalliert werden. Jetzt:

• GMER herunterladen und ausführen (Download EXE): GMER - Rootkit Detector and Remover
• Alle offenen Programme bis auf GMER schließen.
• Nach dem kurzen Anfangsscan Button Scan drücken.
• Zuende scannen lassen, nichts am PC machen, bis der Scan beendet ist.
• LOG mit Save abspeichern.
• LOG wieder hochladen und Downloadlink posten.

[AHT]

Einmal Info für dich:
So um den Zeitpunkt herum, als du mit OTL dein Problem gefixt hast, hast du dir einen Trojaner eingefangen. Ich habe im Augenblick den Verdacht, das AntiVir den später gelöscht hat - ist dir da was in Erinnerung bzw. kannst du mal in die LOG´s von AntiVir sehen, was da für Dateien in der Quarantäne sind?
Der Trojaner scheint dir Passwörter abgezogen zu haben - unter anderem für deinen EMail Account.

[Kevin1122]

File-Upload.net - log-gmer.log

Also meine Quarantäne sieht folgendermaßen (habe rechtlich unter umständen problematische inhalte mal rausgeschwärzt)

quarantaene.jpg - Bilder und Fotos kostenlos auf ImageBanana hochladen

Mehr ist mir jetzt nicht bekannt, was mit meinem Computer los war.

[AHT]

Ich möchte noch gerne zwei Registryschlüssel bei dir loswerden - bin mir aber nicht sicher, ob das klappen wird.

Mache folgendes:

• PPFScan.exe starten.
• Klicke im Menü des PPFScanners unter Programm auf PPFScanner mit Servicerechten starten. Der Scanner startet sich dann neu und unten in der Statusbar steht System.
• In das Texteingabefeld über dem Button Script ausführen dann folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPF_SCAN4
REGKEY_ACES->HKEY_USERS\S-1-5-21-132506674-3345899555-316722747-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{654FB3B7-C9BA-F58B-D8F9-BAE0AF64DBFE}
->Jeder
->+
->GENERIC_ALL
REGKEY_ACES->HKEY_USERS\S-1-5-21-132506674-3345899555-316722747-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C089AEC-664E-0364-656B-1D3D1E788FCE}
->Jeder
->+
->GENERIC_ALL
COPY_SCANFILES->C:\PPF_SCAN4
OPEN->C:\PPF_SCAN4
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan4 eine Text-Datei. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

[Kevin1122]

File-Upload.net - Scripting.txt

[AHT]

Nochmal genau das gleiche mit diesem Script machen:

Code:

CREATE_FOLDER->C:\PPF_SCAN4
REGKEY_ACES->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{1C089AEC-664E-0364-656B-1D3D1E788FCE}
->Jeder
->+
->GENERIC_ALL
REGISTRY_DELETE_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
->{1C089AEC-664E-0364-656B-1D3D1E788FCE}
REGISTRY_DELETE_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
->{654FB3B7-C9BA-F58B-D8F9-BAE0AF64DBFE} 
COPY_SCANFILES->C:\PPF_SCAN4
OPEN->C:\PPF_SCAN4
END->

[Kevin1122]

File-Upload.net - Scripting.txt

[AHT]

Systemwiederherstellung deaktivieren und wieder aktivieren:

• Startleiste
• Systemsteuerung
• klassische Ansicht
• System
• Erweiterte Systemeinstellungen
• Registrierkarte Computerschutz.
• Alle Häkchen bei den Verfügbaren Datenträgern entfernen.
• OK klicken.
• Kurz warten und die Häkchen, die dort vorher waren, wieder setzen.
• OK klicken.

Der Rechner ist dann fertig. Alle wichtigen Passwörter ändern (EBAY, EMAIL). Wir machen dann mit dem Laptop weiter.