Ist mein PC wieder sauber?

Das tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Danach das:

• ESET Onlinescanner auf dem Rechner ausführen: ESET :: Finden Sie die richtige Sicherheitslöung für Ihre Bedürfnisse! :: ESET Online Scanner
• Stelle ESET so ein, das auch Archive durchsucht werden.
• LOG danach posten (wieder hochladen) - befindet sich dort:

C:\Program Files\ESET\ESET Online Scanner\log.txt

Ich kann mir die Dateien von dir direkt holen - tue das:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

SEND_MESSAGE->[B]92.252.56.82[/B]
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->[B]92.252.56.82[/B]
->81
->C:\PPF_Scan1
SLEEP->240000
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
• Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

Wenn du das bis heute Abend durchführst, landen die Dateien ohne Umwege direkt auf meinem Rechner. Ich schaue mir dann an, ob ich da noch was sehe. Morgen ist das Script nicht mehr gültig.

Ja, können wir. Manche Dateien sind trotzdem bei mir angekommen.
Da scheint noch was drauf zu sein.

Das jetzt ausführen:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen (den ganzen Text in der Box kopieren):

CREATE_FOLDER->:\PPF_Scan2
SEND_MESSAGE->92.252.56.82
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Services.txt
SLEEP->240000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Threads.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Hidden.txt
SLEEP->24000
 
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\ppFiles.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\ppRegistry.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Modules.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\MD5.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Processes.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Warnings.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\SCripting.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Frirewall.txt
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\Users\pak\AppData\Local\Temp\{DB3F2A6-34B7-4F20-9F7F-FAC81D556746}\Scripts\fw4446W01.bat
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\Users\pak\AppData\Local\Temp\{B81B85C-46AB-4D15-9DF4-66BA305040A8}\Scripts\fw4444201.bat
SLEEP->24000
SEND_FILE->92.252.56.82
->81
->C:\PPF_Scan1\Frirewall.txt
SLEEP->24000
DELETE_FILE_ON_REBOOT->C:\Users\pak\AppData\Local\Temp\{DB3F2A6-34B7-4F20-9F7F-FAC81D556746}
DELETE_FILE_ON_REBOOT->C:\Users\pak\AppData\Local\Temp\{B81B85C-46AB-4D15-9DF4-66BA305040A8}
DELETE_FILE->C:\Users\pak\AppData\Local\Temp\{B81B85C-46AB-4D15-9DF4-66BA305040A8}
DELETE_FILE->C:\Users\pak\AppData\Local\Temp\{DB3F2A6-34B7-4F20-9F7F-FAC81D556746}
 
COPY_SCANFILES->C:\PPF_Scan2
SLEEP->240000
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
• Einmal sofort melden, wenn du das durchgeführt hast.

Danach das tun:

• GMER herunterladen und ausführen (Download EXE): GMER - Rootkit Detector and Remover
• Alle offenen Programme bis auf GMER schließen.
• Nach dem kurzen Anfangsscan Button Scan drücken.
• Zuende scannen lassen, nichts am PC machen, bis der Scan beendet ist.
• LOG mit Save abspeichern.
• LOG bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und Downloadlink posten.

OK, jetzt geht's.

Hast alles richtig gemacht.

Die BATCH Dateien im temporären Ordner wurden von deinem WLAN-Drucker erstellt. Das war keine Malware - also erst mal Entwarnung.

Mach das LOG von GMER noch. Diese Art von Software lädt oft Banking RootKits mit:

• GMER herunterladen und ausführen (Download EXE): GMER - Rootkit Detector and Remover
• Alle offenen Programme bis auf GMER schließen.
• Nach dem kurzen Anfangsscan Button Scan drücken.
• Zuende scannen lassen, nichts am PC machen, bis der Scan beendet ist.
• LOG mit Save abspeichern.
• LOG bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und Downloadlink posten.

Danach TDSSKiller ausführen:
Kaspersky TDSSKiller

Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• Klicke auf Change parameters
• Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
• Warte bis zum Ende der Untersuchung .
• Sollten Threats gefunden werden so wähle Skip aus.
• Bestätige unten Links mit Continue
• Schließe das Fenster vom TDSSKiller
• Navigiere nun zu C:
• Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Der Windows Defender scheint die EXE der Malware geblockt zu haben, die normalerweise das Banking RootKit installiert. Eventuell hast du Glück gehabt.

OK, Rechner sieht sauber aus.

Sämtliche Passwörter sicherheitshalber änder (EBAY, EMAIl,...).
Die Dinger stehlen Daten.
Die Dateien kannst du löschen.