Nur noch Verknüpfungen auf USB-Stick. Rechner infiziert?

Hallo Kristinita,

===== Punkt 1 =====

Zitat

Mit Mbam, Awd und Eset habe ich schon rumgewerkelt, bin aber unsicher und bitte daher ganz :hz:lich um eure Hilfe.

Kannst Du mir bitte die entsprechenden Logfiles auch noch nach File-Upload.net hochladen und mir die Downloadlinks dazu posten.

===== Punkt 2 =====

Windows Update (Vista und Windows 7)

Dein Windows und der Internet-Explorer sind nicht auf dem neuesten Stand. Lasse Windows-Update laufen und lasse alle wichtigen Updates installieren, die Dir angeboten werden.

Auch wenn Du den Internet Explorer nicht als Hauptbrowser nutzt, empfehle ich auf jeden Fall den Internet Explorer 11 zu installieren. Internet Explorer sicher konfigurieren, siehe auch hier und hier.

Internet Explorer 11 für Windows 7 - 64 Bit - Download => http://www.microsoft.com/de-de/download…s.aspx?id=40901

===== Punkt 3 =====

Dann noch eine Bitte: Ich bin mit dem PPFScanner noch nicht vertraut, daher lasse bitte folgendes Tool laufen:

Suchlauf mit Farbar Recovery Scan Tool im Normal-Modus

Lade Farbar Recovery Scan Tool herunter und speichere das Programm auf dem Desktop.
User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.

• Starte die FRST.exe respketive die FRST64.exe per Doppelklick -
  Vista- und Win7-Benutzer starten per Rechtsklick als Administrator.
• Hake an:
  Registry
  Services
  Drivers
  Processes
  KnownDLLs
  Internet
  Addition.txt
  
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.

Hinweis: FRST wird aktuell häufig aktualisiert, daher bitte bei einem Hinweis auf eine neue Version die alte löschen und die aktuellste FRST.exe benutzen.

Hallo Kristinita,

eine ganze Menge der schädlichen Einträge wurden also schon entfernt, aber ein paar sind noch übrig.

===== Punkt 1 =====

Fix mit Farbar Recovery Scan Tool

Lade das fixlist.txt herunter und speichere es in den selben Pfad, in welchem sich die FRST.exe befindet.

Start
HKU\S-1-5-21-4150825263-4029323425-4086199567-1000\...\Run: [ABBYY Screenshot Reader Retail] - [X]
HKU\S-1-5-21-4150825263-4029323425-4086199567-1000\...\Run: [SysBackUp] - wscript.exe //B "C:\Users\Kristina\AppData\Roaming\SysBackUp.vbs"
HKU\S-1-5-21-4150825263-4029323425-4086199567-1000\...\Policies\Explorer: [NoInternetOpenWith] 1
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
CMD: type C:\Users\Kristina\Desktop\Gmer.log
C:\Users\Kristina\AppData\Roaming\Orbit
End

• Starte nun erneut die FRST.exe bzw. die FRST64.exe, klicke dieses Mal auf den Fix Button.

Das Tool erstellt eine Datei Fixlog.txt im gleichen Pfad. Lade bitte Fixlog.txt bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier im Forum.

Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

Hallo Krissi,

ok, dann schauen wir mal weiter:

===== Punkt 1 =====

Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Schließe die externe Festplatte und alle noch vorhandenen USB-Sticks an dem Computer an. Lasse Malwarebytes' Anti-Malware erneut laufen (Vista/Win7-User mit Rechtsklick als Administrator starten), aktualisiere über den Reiter "Aktualisierung" die Datenbank, sofern das Programm das nicht automatisch macht und stelle unter dem Reiter "Suchlauf" um auf "Vollständiger Suchlauf".

Lade bitte den Bericht bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Downloadlink hier im Forum.

===== Punkt 2 =====

Gib mir bitte einen Zwischenbericht, wie der Computer läuft und wo er ggfs. noch Probleme macht.

Hallo Krissi,

die Datei im Ordner C:\QVirus sieht mir so aus, als wäre sie von irgendeinem Security-Programm dorthin in Quarantäne geschickt worden. QVirus ist mir noch nicht begegnet, sagt Dir das irgendetwas? Prüfe die Datei einfach mal wie folgt:

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

C:\QVirus\cmd.exe.vir

Hallo Krissi,

lösche einfach manuell den Ordner C:\QVirus - scheint ein Überbleibsel entweder aus einer älteren Installation oder einer vorherigen Sicherheits-Software zu sein. Wird auf jeden Fall nicht mehr benötigt.

Fahre ansonsten wie folgt fort:

===== Punkt 1 =====

Adware mit AdwCleaner 3 beseitigen

• Lade bitte AdwCleaner herunter und speichere ihn auf dem Desktop.
  
• AdwCleaner ist geeignet für Windows XP/Vista/7/8 in 32- und 64-Bit-Versionen.
  
• Starte die adwcleaner.exe mit einem Doppelklick.
  Vista- und Windows 7/8-User starten bitte per Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
• Klicke nun erst auf den Button Suchen
• Wenn der Scan durchgelaufen ist und die Ergebnisse unter den einzelnen Reitern anzeigt, klicke auf den Button Löschen.
• AdwCleaner macht Dich darauf aufmerksam, dass alle laufenden Programme geschlossen werden, damit die Bereinigung erfolgen kann.
  Also angefangene Arbeiten speichern und die Anwendung schließen.
  
• Am Ende des Suchlaufs klicke auf Bericht, das öffnet eine Textdatei.
• Lade bitte das/die Log/s bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den/die Downloadlink/s hier im Forum.
• Die Logdatei findest Du auch unter C:\AdwCleaner\AdwCleaner[Rx].txt.

Hallo Kristinita,

yes, sieht alles prima aus

Kommen wir zu den Abschlussarbeiten

===== Punkt 1 =====

DelFix von Xplode

• Lade DelFix herunter und speichere es auf dem Desktop.
  Das Programm stammt vom Autor Xplode und ist für Windows XP, Vista und Windows 7/8 unter 32- und 64-Bit geeignet.
  DelFix entfernt die meisten zur Bereinigung verwendeten Programme, die Quarantäne der Scanner, den Java-Cache und löscht sich abschließend selbst.
  

  
  

• Starte DelFix mit Rechtsklick auf das Icon und wähle "Als Administrator ausführen" (bei XP mit Doppelklick starten).
• Mache Haken bei folgenden Elementen:
  

  Aktivierung der Benutzerkontensteuerung
  Entfernung der Bereinigungsprogramme
  Löschung der Wiederherstellungspunkte
  Wiederherstellung der Systemeinstellung

[Blockierte Grafik: http://bilder.cyscon.de/petra/delfix.jpg]

• Klicke auf Start.
• DelFix wird die angehakten Aufgaben erledigen.
  Bei "Entfernung der Bereinigungsprogramme" wird Delfix diverse Bereinigungsprogramme und sich selbst löschen.
• Nach dem Lauf von DelFix erscheint ein Log. Poste dieses hier in den Thread.

===== Punkt 2 =====

Datenträgerbereinigung

Öffne den Windows-Explorer mit der Tastenkombination Windowstaste + E.
Mache einen Rechtsklick auf die Partition, die Du bereinigen möchtest, fange mit C:\ an.
Es erscheint das Fenster mit den Eigenschaften dieser Partition.
Gehe zum Reiter "Allgemein" und klicke auf den Button "Bereinigen".
Es erscheint das Fenster "Bereinigung des Datenträgers" bzw. "Datenträgerbereinigung".
Beim ersten Scanvorgang auf überflüssige Objekte wird noch nicht im WinSxS-Ordner von Windows gesucht.
Klicke anschließend auf die Schaltfläche "Systemdateien bereinigen", um den gründlicheren Suchvorgang zu starten.
(Die Funktion "Systemdateien bereinigen" gibt es bei WindowsXP nicht).
Die Liste mit Ergebnissen enthält dann u. a. den Punkt "Windows Update-Bereinigung".

Setze den Haken und klicken Sie auf "OK".
Bestätige die Abfrage, dass die Dateien unwiderruflich gelöscht werden durch Klick auf "Dateien löschen".
Es werden vorhandene temporäre Datei und Update-Überreste gefahrlos entfernt.
Gib mir bitte durch, wieviel MB bereinigt wurden.

===== Punkt 3 =====

Eset Online Scan

Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit Eset Online Scan. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kurzanleitung:

Bitte vor Beginn des Scans lesen: Was ist vor Beginn des Online-Scans zu tun und zu beachten?

Internet Explorer starten.

Nach hier gehen => http://www.eset.com/home/products/online-scanner/

Auf den Button "Run Eset Online Scanner" drücken

Die Lizenzbedingungen akzeptieren, also einen Haken machen und Start drücken.

Das Installieren des ActiveX-Steuerelements erlauben.

Auf "Advanced Settings" klicken und diese Einstellungen machen:

[Blockierte Grafik: http://forum.botfrei.de/petra/eset.jpg]

Wieder auf Start drücken.

Die Anwendung zulassen.

Warten, bis der Scan durchgelaufen ist. Wenn Funde gemacht wurden, auf "List of found Threats" klicken und dann entweder auf "Copy to clipboard" oder "Export to text file" klicken und das Logfile hier posten

Alle nötigen Details findest Du in dieser bebilderten Anleitung.

Hallo Kristinita,

dann erstmal herzlichen Glückwunsch zur bestandenen Prüfung

Mir bleibt dann nur noch, Dir weiterhin viel Spaß zu wünschen und Dir noch einige Tipps zur Absicherung zu posten:

Absicherung des Rechners

Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

In jedem Fall ist es nach einer Infektion ratsam alle Passwörter zu ändern. Einen 100%-igen Schutz gibt es nicht, aber wenn einige grundsätzliche Regeln beachtet werden, hält sich die Gefahr einer erneuten Infektion in Grenzen.

• Betriebssystem und Software immer auf dem aktuellsten Stand halten.
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren, siehe auch hier.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software/Programme entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
  Warum ist Filesharing gefährlich?
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
  Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Check.
• DNS-Einstellungen online bei dns-changer.eu prüfen.
• WLAN absichern.
• Sichere Passwörter vergeben und nicht auf dem Computer speichern.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
  Wichtige Dokumente und Dateien (z. B. Fotos) auf externen Medien sichern.
  Immer eine saubere Datensicherung als zurückspielbares Image (z. B. mit Acronis True Image erstellen) auf Lager haben.
• Poste im Internet nur Angaben und Fotos, die problemlos am nächsten Tag in der Zeitung stehen dürften,
  das gilt auch für sog. geschützte Räume in Online-Netzwerken.

Java nur bei Bedarf aktivieren

Wer Java nicht deinstallieren kann, weil er es z. B. für Bankgeschäfte oder Elster zwingend benötigt, kann sich helfen, indem er Java generell deaktiviert und es nur Bedarf aktiviert. Das funktioniert bei allen Browsern problemlos. Nur der beim Internet-Explorer ist dies nicht ohne Weiteres möglich, daher diesen besser aktuell nicht nutzen. Hier die nötigen Schritte für die anderen Browser:

Java deaktivieren - Anleitungen für: Firefox - Chrome - Safari - Opera.

Lesenswerte Blogeinträge zum Thema Absicherung

Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
Wie kann ich prüfen, ob meine Software aktuell ist?
[B]Datensicherung
Browser- und Plugincheck
DNS manipuliert?
Phishing und Malwareseiten melden

gerne geschehen und bleib virenfrei