Trojaner gefunden TR/BHO.215552

#46 Melde mich am Abend

#47 Schritt 1

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.

Code

a-D6RBON-XsW
LoudMo Contextual Ad Assistant

Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Schritt 2

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
FF - prefs.js..extensions.enabledItems: {88ee5d19-f0ed-3a48-71e5-bf244422e9ac}:4.6.6.4
[2010.02.26 11:48:48 | 000,000,000 | ---D | M] (LoudMo Contextual Ad Assistant) -- C:\Programme\Mozilla Firefox\extensions\{88ee5d19-f0ed-3a48-71e5-bf244422e9ac}
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Schritt 3

Kommt die Werbung eigentlich bei IE und Firefox?

#48 Schritt 1 - ich finde das leider nicht in der Software... :-(

off-topic: wieso kann ich hier keine smileys posten? bzw. - wo finde ich die?

Schritt 2 - bin ich grad dabei

#49

Zitat

All processes killed
========== OTL ==========
Prefs.js: {88ee5d19-f0ed-3a48-71e5-bf244422e9ac}:4.6.6.4 removed from extensions.enabledItems
C:\Programme\Mozilla Firefox\extensions\{88ee5d19-f0ed-3a48-71e5-bf244422e9ac}\components folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{88ee5d19-f0ed-3a48-71e5-bf244422e9ac}\chrome folder moved successfully.
C:\Programme\Mozilla Firefox\extensions\{88ee5d19-f0ed-3a48-71e5-bf244422e9ac} folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User

User: Public
->Temp folder emptied: 0 bytes

User: Trummer
->Temp folder emptied: 25039236 bytes
->Temporary Internet Files folder emptied: 45208144 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 33114143 bytes
->Flash cache emptied: 2301 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 368920 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 99,00 mb


OTL by OldTimer - Version 3.1.37.3 log created on 03262010_190520

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ich surfe nicht mit IE ;-) ... aber... ich kanns jetzt auch nicht mehr überprüfen, denn die Leiste ist jetzt weg - seit heute morgen. *yippieh*. Ich hoffe, das hält jetzt an...

Was mir seit heute morgen allerdings auffällt ist, dass in der Taskleiste re unten eine Anzeige mit "geblockten Autostartprogrammen" angezeigt wird und seitdem der Windows Explorer hin und wieder einfriert und ich das Programm beenden muss bzw. neustarten muss.

Das geblockte Programm ist "Malwarebytes".

#50 Schritt 1

Registry mit CCleaner bereinigen

Starte CCleaner Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden.

Schritt 2

Fehler in Windows beseitigen

Lade Dial-a-Fix herunter und entpacke das Programm in einen eigenen Ordner auf Deinem Desktop.
• Öffne den Dial-a-Fix-Ordner und starte die dial-a-fix.exe durch Doppelklick.
• Klicke unten auf den Button Policies....
• Wenn etwas gefunden wird, klicke in dem neuen Fenster auf Remove und schließe das Fenster wieder.
• Klicke nun unten auf den Button mit dem grünen Doppelhaken (Check all).
• Klicke auf Go zum Starten.
• Dial-a-fix arbeitet nun einige Aufgaben ab, warte bis es komplett fertig ist (Ready).
• Wenn Dia-a-Fix fertig ist, klicke auf das Log-Symbol (rechts neben dem Hammer),
klicke auf Save und speichere das Log als Dial-a-fix.log auf dem Desktop.
• Poste das Log hier in den Thread.
• Klicke auf Exit und starte den Rechner neu.


Schritt 3

Dann deinstalliiere Malwarebytes einfach einmal.

#51 Schritt 1 erledigt :-)

Schritt 2 lässt sich nicht ausführen. Grund: "Dia-a-fix" is not ready for Vista.

Schritt 3 - erledigt

#52 Besteht das Problem mit dem Autostartprogramm noch immer?

#53 Wunderschönen, guten Morgen :-)

Nein - mit Autostart ist jetzt auch alles klar. Die Leiste mit der Werbung kommt auch heute nicht mehr. Und mein Lapi "bläst" jetzt auch nicht mehr so viel - ist ruhiger *gg* .

War ja eine langwierige Geburt. Ist sie jetzt ausgestanden?

Ich DANKE dir von Herzen schon mal im voraus :-)

#54 Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Soltle TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 2

Was jetzt nötig ist, sind Online-Scans, da wir immer nur einen kleinen Teil des Rechners prüfen können. Mit Online-Scans kann man den kompletten Rechner auf Schädlinge prüfen lassen. Nimm am besten gleich den Internet Explorer.

Vorbereitung


• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
•

.


• Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.


Schritt 3

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Klicke auf den Button "CleanUp!"
• OTM fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

#55 Führe gerade zum 7. Mal Schritt 2 durch, da sich der online-Scanner bis jetzt immer aufgehängt hat - bei ca. 23%.

Diesmal schaut es besser aus...

Melde mich, wenn es geklappt hat und auch Schritt 3 durchgeführt ist.

#56 Eset hat folgendes gefunden:

C:\Users\Trummer\Downloads\MyPhoneExplorer_Setup_v1.7.4.exe Win32/Adware.ADON application deleted - quarantined
C:\Windows\winsxs\x86_microsoft-windows-autochk_31bf3856ad364e35_6.0.6001.18000_none_e1f3ed49c1c122ef\autochk.exe probably a variant of Win32/Agent trojan cleaned by deleting (after the next restart) - quarantined

#57 alles erledigt :-)

#58 Der Fund heisst: Achte was Du dir da runter lädst
Im zweifel bei www.virustotal.com/de prüfen lassen.

Aber eiN Eintrag gefällt mir noch nicht. Mach dazu noch folgendes:

Schritt 1


Systemwiederherstellung von Windows Vista
Windows Vista -- Systemwiederherstellung (de)aktivieren

• Um zu den Einstellungen für die Systemwiederherstellung von Vista zu gelangen, klicke auf "Start/Systemsteuerung/Sicherung und Wiederherstellen".

• Klicke links auf "Wiederherstellungspunkt erstellen oder Einstellungen ändern".

• klicke unter "Systemsteuerung" auf "System" und dann links im Menü auf "Erweiterte Systemeinstellungen". Wechsel dann zum Reiter "Computerschutz".

• Entferne das Häkchen vor dem Datenträger, dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

Schritt 2

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
1. Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
2. Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
connect.dll

:regfind
connect.dll

3. Klicke nun auf den Button Look, um den Scan zu starten.
4. Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
5. Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


Schritt 3

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip falls es du nicht noch auf dem Desktop hast..
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

#59 Swiss... du hast recht, irgendwas passt nicht.

Moment ist mein Lapi eingefroren. Surfe jetzt über StandPC. Der Windows-Explorer friert während Klick auf "START" (wie in Schritt 1 beschrieben) ständig ein.

Ich versuchs jetzt noch mal und melde mich.

#60 So - jetzt hab ich wieder "rein" können:

Zitat

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:13 on 31/03/2010 by Trummer (Administrator - Elevation successful)

========== filefind ==========

Searching for "connect.dll"
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6000.16766_none_62ed735b99bf2599\connect.dll --a--- 1645568 bytes [09:07 26/05/2009] [09:07 26/05/2009] 234400AD69C09B878D65E7385C9EA63A
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6000.20940_none_6386b028b2d1f29e\connect.dll --a--- 1645568 bytes [09:07 26/05/2009] [09:07 26/05/2009] E1742674170F9566321C9AFBC2D22527
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6001.18000_none_650e8de796ba79b3\connect.dll --a--- 1645568 bytes [02:34 21/01/2008] [02:34 21/01/2008] EBAC4F3E45CC12F6433ED658C1853105
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6001.18159_none_64e182cb96dae69e\connect.dll --a--- 1645568 bytes [09:07 26/05/2009] [09:07 26/05/2009] 1C560CA4FBE7675D044273C6B69F3DC1
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6001.22291_none_6537dd96b0202b74\connect.dll --a--- 1645568 bytes [09:07 26/05/2009] [09:07 26/05/2009] 5AE97043F91FAEDA8985C1561CC3EB4D
C:\Windows\winsxs\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_6.0.6002.18005_none_66fa06f393dc44ff\connect.dll --a--- 1645568 bytes [16:24 20/10/2009] [06:28 11/04/2009] 36509ECC02172D09507A16FAD12C566F

========== regfind ==========

Searching for "connect.dll"
[HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_none_3a5a431777e11e4f\f256!connect.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\27F6D69B805A599469BDC9AD8A6C59A4]
"00002109E60001400000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Portal\1040\PortalConnect.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4E625BA77DD74A944B78B927FF3C2FB8]
"00002109E60031400000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Portal\1043\PortalConnect.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\610A3C882D1027842AD6F235853023CA]
"00002109E600C0400000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Portal\1036\PortalConnect.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B190C1F1E9B9FD74BA3321541F43A48A]
"00002109E60070400000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Portal\1031\PortalConnect.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D795BC613D313574CBB1FBE0448BFFA9]
"00002109E60090400000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Portal\1033\PortalConnect.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\DerivedData\VersionedIndex\6.0.6002.18005_001c11ba\ComponentFamilies\x86_microsoft-windows-getconnectedwizards_31bf3856ad364e35_none_3a5a431777e11e4f\f256!connect.dll]

-=End Of File=-