Windows ruft selbst gefährliche Websites auf,Windows wird unnutzbar.

#1 Nabend,
ich hab seit dem 20.2.12 also seit gestern wieder Probleme mit dem Laptop.
Ich muss dazu sagen,dass ich vor einiger Zeit den Bundespolizeitrojaner hatte,ihn aber (so wie ich das angenommen habe) erfolgreich mit einer Anleitung aus dem Netz entfernt.
Also,das Problem äussert sich wie folgt:
1. Laptop an
2. Anmelden
3. Laptop lädt Desktop (wie immer sehr langsam und zeigt eine Meldung an :

RunDLL
Problem beim Starten von
C:\Users\PC\AppData\Local\Temp\0.7894681701283297.exe
Das angegebene Modul wurde nicht gefunden.

4.Desktop hat fast fertig geladen.
5.Zwei Internetexplorer öffnen sich. (ohne das ich da was gemacht hab)
Es öffnet sich:
http://195.189.227.23/
6.Ich klick die Fenster weg.
6.Alle Programme wieder futsch (nur das Hintergrundbild ist zu sehen)
7.Ich kann nix mehr machen. (nix taskmanager und so)
8.Roter Bildschirm erscheint mit folgender Meldung:
[Rotes Schild mir Kreuz/X] Diese Website wurde als unsichere Website gemeldet.
195.189.227.23
------------------------------------------------------------------------------------------------------------------------------------------------------
Es wird empfohlen,dass Sie nicht zu dieser Website wechseln.
[Grünes Schild mit Haken] Stattdessen zu meiner Startseite wechseln ((-->meine Startseite ist MSN. Als Startseite wird icq search aufgerufen,wobei es keine Leiste mehr gibt (da wo der Browse ist,kein x,kein minimieren,nichts.))
Diese Website wurde Microsoft als unsichere Website gemeldet,die möglicherweise persönliche oder Finanzinformationen offenlegt.
(Pfeil) Weiter Informationen

9.Nichts geht mehr,auch nicht der Taskmanager.
10. Herunterfahren (über Knopf,Man kommt nicht zum Desktop,geschweigedenn zum Startmenü)
11. Hochfahren
12. Punkte 1-11 nochmal von vorne
13. Runterfahren
14. In einem anderen Modus starten (alles funktioniert,natürlich fehlen manche Programme,Avira findet sich nicht und Media Player funktioniert nicht)

Zur Info: Ich hab Windows7 Ich meine,das sogar wirklich alle Probleme nach diesem Update kamen (wo wohl mehrere Probleme danach hatten). Wobei ich mich da frage,warum Microsoft Updates macht?!

Falls Fragen aufkommen,fragt ruhig.

Ich bedanke mich schonmal für eure Hilfe!


Gruß,
Andrea.

#2 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Malwarebytes
• Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

#3 ehm...also das hat geklappt und alles ist wieder tutti. nur,ich hab das gespeichert und finde es nicht. nirgendswo. hätte das vielleicht checken sollen bevor ich den neustart mache


da stand noch so:
Malwarebytes Anti-Malware hat den Ausführungsversuch eines bösartigen Prozesses festgestellt und dessen Ausführung unterbunden. Bitte wählen sie eine der folgenden Optionen aus.
C:\Users\PC\APPDATA\LOCAL\TEMP\0.02559338460831617267F67.EXE
TROJAN.DOWNLOADER.LB

|Schutz deaktiviern| |Ignoriern| |Quarantäne|



Hab auf Quarantäne geklickt.

Es wurden übrigens 3 Trojaner gefunden.

#4 Öffne das Programm und gehe unter Scanberichte. Poste den Scan

#5 Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.22.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
PC :: PC-PC [Administrator]

Schutz: Aktiviert

22.02.2012 15:05:52
mbam-log-2012-02-22 (15-05-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 186302
Laufzeit: 17 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\PC\AppData\Local\Temp\0.02559338460831617267f76.exe (Trojan.Downloader.lb) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\PC\AppData\Local\Temp\0.02559338460831617267f76.exe (Trojan.Downloader.lb) -> Löschen bei Neustart.
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.02559338460831617267f76.exe.lnk (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7894681701283397.exe.lnk (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

#6 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

#7 Ist Malwarebytes ein antispyprgramm? ;O

#8 Wieso? Das läuft ja nicht im Hintergrund.

#9 Man kann ja mal zur Sicherheit fragen.....und nein ich bin nicht blond

#10 Und wann folgt das Log? Also schwarzhaarig

#11 Hö? jetzt bin echt blond...Da stand doch Logdatei? Dat hab ich doch kopiert? Oh mann...soll ich n screenshot zum beweis machen?

#12 hm also es war nur eine logdatei... das was da aufgeführt ist oder die einzelnen logdateien? oh mann oh mann ich belustige dich wahrscheinlich ordentlich wa?

#13 hm die fenster die da abgebildet waren kamen bei mir gar nich? den log hat er aber erstellt

#14 Dann poste das Log hier.

#15 Das müsste es sein :

ComboFix 12-02-25.02 - PC 28.02.2012 17:42:06.1.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3039.1351 [GMT 1:00]
ausgeführt von:: c:\users\PC\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: Panda Cloud Antivirus *Disabled/Updated* {86971480-9989-6750-B122-681A86518D59}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Panda Cloud Antivirus *Disabled/Updated* {3DF6F564-BFB3-68DE-8B92-5368FDD6C7E4}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-28 bis 2012-02-28 ))))))))))))))))))))))))))))))
.
.
2012-02-28 16:57 . 2012-02-28 16:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-02-28 16:48 . 2012-02-28 16:48 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{812D83E1-204F-4004-B74A-2B3C83292EE6}\offreg.dll
2012-02-28 16:21 . 2012-02-28 16:21 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-02-28 13:41 . 2012-02-08 06:03 6552120 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{812D83E1-204F-4004-B74A-2B3C83292EE6}\mpengine.dll
2012-02-22 16:36 . 2012-02-22 16:36 -------- d-----w- c:\program files\iPod
2012-02-22 13:54 . 2012-02-22 13:54 -------- d-----w- c:\users\PC\AppData\Roaming\Malwarebytes
2012-02-22 13:53 . 2012-02-22 13:53 -------- d-----w- c:\programdata\Malwarebytes
2012-02-22 13:53 . 2012-02-22 13:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-02-22 13:53 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-16 20:36 . 2011-12-30 05:27 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 20:36 . 2011-12-16 07:52 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 20:36 . 2012-01-04 08:58 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 20:36 . 2012-01-14 03:35 2343424 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-29 04:10 . 2011-01-25 09:16 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-03 19:47 . 2011-06-20 14:57 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-21 14:07 . 2011-05-06 22:27 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]
@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"
[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]
2011-05-09 10:45 288584 ----a-w- c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]
@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"
[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]
2011-05-09 10:45 288584 ----a-w- c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2011-02-02 102400]
"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-01 119608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-12-06 391240]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-09-23 468264]
"SAOB Monitor"="c:\program files\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe" [2010-11-16 2570688]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2010-12-06 5578920]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-12-24 210216]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-03-23 495708]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-04-28 439616]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]


was is nu mit den anderen von malware dings?