Mr.Blade

Hallo Viren-Experten!

Dummerweise habe ich den Schritt auf eine gewisse Seite für Filmstreaming gewagt, um einen Film passend zur Lektüre, die wir gerade im Deutschunterricht, anzusehen. Seitdem hab' ich den Salat.

Folgendes schon zur Problemlösung versucht
* Avira AntiVir - kein Verdacht auf Viren
* Anti Malware (Malwarebytes) - kein Verdacht auf Malware
* HiJackThis - mir selbst ist nichts aufgefallen, die Auswertung bestätigt dies, weswegen ich den Upload hier lasse.
* Spyware Terminator - kein Verdacht auf Spyware
* Sophos Anti-Rootkit - ein versteckter Eintrag in der Registry, Problem dennoch nicht behoben.

Anzeichen im Betrieb
* Firefox öffnet Werbung (meistens durch irgendein Dienst à la AdSens umgeleitet)
* Windows Update ist nicht mehr funktionstüchtig. Fehlercode 80072EFE.
* Der Microsoft Internet Explorer lässt sich nicht mehr starten.
* ComboFix verursacht während des Startvorgangs einen BSOD mit stets anderem Fehlercode.
* Gelegentliche BSODs nach ganz typischen Aktionen, wie dem anklicken eines Links.

Ansonsten läuft das System allerdings wie geschmiert - bis jetzt. Problem besteht schon seit etwa drei Tagen, finde aber einfach keine Lösung.

Meine RSIT-Logfile befindet sich für die nächsten sieben Tage unter diesem Link. Hoffe ihr könnt damit etwas anfangen, habe ehrlichgesagt noch nie etwas von diesem Programm gehört. Es erscheint mir aber so, als würde dieses Programm auch nicht mehr Informationen liefern als HiJackThis.

Lieben Dank schonmal!

Grüße

Leonixx

RSIT zeigt mehr Infos als HJT. Die automatische Auswertung von HJT ist mehr als nur fehlerhaft.

Die Dateien sind auffällig und sollten bei Virustotal geprüft werden.
C:\Windows\system32\fgkey10.exe
C:\Windows\system32\nvgenco322040.dll
C:\Windows\system32\nvdispco322090.dll

Ausserdem rkill.com laden wie im zweiten Beitrag beschrieben, um bekannte Malwareprozesse zu stoppen. Starte Malwarebytes nochmals und führe Komplett Scan durch.

Mr.Blade

Hi Leonixx!

Danke für die Antwort.
Leider nicht. fgkey10.exe stammt von einem Computer Spiel und die Bibliotheken stehen im Zusammenhang mit Nvidia. Davon gibt's übrigens mehrere, halt mit anderen Nummern. Alles kein Virus. Lediglich 322090 hat Verdacht auf Malware, allerdings auch nur bei einem Online-Anbieter. Glaube nicht, dass das ein Virus ist.
Ebenso wie ComboFix wird stets ein BlueScreen ausgelöst, direkt beim Starten. Egal ob .com .src oder .exe. Egal ob im Abgesicherten Modus oder im Normalbetrieb. Und auch egal, welchen Namen die Datei trägt.

Grüße

Leonixx

Dann sollten wir von aussen ran. Lade dir Emisoft Emergency Toolkit. Entzippen, Setup auf USB Stick kopieren, einstecken, updaten und Scan durchführen.

Mr.Blade

Gut, werde ich machen. Hab Avira nochmal durchlaufen lassen, und es wurden neue Viren gefunden.

Grüße

P.S
Wie boote ich denn nun vom USB-Stick? Im Bios bleibt der Bildschirm schwarz, wenn ich vom USB-Stick booten möchte.
Im Windows-Betrieb wurde aber schon einiges gefunden. Beispielsweise Cookies auf Seiten, wo ich gar nicht angemeldet bin (MySpace) oder nie besucht habe.

Grüße

Leonixx

Du brauchst nicht booten, sondern kannst den Stick einfach beim gestarteten Windows einstecken und auf Setup klicken.

Sieht aus wie ein Javaschädling. Die Funde löschen.

Mr.Blade

Danke.

Alles gelöscht (natürlich nicht in Quarantäne!)
Emisoft hat auch ein paar Schädlinge entdeckt, wie zum Beispiel den Hoax.Java.BlueScreen. Wurde ebenfalls alles entfernt.

Dann habe ich noch das Programm AVPFind.bat ausgeführt.

Hier das Ergebnis:
Upload Your content

Falls diese Dateien wirklich Schädlinge sein sollen, lassen sie sich schonmal nicht per Hand entfernen. Dazu müsste ich ein passendes Programm haben, was geschützte Dateien entfernt.

OTL hat auch nichts entdeckt.

Dennoch wurde kein einziges Problem behoben. BlueScreens beim Ausführen von ComboFixx oder RKill, auch nach Umbennenung, Windows Update nicht mehr funktionstüchtig, ständige Werbung im Browser etc.

Grüße

Leonixx

Das Programm ist zu Analyse da.

Combofix läuft m.W. nicht unter Win7. Hast du Combofix im abgesicherten Modus ausgeführt? Ausserdem ist die Ausführung des Programms nicht ohne Risiko.

Poste auch mal die Logfiles der Funde von Emisoft.
Bitte noch Onlinescan mit Eset durchführen.

Kostenlose Online Scanner

Grunsätzlich alle Logfiles posten, damit ich wenigstens weiß was auf dem System los ist.

Mr.Blade

Gut, gut.

Logfiles von Emisoft (2)
Upload Your content

Malewarebytes hatte ja nichts gefunden. Lediglich eine "Joke" Datei die ich von 'nem Kumpel erhalten hab. Vorsichtshalber habe ich die auch mal gelöscht.

Ich mach mal den BitDefender Quick Scan.

Grüße

Leonixx

Eset nicht Bitdefender, da Eset auch entfernen kann.

Lösche bzw. deinstalliere Java.Anschließend neuinstallieren.