Beiträge von Alf.Motze

Lieber Fox2Fox, lieber Andreas!

Nun gut, dann ist es so. Es kann ja nicht schade, selber zu lernen, wie man das System neu aufsetzt.

Danke an euch und die Community - außer der Hilfe habe ich manches Nützliche dazu gelernt.

Das mit dem Bier in Bierlin gilt übrigens nach wie vor sehr gerne!!

Bis dann, alles Gute euch unbekannterweise!

Ah, ich glaube, grade doch das 1. Scan-Protokoll entdeckt zu haben:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
http://www.malwarebytes.org

Datenbank Version: v2014.01.04.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.11
user :: GOTSHE-576C0EDD [Administrator]

Schutz: Aktiviert

05.01.2014 00:15:40
mbam-log-2014-01-05 (00-15-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 254893
Laufzeit: 10 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\Software\albrechto (PUP.Optional.Albrechto.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\Software\albrechto (PUP.Optional.Albrechto.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rundll32.exe (Trojan.Agent) -> Daten: rundll32.exe "C:\Dokumente und Einstellungen\user\Anwendungsdaten\Macromedia\Common\a58ac0101.dll"" -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 11
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.FindWide) -> Bösartig: (http://search.findwide.com/?guid={EDE0863A-D888-4668-A3C9-A26B2E87983D}&serpv=22) Gut: (http://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|wave1 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|midi1 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|mixer1 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|wave2 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|mixer2 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|aux1 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32|aux2 (Hijack.Sound) -> Bösartig: (C:\DOKUME~1\user\ANWEND~1\MACROM~1\Common\a58ac0101.dll) Gut: (wdmaud.drv) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Application Data\673953123 (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Application Data\673953123\config.udb (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Application Data\673953123\init.udb (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Application Data\673953123\Langs.udb (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die drei Meldungen die heute noch dazu kamen, tippe ich hier frei ein:

- Trojan.FakeVLC - Registry Key - HKLM \ Software\ Microsoft\Windows\CurrentVersion\uninstall\VLC classic
- Trojan.FakeVLC - File - C:\Programme\Vlcclassic\Uninstall.exe
- PUP.Optional.Bandoo.A - File - C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\nshA\nssB.tmp\SetupDataMngr_Searchqu.exe[/b][/b]

Helfen diese Infos?

Gruß - Ralf

Hallo Schultheiß-Fans!

Sehr erfreulich, also: Wann und Wo?

Wenn ihr mir noch sagt, wie ich die Quarantäne-Datei oder den Screenshot in die Antwort einfügen kann (im Fenster lässt sich der Text nicht kopieren), zeig ich euch, wie man eine große Flasche Bier aufmacht ...

Boersenfeger, dir auch noch danke für die weitere Vorsorge-Empfehlung.

Gruß - Alf

Lieber Andreas,

zuerst die Bitte um Entschuldigung, mich erst jetzt wieder im Thread zurückzumelden ... bin grade in einer arbeitsreichen Phase. Danke auch für die erneute Hilfe beim weiteren Vorgehen bzg. search.widefind.com.

Hier der aktuelle Stand: in dem Fenster "Aktiviere kostenlosen Test von Malwarebytes ANTI-Malware PRO" tauchte diese "PRO-Funktion" bei mir beide Mal nicht auf: Ich hatte schon letzten Sonntag die "normale (?)" Testversion genutzt und einen Quick-Scann gemacht und heute nochmal einen kompletten Durchlauf.

Das mit dem Einfügen des Scans hat nicht hingehauen, ebenso wenig wie das Anhängen des Quarantäneverzeichnisses oder das Einfügen des Screenshots von den 25 Quarantäne-Elementen. Meine Kompetenzen ...

Der PC läuft immerhin erfreulicherweise wieder normal, vielleicht sogar etwas besser/schneller als vorher. Nirgendwo taucht mehr etwas bzgl. s.w.f. auf. - Ein gutes, ausreichendes Zeichen? Falls ja, dann nochmal ein großes Danke. Und wenn du hier in Berlin zu tun haben solltest, melde dich für ein großes, malwarefreies Bier:-)

Mein Rechner läuft nun wieder normal schnell. Auf Firefox taucht dieses "search.findwide.com" nicht mehr auf - ich hatte Firefox heute früh (vor euren Empfehlungen - zeitliche Überschneidung) aber de- und neuinstalliert; danach war "s.f.c." weg und hatte sich auch nicht mehr hochgeladen. Die Frucht des Adwcleaner bleibt auf jeden Fall, dass der Rechner seither wieder schneller und fehlerfrei arbeitet.

Beim Internet-Explorer allerdings ist "s.f.c." weitherhin drauf. Da ich diesen aber normal nie nutze, stört mich das nicht. Der Adwcleaner hat beim erneuten Scan auch nichts mehr gefunden.

Falls meine Sorglosigkeit gefährlich scheint, danke ich vorweg für entsprechende Hinweise.

Lieber Andreas, lieber Seniorhanseat!

Danke für die schnelle Unterstützung. Dein Thread, Seniorhanseat, tröstet erst mal und ich werde ihn als Plan B im Blick behalten. - Probiert habe ich nun deine Empfehlung, Andreas, mit dem Adwcleaner.

Hier der entsprechende Link zum Bericht: http://de.pastebin.de/38479

Danke bis hierhin schon mal für die Unterstützung.

Schönen Gruß - Ralf

Dabei handelt es sich vermutlich um eine Malware. Sie drängt sich zunächst auf die Mozilla-Startseite (Standardbrowser) und lässt sich von dort nicht deinstallieren. Von dort aus hat sie sich auch bei Internet-Explorer als Startseite festgebissen. - Windows XP arbeitet nun zunehmend verlangsamend. - Wer hat das Problem schon kennengelernt und lösen können?