Hallo zusammen!

Auch mich bzw. meinen Rechner hat es erwischt: Beim Surfen im Internet erschien plötzlich der mittlerweile vielen bekannte Bildschirm mit der Aufforderung doch 100,00 € per Ukash an irgendwelche Abzocker zu überweisen - und nichts ging mehr, bis auf des Herunterfahren über ALT + STRG + ENTF.

Ich habe micht daraufhin mal hier im Forum umgesehen, mir eine Reatogo-X-PE-CD erstellt und OTLpe durchlaufen lassen. Das log-File habe ich als .zip-Datei angehängt.

Vielleicht könnte ja mal jemand einen Blick darauf werfen und mir die Kontrolle über meinen Rechner zurückgeben.

Vielen Dank für Eure Hilfe.

MfG

Busch

Zitat:

C:\Dokumente und Einstellungen\***\***.zip

Was genau wurde hier zensiert?

Hallo Arne!

Danke für Deine Antwort.

Ich habe nur meinen Klarnamen durch *** ersetzt. Zufällig gab es eben ein .zip-Archiv welches meinen Namen trug. Da ich die OTL.txt-Datei über "Suchen und Ersetzen" geändert habe, ist somit auch der eigentliche Archivname geändert worden. Das Archiv habe ich selbst erstellt und es enthält nur ältere GnuCash-Logfiles.

Es gibt leider ein kleines Problem: Ich konnte es nicht lassen und habe bereits ein wenig am System herumgespielt: die jashla.exe gelöscht und, nachdem dann mein Bildschirm nach der Windows-Anmeldung blau blieb (Hintergrundbild (?!?), keine Icons, keine Startleiste, nur Task-Manager), dann auch den entsprechenden Eintrag in der Registry (Ich hoffe, jashla.exe hat den Eintrag neu angelegt und keinen Vorhandenen überschrieben, den ich evtl. wiederherstellen hätte müssen).
Ich komme seitdem wieder ins System und eigentlich scheint alles normal zu sein. Irgendwo stand allerdings, dass sich der Trojaner an mehreren Stellen ins System einnistet. Daher habe ich begonnen, Eure Standard-Prozedur durchzuführen. (Ich habe ja schließlich wieder Zugriff auf den Rechner ).
Also nachfolgend die Log-Files soweit ich sie erhalten habe. Aufgrund der Größe habe ich die OTL.txt auch mit gezippt.

GMER allerdings scheint neuerdings auch vor dem Scannen auf einen Neustart des Rechners zu bestehen - und der fällt ziemlich heftig aus. Das Programmfenster wird für Sekundenbruchteile angezeigt, anschließend wird der Bildschirm schwarz und der Rechner bootet neu. Gilt übrigens für die Versionen 1.0.15 und 1.0.14.
Beim Deaktivieren des Virenscanners (Antivir) bin ich bis zur Deinstallation gegangen, ansonsten waren immer noch Prozesse im Taskmanager aktiv.
Ich hoffe mal, es liegt an GMER und nicht an irgendwelchen Schadprogrammen, die sich gleich beim Start mit dem Programm anlegen.

Weiterhin hoffe ich, dass Du dich noch nicht allzu sehr mit der OTL.txt aus meinem letzten Posting beschäftigt hast, aber ich habe es erst jetzt geschafft, zu antworten. Bei dem aktuellen Andrang - es scheint ja eine richtige BKA-Trojaner-Epidemie im Gange zu sein - habe ich ehrlich gesagt damit gerechnet, noch ein oder zwei Tage auf Antwort warten zu müssen.

Gruß

Busch

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne!

Nachfolgend das Log-File (Der Übersichtlichkeit wegen habe ich es als Zitat eingefügt):

Zitat:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7428

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.08.2011 13:14:32
mbam-log-2011-08-11 (13-14-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|O:\|)
Durchsuchte Objekte: 323893
Laufzeit: 3 Stunde(n), 11 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\kleinhans\eigene dateien\IMG_0843.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\kleinhans\eigene dateien\IMG_0880.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\kleinhans\eigene dateien\IMG_0910.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\kleinhans\eigene dateien\IMG_0912.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.

Von diesen IMG-Dateien habe ich in dem selben Verzeichnis noch 28 weitere im Angebot . Alle fast durchlaufend nummeriert und am 08.04.2011 zw. 11:24 und 11:25 erstellt. (Wie die von Malwarebytes in Quarantäne genommenen Dateien.)
Die Dateien lassen sich alle nicht mit der Windows Bild- und Faxanzeige öffnen - keine Vorschau verfügbar.
Malwarebytes hat aber nur die obigen vier bemängelt.
Wenn Du mich fragst, ob die Dateien von mir dorthin kopiert worden sind: Höchstwahrscheinlich nicht.

Was nun? (Oder: Welcher Scanner darf es jetzt sein? )



Gruß

Busch

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Arne!

Nachfolgend das Log-File (Der Übersichtlichkeit wegen wieder als Zitat eingefügt):

Zitat:

# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=4462ff0d5c97944994cb99d3ecb3783d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-13 09:36:50
# local_time=2011-08-13 11:36:50 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 93 113410 49693586 106069 0
# compatibility_mode=8192 67108863 100 0 29020 29020 0 0
# scanned=285392
# found=26
# cleaned=0
# scan_time=66488
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\4\F5\B1579d01 JS/Exploit.Pdfka.PCW.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\5\A6\2DFB5d01 JS/Kryptik.BU trojan (unable to clean) 00000000000000000000000000000000 I
C:\MeineDaten\Michael\c-temp\eicar_com.zip Eicar test file (unable to clean) 00000000000000000000000000000000 I
C:\MeineDaten\Michael\c-temp\VIRUSTEST.COM Eicar test file (unable to clean) 00000000000000000000000000000000 I
C:\MeineDaten\Michael\D\heruntergeladene_Programme\treeMDI\treemdi.zip Win32/Parite.B virus (unable to clean) 00000000000000000000000000000000 I
C:\MeineDaten\Michael\D\TEMP\MK_TEMP\aolt.zip Win32/Adware.Aureate application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\14.TMP Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\1D.TMP Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\21.TMP Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~74.tmp.exe Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~77.tmp.exe Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Eigene Dateien\_C9E0000 Win32/Adware.Virtumonde.NEO application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Programme\Gemeinsame Dateien\Windows\services32.exe probably a variant of Win32/Adware.Agent.MZVYIRP application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\Temp\removalfile.bat Win32/Adware.Virtumonde application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\ASFRG.EXE Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\EFCYV.DLL a variant of Win32/TrojanDownloader.ConHook trojan (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\YAYVT.DLL Win32/Adware.Virtumonde application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\DDCDD.DLL Win32/Adware.Virtumonde application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\CFGGH.TMP Win32/Adware.Virtumonde.NEO application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\cfggh.ini2 Win32/Adware.Virtumonde.NEO application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak2 Win32/Adware.Virtumonde.NEO application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\fofkskxxe.exe Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\narwcrncvegeta.exe Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak1 Win32/Adware.Virtumonde.NEO application (unable to clean) 00000000000000000000000000000000 I
J:\Wolf\c\Windows\SYSTEM32\hrzuhhapnfvo.exe Win32/Bobax.AM worm (unable to clean) 00000000000000000000000000000000 I
J:\Kleinhans\G\temp\aasetup.exe a variant of Win32/Adware.TimeSink.AA application (unable to clean) 00000000000000000000000000000000 I

Sorgen bereiten mir eigentlich nur der 1. und 2. sowie der 5. und 6. Fund.

J: ist eine Festplatte, die nur sporadisch angeschlossen wird.
Bei den Befunden unter J:\Wolf\c\... handelt es sich um eine Sicherheitskopie einer Festplatte bevor diese "platt" gemacht wurde. Auf die verdächtigen Dateien sollte von diesem System aus nicht zugegriffen worden sein.
-> Einfaches löschen genügt?

J:\Kleinhans\G\temp\aasetup.exe: Keine Ahnung, wie ich zu diesem "Schätzchen" gekommen bin. Wurde auf dem aktuellen System aber vermutlich auch nicht ausgeführt.



Gruß

Busch

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.html
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost;192.168.0.11;192.168.0.15;192.168.0.11;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = ftp=192.168.0.15:8080;http=192.168.0.15:8080;https=192.168.0.15:8080;socks=192.168.0.15:8080
FF - prefs.js..network.proxy.backup.ftp: "192.168.0.15"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "192.168.0.15"
FF - prefs.js..network.proxy.backup.gopher_port: 8080
FF - prefs.js..network.proxy.backup.socks: "192.168.0.15"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "192.168.0.15"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "192.168.0.15"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "192.168.0.15"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "192.168.0.15"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, 192.168.0.11, 192.168.0.15, m_***"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.0.15"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "192.168.0.15"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 1
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
[2011.08.10 04:31:38 | 000,935,625 | ---- | M] () -- C:\Temp.zip
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\z.ini
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\y.ini
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\x.ini
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\w.ini
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\v.ini
[2009.06.04 18:01:45 | 000,000,012 | ---- | C] () -- C:\WINDOWS\System32\u.ini
:Files
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.tmp
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe
J:\Wolf\c\Windows\Temp\removalfile.bat
J:\Wolf\c\Windows\SYSTEM32\ASFRG.EXE
J:\Wolf\c\Windows\SYSTEM32\EFCYV.DLL
J:\Wolf\c\Windows\SYSTEM32\YAYVT.DLL
J:\Wolf\c\Windows\SYSTEM32\DDCDD.DLL
J:\Wolf\c\Windows\SYSTEM32\CFGGH.TMP
J:\Wolf\c\Windows\SYSTEM32\cfggh.ini2
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak2
J:\Wolf\c\Windows\SYSTEM32\fofkskxxe.exe
J:\Wolf\c\Windows\SYSTEM32\narwcrncvegeta.exe
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak1
J:\Wolf\c\Windows\SYSTEM32\hrzuhhapnfvo.exe
J:\Wolf\c\Eigene Dateien\_C9E0000
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\4\F5\B1579d01
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\5\A6\2DFB5d01
J:\Kleinhans\G\temp
C:\MeineDaten\Michael\c-temp
C:\MeineDaten\Michael\D\heruntergeladene_Programme\treeMDI\treemdi.zip
C:\MeineDaten\Michael\D\TEMP
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne!

Zunächst mal das Log-File nach dem Ausführen des OTL-Fixes:

Zitat:

========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
File C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "192.168.0.15" removed from network.proxy.backup.ftp
Prefs.js: 8080 removed from network.proxy.backup.ftp_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.gopher
Prefs.js: 8080 removed from network.proxy.backup.gopher_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.socks
Prefs.js: 8080 removed from network.proxy.backup.socks_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.ssl
Prefs.js: 8080 removed from network.proxy.backup.ssl_port
Prefs.js: "192.168.0.15" removed from network.proxy.ftp
Prefs.js: 8080 removed from network.proxy.ftp_port
Prefs.js: "192.168.0.15" removed from network.proxy.gopher
Prefs.js: 8080 removed from network.proxy.gopher_port
Prefs.js: "192.168.0.15" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: "localhost, 127.0.0.1, 192.168.0.11, 192.168.0.15, m_***" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "192.168.0.15" removed from network.proxy.socks
Prefs.js: 8080 removed from network.proxy.socks_port
Prefs.js: "192.168.0.15" removed from network.proxy.ssl
Prefs.js: 8080 removed from network.proxy.ssl_port
Prefs.js: 1 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
File C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\ deleted successfully.
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ not found.
File C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
File C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
File C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll not found.
C:\Temp.zip moved successfully.
C:\WINDOWS\system32\z.ini moved successfully.
C:\WINDOWS\system32\y.ini moved successfully.
C:\WINDOWS\system32\x.ini moved successfully.
C:\WINDOWS\system32\w.ini moved successfully.
C:\WINDOWS\system32\v.ini moved successfully.
C:\WINDOWS\system32\u.ini moved successfully.
========== FILES ==========
File\Folder J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.tmp not found.
File\Folder J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe not found.
File\Folder J:\Wolf\c\Windows\Temp\removalfile.bat not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\ASFRG.EXE not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\EFCYV.DLL not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\YAYVT.DLL not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\DDCDD.DLL not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\CFGGH.TMP not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\cfggh.ini2 not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\cfggh.bak2 not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\fofkskxxe.exe not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\narwcrncvegeta.exe not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\cfggh.bak1 not found.
File\Folder J:\Wolf\c\Windows\SYSTEM32\hrzuhhapnfvo.exe not found.
File\Folder J:\Wolf\c\Eigene Dateien\_C9E0000 not found.
File\Folder C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\4\F5\B1579d01 not found.
File\Folder C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\5\A6\2DFB5d01 not found.
File\Folder J:\Kleinhans\G\temp not found.
C:\MeineDaten\Michael\c-temp\temp folder moved successfully.
C:\MeineDaten\Michael\c-temp\Anfahrtskizze Firma folder moved successfully.
C:\MeineDaten\Michael\c-temp folder moved successfully.
C:\MeineDaten\Michael\D\heruntergeladene_Programme\treeMDI\treemdi.zip moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\VDMA-Ordner\.xvpics folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\VDMA-Ordner folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\Stinger folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\SCANBI~1\LAND\GUELLMIX folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\SCANBI~1\LAND folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\SCANBI~1\BAU\WINDEN folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\SCANBI~1\BAU folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\SCANBI~1 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien\.xvpics folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\TEMP_gemeinsame_Dateien folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\y2k_GIFs folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\Stinger folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Tabellen\kurzfassung folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Tabellen folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Module folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Makros folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Formulare folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Berichte folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen\Abfragen folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a_ohne_Änderungen folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a-mit_mwx_Änderungen\Tabellen\Kurzfassung folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a-mit_mwx_Änderungen\Tabellen folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf\KHKPPS-Version1.2a-mit_mwx_Änderungen folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Temp-Verkauf folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\temp-Steffenewers\SchockWave folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\temp-Steffenewers folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\temp\t2 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\temp\t1 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\temp folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Netzwerkkarte Realtek RTL8139(A) PCI folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\WinNT4.0\Version_43.03_vom_041603 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\WinNT4.0 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\Win95_Win98_WinME\Version_43.03_vom_041603 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\Win95_Win98_WinME folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\Win2000_WinXP\Version_43.03_vom_041603 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX\Win2000_WinXP folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck\Grafikkarte NVIDIA GeForce 2 MX folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Rechner Asbeck folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Popfile folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\playlist folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\MK_TEMP\test folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\MK_TEMP folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\metemp folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\Lycos-Sambar-Ordner folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\kolp folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\klass04 folder moved successfully.
C:\MeineDaten\Michael\D\TEMP\bildverarbeitung folder moved successfully.
C:\MeineDaten\Michael\D\TEMP folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08162011_125011

Wie Du evtl. bemerkt hast, sind mir da 2 kleine "Fauxpas" unterlaufen:
- Ich habe die Maskierung des Klarnamens nicht rückgängig gemacht.
- Die externe Festplatte war nicht angeschlossen.

Ich hoffe, dieses Mißgeschick mit folgendem gekürztem "Fix" korrigiert zu haben:

Zitat:

:OTL
FF - prefs.js..network.proxy.backup.ftp: "192.168.0.15"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "192.168.0.15"
FF - prefs.js..network.proxy.backup.gopher_port: 8080
FF - prefs.js..network.proxy.backup.socks: "192.168.0.15"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "192.168.0.15"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "192.168.0.15"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "192.168.0.15"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "192.168.0.15"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, 192.168.0.11, 192.168.0.15, m_kleinhans"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.0.15"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "192.168.0.15"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 1
:Files
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.tmp
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe
J:\Wolf\c\Windows\Temp\removalfile.bat
J:\Wolf\c\Windows\SYSTEM32\ASFRG.EXE
J:\Wolf\c\Windows\SYSTEM32\EFCYV.DLL
J:\Wolf\c\Windows\SYSTEM32\YAYVT.DLL
J:\Wolf\c\Windows\SYSTEM32\DDCDD.DLL
J:\Wolf\c\Windows\SYSTEM32\CFGGH.TMP
J:\Wolf\c\Windows\SYSTEM32\cfggh.ini2
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak2
J:\Wolf\c\Windows\SYSTEM32\fofkskxxe.exe
J:\Wolf\c\Windows\SYSTEM32\narwcrncvegeta.exe
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak1
J:\Wolf\c\Windows\SYSTEM32\hrzuhhapnfvo.exe
J:\Wolf\c\Eigene Dateien\_C9E0000
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\4\F5\B1579d01
C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\5\A6\2DFB5d01
J:\Kleinhans\G\temp
:Commands
[purity]
[resethosts]

Das Ergebnis war:

Zitat:

========== OTL ==========
Prefs.js: "192.168.0.15" removed from network.proxy.backup.ftp
Prefs.js: 8080 removed from network.proxy.backup.ftp_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.gopher
Prefs.js: 8080 removed from network.proxy.backup.gopher_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.socks
Prefs.js: 8080 removed from network.proxy.backup.socks_port
Prefs.js: "192.168.0.15" removed from network.proxy.backup.ssl
Prefs.js: 8080 removed from network.proxy.backup.ssl_port
Prefs.js: "192.168.0.15" removed from network.proxy.ftp
Prefs.js: 8080 removed from network.proxy.ftp_port
Prefs.js: "192.168.0.15" removed from network.proxy.gopher
Prefs.js: 8080 removed from network.proxy.gopher_port
Prefs.js: "192.168.0.15" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: "localhost, 127.0.0.1, 192.168.0.11, 192.168.0.15, m_kleinhans" removed from network.proxy.no_proxies_on
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "192.168.0.15" removed from network.proxy.socks
Prefs.js: 8080 removed from network.proxy.socks_port
Prefs.js: "192.168.0.15" removed from network.proxy.ssl
Prefs.js: 8080 removed from network.proxy.ssl_port
Prefs.js: 1 removed from network.proxy.type
========== FILES ==========
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\TMP40.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\TMP41.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\TMP73.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\TMP6.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\8.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\12.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\TMP7F.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\15.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\14.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\1D.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\27.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\21.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\39.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~74.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~2.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~73.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~77.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~78.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4DD3CF59.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\44.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\45.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\46.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\47.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\48.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\49.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4A.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4B.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4C.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4D.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4E.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\4F.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\50.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\51.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\52.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\53.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\54.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\55.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\56.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\57.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\58.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\59.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5A.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5B.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5C.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5D.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5E.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\5F.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\60.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\61.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\62.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\63.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\64.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\65.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\66.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\67.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\68.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\69.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~7B.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~7C.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~7F.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~80.TMP moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\GLB1A2B.EXE moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~74.tmp.exe moved successfully.
J:\Wolf\c\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~77.tmp.exe moved successfully.
J:\Wolf\c\Windows\Temp\removalfile.bat moved successfully.
J:\Wolf\c\Windows\SYSTEM32\ASFRG.EXE moved successfully.
J:\Wolf\c\Windows\SYSTEM32\EFCYV.DLL moved successfully.
J:\Wolf\c\Windows\SYSTEM32\YAYVT.DLL moved successfully.
J:\Wolf\c\Windows\SYSTEM32\DDCDD.DLL moved successfully.
J:\Wolf\c\Windows\SYSTEM32\CFGGH.TMP moved successfully.
J:\Wolf\c\Windows\SYSTEM32\cfggh.ini2 moved successfully.
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak2 moved successfully.
J:\Wolf\c\Windows\SYSTEM32\fofkskxxe.exe moved successfully.
J:\Wolf\c\Windows\SYSTEM32\narwcrncvegeta.exe moved successfully.
J:\Wolf\c\Windows\SYSTEM32\cfggh.bak1 moved successfully.
J:\Wolf\c\Windows\SYSTEM32\hrzuhhapnfvo.exe moved successfully.
J:\Wolf\c\Eigene Dateien\_C9E0000 moved successfully.
File\Folder C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\4\F5\B1579d01 not found.
File\Folder C:\Dokumente und Einstellungen\Kleinhans\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\o9a5ivfe.default\Cache\5\A6\2DFB5d01 not found.
J:\Kleinhans\G\temp folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08172011_145616

Die Yahoo-Toolbar stand auch auf meiner Abschussliste - ich habe zufällig während der ganzen Virenjagd den Eintrag der Toolbar unter Systemsteuerung/Software mit einer Option "Entfernen" entdeckt und diese dann ausgeführt. Daher die Fehlermeldungen bzgl. der Yahoo-Toolbar. Ich hoffe, ich bin das Ding entgültig los und es installiert sich nicht heimlich, still und leise wieder.

Danke, dass Du dich auch um die Conduit-Toolbar gekümmert hast. Die hat nämlich wirklich Ärger gemacht. Die "Disable"-Option im Internet-Explorer wird nach wenigen Tagen ignoriert und das Ding wieder sichtbar. Löscht man die Dateien im Conduit-Verzeichnis, laden die sich später an anderer Stelle wieder hoch ...

Wie sieht es aus? Ist der Rechner langsam wieder "Online-Banking-Clean"?
Ich nehme mal an, abschließende Scanner-Durchläufe mit Malwarebytes und dem ESET-Scanner wären kein Fehler (wie auch sporadische Durchläufe alle paar Wochen)?



Gruß

Busch

Zitat:

Wie sieht es aus? Ist der Rechner langsam wieder "Online-Banking-Clean"?

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den riskanten Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.

Warum habe ich diese Antwort nur erwartet ...?!?

Wahrscheinlich wäre ich heutzutage fürs Online-Banking mit einer eigenen Partition mit eigenem Betriebssystem (besser Linux als Windows), aktuellen Updates für Betriebssystem, Browser und Virenscanner, kein eMailverkehr und kein allgemeines Surfen auch nur halbwegs auf der sicheren Seite.


Gruß

Busch

Windows kann eine sicherer Plattform sein, nur wenn der User das Thema vernachlässigt (v.a. nicht auf seine Adminrechte verzichten will, jeden Dreck installiert und zu spät oder garnicht Updates installiert ist eine Infektion schon fast vorprogrammiert)

Man kann sicher Onlinebanking auch unter Windows betreiben, allerdings ist dies nun wirklich nicht mehr sicher, wenn das auf einem verseuchten oder bereinigten System passiert.

Aber ist deine Entscheidung, es ist dein Konto und dein Geld.