Gude,
ich hoffe ich bin in der richtigen Rubrik gelandet.
Naja...wie oben schon gesagt, öffnet sich bei mir ein unbekanntes Fenster unten links und schliesst sich sofort wieder ohne das ich etwas erkennen könnte...konnte also nicht wirklich im Internet finden, da ich auch nichts konkretes als suche eineben konnte.

Zu Punkt 1...das mit diesem defogger...ich hatte es runtergeladen, aber beim starten kam ein kleines Fenster was fragte "enebel" und "re-enebel" somit wusste ich nicht was ich klicken sollte...oder ich hab die erklärung nicht verstanden.

Die weiteren Punkte hab ich abgearbeitet und sind im Anhang zu finden.
Desweiteren hab ich ein Screenshot einer Meldung von Avira mal dazu gepackt.

Ich hoffe ihr könnt mir helfen und ich bis jetzt alles soweit richtig gemacht, dass mir auch geholfen werden kann.


schonmal vielen Dank!

Mfg
Franzis

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sry,
aber ich finde das Addon für Firefox nicht!

ESET Online Scanner

im anhang die angeforderten logs!

danke schonmal im vorraus!

mfg

Zitat:

C:\Program Files (x86)\Uniblue\RegistryBooster\Launcher.exe a variant of Win32/RegistryBooster application

Finger weg vom RegistryBooster!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Danke schonmal für die Info...ich habe auch meines wissens auch noch nicht damit gearbeitet, wenn ich nicht falsch liege, ist es bei meinem acer laptop vorinstalliert gewesen.

aber ist das die lösung meines problems?

mfg

Es geht mir darum, dass du diese Hinweise ernst nimmst! Deswegen poste ich auch nicht zuviele Thematiken in einen Posting sonst verschwindet die Übersicht. Ich wollte, dass du die RegistryBooster zur Kenntnis nimmst und vllt kurz kommentierst (oder auch nicht) dann geht es weiter.


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360410s826l0338z195t4971g23q
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Radio Bar 2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405727&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://www.google.com/webhp?hl=de"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.2.0
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.1.1&q="
[2011.09.28 21:08:46 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.09.28 21:08:49 | 000,000,000 | ---D | M] (Radio Bar 2 Community Toolbar) -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\{9bb815eb-3f9f-4e11-9150-cb70e29b40fc}
[2011.10.08 01:51:42 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\FranZis\AppData\Roaming\mozilla\Firefox\Profiles\vmk36ebl.default\extensions\ffxtlbr@Facemoods.com
[2010.10.23 10:17:14 | 000,000,925 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\conduit.xml
[2011.10.27 09:25:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-1.xml
[2011.03.06 14:23:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-10.xml
[2011.03.24 20:06:18 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-11.xml
[2011.04.24 18:10:32 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-12.xml
[2011.05.05 21:47:27 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-13.xml
[2011.05.05 21:51:17 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-14.xml
[2011.06.27 19:13:45 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-15.xml
[2011.08.18 06:22:40 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-16.xml
[2011.08.31 21:10:41 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-17.xml
[2011.09.07 18:59:19 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-18.xml
[2011.10.07 18:01:49 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-19.xml
[2010.07.22 18:31:27 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-2.xml
[2010.08.09 20:39:17 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-3.xml
[2010.09.10 22:30:21 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-4.xml
[2010.09.17 18:39:48 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-5.xml
[2010.10.21 16:27:01 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-6.xml
[2010.10.23 21:36:11 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-7.xml
[2010.12.11 10:36:57 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-8.xml
[2011.03.03 21:59:00 | 000,000,950 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin-9.xml
[2011.09.25 13:49:54 | 000,000,168 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.gif
[2011.09.25 13:49:54 | 000,000,618 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.src
[2010.06.26 10:39:12 | 000,001,056 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\icqplugin.xml
[2010.04.04 20:12:31 | 000,004,140 | ---- | M] () -- C:\Users\FranZis\AppData\Roaming\Mozilla\Firefox\Profiles\vmk36ebl.default\searchplugins\youtube.xml
[2010.12.09 11:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [facemoods] C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)
O4 - HKCU..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{8aa25efd-5def-11df-ba20-0026c62c9e66}\Shell - "" = AutoRun
O33 - MountPoints2\{8aa25efd-5def-11df-ba20-0026c62c9e66}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
[2011.10.08 01:51:42 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\facemoods.com
[2009.10.29 06:58:47 | 000,036,136 | ---- | C] (Oberon Media) -- C:\ProgramData\FullRemove.exe
[2011.07.24 15:26:18 | 000,000,000 | -HSD | M] -- C:\Users\FranZis\AppData\Roaming\.#
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:444C53BA
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

gude,

nach dem ich auf fix geklickt habe wurde ich aufgefordet alles zu speichern und konnte nur auf schliessen gehn und dann kam schon der neustart.

nach dem wieder hoch fahren erschien nur dass


Files\Folders moved on Reboot...
C:\Users\FranZis\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

war das soweit richtig?

mfg

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

ist hochgeladen!

mfg

Mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hoffe habe wieder alles richtig gemacht!

mfg

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: ""
FF - prefs.js..browser.search.defaultthis.engineName: ""
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: ""
FF - prefs.js..browser.search.useDBForOrder: ""
O32 - HKLM CDRom: AutoRun - 1
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

So...wieder wie vorgeschrieben durchgeführt...kannst du mir vllt erklären was die scripte so machen? würde das gerne verstehen...oder versuchen zu verstehen.
danke schonmal!

mfg