Zitat:

Zitat von Chris4You

Hi,

OTL zeigt nur die richtige EXE an...Sie müsste im Run-Block stehen, tut sie aber nicht...

Prüf das bitte mal mit autoruns nach...

chris

Was heißt das nun genau?

Und nach was soll ich im Programm suchen?..

Hi,

das ist die einzigste firefox.exe im Log von OTL:
PRC - [2012/02/08 21:31:09 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(das ist die richtige),
die von TuneUp liegt im Datenverzeichnis und ist die Malware... Also bei dem WErkzeug von Systinternals diesen Eintrag suchen... Wenn es ihn tatsächlich gibt, dann haben die autoren der malware einen Weg gefunden OTL "auszutricksen"...

chris

Ich verstehe das nicht richtig so, habe jetzt mal alles durchgesucht aber neine einzige Firefox.exe

Und auch mit der Suchfunktion von dem Programm finde ich nicht Firefox.exe

Hmmm

Also was soll ich nun tun Chris?

Hi,

gibt es noch Umleitungen beim Internet?

Gruß,
Ralf

WIe meinst du das?

Hi,

nun ja, sind noch seltsame Effekte zu beobachten, du willst in Google eine Seite aufmachen und kommst bei einer andere an etc.?

chris

Hey

Nein sowas habe ich nicht! Habe halt immernoch die Datei "theo" hmm

Hi,

schauen wir mal:
Scan mit SystemLook

Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

chris

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 12:19 on 17/02/2012 by Theo Hulok
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=""
"BATINDICATOR"="C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\BATINDICATOR.exe"
"LaunchHPOSIAPP"="C:\Program Files (x86)\Hewlett-Packard\HP MAINSTREAM KEYBOARD\LaunchApp.exe"
"Easybits Recovery"="C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe"
"avast"=""C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui"
"IAStorIcon"="C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe"
"AdobeCS5.5ServiceManager"=""C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin"
"SwitchBoard"="C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe"
"StartCCC"=""C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun"
"Anti-phishing Domain Advisor"=""C:\ProgramData\Anti-phishing Domain Advisor\visicom_antiphishing.exe""
"LogMeIn Hamachi Ui"=""C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start"
"Malwarebytes' Anti-Malware"=""C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray"


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"=""C:\steam\steam.exe" -silent"


[]
Hive unrecognized.

-= EOF =-
         

Hi,

müssen wir noch mal mit der 64-Bit Version wiederholen, dazu später mehr...

chris

okay, melde du dich dan einfach bitte

Hi,

Lade SystemLook (64Bit) von einem der folgenden Links und speichere das Tool auf dem Desktop.
32Bit
64Bit

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User/Win7 mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] /s
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

chris

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 23:49 on 18/02/2012 by Theo Hulok
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BeatsOSDApp"="C:\Program Files\IDT\WDM\beats64.exe"
"hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe"
"SysTrayApp"="C:\Program Files\IDT\WDM\sttray64.exe"
"AdobeAAMUpdater-1.0"=""C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe""


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"=""C:\steam\steam.exe" -silent"


[]
Hive unrecognized.

-= EOF =-
         

Hi,

taucht auch nicht auf, dafür ein unbekannter Hive...

Schrubben wir mal mit CCleaner...
Anleitung & Download: http://www.trojaner-board.de/51464-a...-ccleaner.html

chris