Das Mediaget wird kaum was mit dem Webinar zutun haben.
Es muss ueber ein Browser-Plugin laufen. Wie heisst die Software fuer das Webinar?

Sehr gut!

damit bist Du sauber und entlassen!


Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen

=> dort reinschreiben

ComboFix /Uninstall => Enter drücken

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

• Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
• temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Guten Abend t'john,

so, das Programm für das Webinar: hxxp://1222757.livebroadcast.talkfusionlive.com/golive/m/TkypnforN4EAcBHJ

Combifix konnte nicht gefunden werden, aber das hatte ich (glaube ich) schon deinstalliert.
OTL hat alles gemacht, was es sollte und CCleaner habe ich eh' wegen der Registrty und Java-Geschichte laufen lassen. Die Einstellungen beim IE kann ich nicht machen, da ich den Firefox benutze und hier den privaten Modus nutze.

Ich habe den PlugIn check angeklcikt. Da wird mir wieder erzählt, dass Java nicht installiert oder aktiviert ist. Mit Java kriege ich langsam die Kriese.

Ansonsten vielen lieben Dank für deine Hilfe. Hauptsache der PC ist wieder sauber. Alles andere, was du an Hilfestellung angegeben hast, werde ich nach und nach abarbeiten. Einiges habe ich schon gemacht. Ich werde es auf jeden Fall kontrollieren.

Ich wünsche dir einen schönen Tag.

Lyci

Das Webinar laeuft mit Flash:

Adobe - Adobe Flash Player installieren
(die Beigabe McAffee abwaehlen!)

Was wird hier angezeigt?
Java-Version überprüfen

Hi t'john,

ich hatte flash installiert. Auch deine angegebene update version. Ich habe sogar flash air drauf, auch wenn ich nicht weiß, was das Ding kann oder soll. ;-)
Ich habe beide deinstalliert und deine angegebene Version installiert. air ist noch drauf, aber ich deinstalliere das Ding auch gerne.

Mir wird beim Öffnen von Webseiten fast immer angezeigt, dass noch plug-ins fehlen. Da ich nicht weiß, ob das nur eine grafische Sache ist und bei Java oder Flash etwas fehlt, bin ich da vorsichtig mit der Installation von zusätzlichen Dingen.

So, im Anhang findest du die Antwort von Java. Nicht drauf oder nicht aktualisiert. Dabei habe ich die letzte Version ist Java (TM) 7 Update 5 (64 bit) Oracle etc. steht in der Systemsteuerung. Die 32 Bit Version bekomme ich nicht drauf. Da kommt immer die Meldung, es würde schon eine Version installiert sein. Ich habe jedoch alles aus der Registry und den normalen Ordnern entfernt. So habe ich auch die alte, doppelte Version wegbekommen. Zumindest wird sie mir nicht mehr in der Systemsteuerung angezeigt. Einen Ordner davon finde ich auch nicht mehr im System. Ich weiß nicht, wo sich noch etwas von der 32 er oder altem Java versteckt haben könnte. Hilfe, ich bin blond! ;-)

Ach ja, ich wähle immer zusätzliche Angebote ab.

MfG

Lyci

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi t'john,

es gibt 2 Ergebnisdateien, die sehr lang sind. Sie hängen wieder als rar an. Mein PC rappelt und rappelt... was macht der da im Hintergrund? ;-)

MfG

Lyci

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1304805427-2328156682-2798200666-1000\..\SearchScopes\{0B5AACFE-335B-4622-ACCA-A976359D2192}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=80571862-FCED-4BE5-B127-94736731FC4A&apn_sauid=7A083B97-7FB0-4A46-A681-BB2787C08A5F 
IE - HKU\S-1-5-21-1304805427-2328156682-2798200666-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.claro-search.com/?q={searchTerms}&affID=114171&tt=3012_1&babsrc=SP_iclro&mntrId=d2f250df000000000000000000000000 
FF - prefs.js..browser.search.defaultenginename: "Claro Search" 
FF - prefs.js..browser.search.defaultthis.engineName: "" 
FF - prefs.js..browser.search.defaulturl: "" 
FF - prefs.js..browser.search.order.1: "Claro Search" 
FF - prefs.js..browser.search.selectedEngine: "Google" 
FF - prefs.js..browser.search.useDBForOrder: "" 
FF - prefs.js..browser.startup.homepage: "about:blank" 
FF - prefs.js..keyword.URL: "http://isearch.claro-search.com/?affID=114171&tt=3012_1&babsrc=KW_iclro&mntrId=d2f250df000000000000000000000000&q=" 
FF - prefs.js..network.proxy.no_proxies_on: ", stealthy.co" 
FF - prefs.js..network.proxy.type: 0 
O2 - BHO: (no name) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - No CLSID value found. 
 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 
O7 - HKU\S-1-5-21-1304805427-2328156682-2798200666-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 
O7 - HKU\S-1-5-21-1304805427-2328156682-2798200666-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 
O8:64bit: - Extra context menu item: Download all links with IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm File not found 
O8:64bit: - Extra context menu item: Download FLV video content with IDM - C:\Program Files (x86)\Internet Download Manager\IEGetVL.htm File not found 
O8:64bit: - Extra context menu item: Download with IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm File not found 
O8 - Extra context menu item: Download all links with IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm File not found 
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files (x86)\Internet Download Manager\IEGetVL.htm File not found 
O8 - Extra context menu item: Download with IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Reg Error: Key error.) 
O32 - HKLM CDRom: AutoRun - 1 


[2012/07/29 21:14:05 | 000,003,584 | R--- | M] () -- C:\Users\nett-marketing\AppData\Roaming\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe 
[2012/07/29 01:00:16 | 000,002,413 | ---- | M] () -- C:\Users\nett-marketing\AppData\Roaming\Mozilla\Firefox\Profiles\m8tbqzhj.default\searchplugins\askcom.xml 
[2012/07/30 01:36:20 | 000,000,000 | ---D | C] -- C:\Users\nett-marketing\AppData\Roaming\BabylonToolbar 
[2012/07/30 01:36:07 | 000,000,000 | ---D | C] -- C:\Users\nett-marketing\AppData\Roaming\Babylon 
[2012/07/30 01:36:07 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon 
[2012/07/30 01:36:19 | 000,001,329 | ---- | M] () -- C:\user.js 
[2012/06/21 21:43:58 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12001.022
[2012/06/22 18:58:38 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12001.023
[2012/06/24 20:08:03 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12001.024
[2012/06/25 21:32:38 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12001.026
[2012/05/17 02:01:36 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12007
[2012/05/18 00:28:14 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12008
[2012/05/21 14:25:03 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12009
[2012/05/22 16:00:19 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12010
[2012/05/31 18:59:14 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12011
[2012/06/04 19:49:21 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12012
[2012/06/12 20:59:51 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12014
[2012/06/13 21:39:03 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12015
[2012/06/14 18:59:08 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12016
[2012/06/15 18:42:39 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12017
[2012/06/18 02:30:49 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12018
[2012/06/18 16:07:12 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12019
[2012/06/18 18:35:40 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12020
[2012/06/19 19:53:31 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12021

[2012/05/17 02:01:36 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\12007 
[2012/05/17 02:01:22 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\kock 
[2012/05/17 02:01:24 | 000,000,000 | ---D | M] -- C:\Users\nett-marketing\AppData\Roaming\xmldm 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[emptyjava]
[CLEARALLRESTOREPOINTS]
[Reboot]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Guten Abend t'john,

das System ist eingefroren nach der Ausführung des OTL scriptes. Nach dem Neustart kam jedoch ein Logfile:


Files\Folders moved on Reboot...
C:\Users\nett-marketing\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\nett-marketing\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

MfG

Lyci

An welcher Stelle ist es eingefroren?

Bitte wiederholen.

hi t'john,

an welcher Stelle kann ich dir nicht sagen, denn es tat sich nichts mehr. Vielleicht kannst du es aus dem "alten" Log erkennen? Der war ja deutlich kürzer. Naja, ich sehe da nix, außer dass angeblich etwas getan wurde. :-(
Dieses mal sieht es ordentlich aus:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1304805427-2328156682-2798200666-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0B5AACFE-335B-4622-ACCA-A976359D2192}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B5AACFE-335B-4622-ACCA-A976359D2192}\ not found.
Registry key HKEY_USERS\S-1-5-21-1304805427-2328156682-2798200666-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Prefs.js: "Claro Search" removed from browser.search.defaultenginename
Prefs.js: "" removed from browser.search.defaultthis.engineName
Prefs.js: "" removed from browser.search.defaulturl
Prefs.js: "Claro Search" removed from browser.search.order.1
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "" removed from browser.search.useDBForOrder
Prefs.js: "about:blank" removed from browser.startup.homepage
Prefs.js: "hxxp://isearch.claro-search.com/?affID=114171&tt=3012_1&babsrc=KW_iclro&mntrId=d2f250df000000000000000000000000&q=" removed from keyword.URL
Prefs.js: ", stealthy.co" removed from network.proxy.no_proxies_on
Prefs.js: 0 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0055C089-8582-441B-A0BF-17B458C2A3A8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0055C089-8582-441B-A0BF-17B458C2A3A8}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives not found.
Registry value HKEY_USERS\S-1-5-21-1304805427-2328156682-2798200666-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives not found.
Registry value HKEY_USERS\S-1-5-21-1304805427-2328156682-2798200666-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download all links with IDM\ deleted successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download FLV video content with IDM\ deleted successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download with IDM\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download all links with IDM\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download FLV video content with IDM\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Download with IDM\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\Users\nett-marketing\AppData\Roaming\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe not found.
File C:\Users\nett-marketing\AppData\Roaming\Mozilla\Firefox\Profiles\m8tbqzhj.default\searchplugins\askcom.xml not found.
Folder C:\Users\nett-marketing\AppData\Roaming\BabylonToolbar\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\Babylon\ not found.
Folder C:\ProgramData\Babylon\ not found.
File C:\user.js not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12001.022\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12001.023\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12001.024\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12001.026\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12007\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12008\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12009\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12010\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12011\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12012\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12014\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12015\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12016\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12017\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12018\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12019\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12020\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12021\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\12007\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\kock\ not found.
Folder C:\Users\nett-marketing\AppData\Roaming\xmldm\ not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\nett-marketing\Desktop\cmd.bat deleted successfully.
C:\Users\nett-marketing\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: nett-marketing
->Temp folder emptied: 4166 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16788993 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 492 bytes

User: nettmarketing
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 47684814 bytes

Total Files Cleaned = 62.00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: nett-marketing
->Flash cache emptied: 0 bytes

User: nettmarketing
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0.00 mb


[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: nett-marketing
->Java cache emptied: 0 bytes

User: nettmarketing
->Java cache emptied: 0 bytes

User: Public

Total Java Files Cleaned = 0.00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.55.0 log created on 07312012_193842

Files\Folders moved on Reboot...
C:\Users\nett-marketing\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\nett-marketing\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Leider meldet sich diese isearch-Geschichte wieder, wenn ich einen neuen Tab im Firefox aufmache. Beim öffnen kommt "blank", wie ich es eingestellt habe, aber nicht beim neuen Tab.
In deiner Liste sehe ich immer den IE, den benutze ich doch nicht oder hat das nichts damit zu tun? Wenn der Firefox auftaucht, dann mit Toolbars, die ich schon irgendwie mühevoll entfernt habe. Aber nicht dieses dusselige "iseaarch". Aber ich habe nur "gesundes Halbwissen" und will dir nicht dazwischen backen. ;-)

Vielen Dank auf jeden Fall für all deine Mühe.

Lyci

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

kurze Meldung zwischendurch.
Ich wollte CombiFix von ForoSpyware.com runterladen. Kaum hatte ich den Link angeklickt und der PC versuchte zu verbinden, erschienen kryptische Zeichen. Ich habe einen screenshot gemacht und dir angehängt. Ich musste den Prozess über den Taksmanager unterbrechen.

So, nun schaue ich, wie es mit dem anderen Link funktioniert.

Nachtrag: der andere geht.

MfG

bis nachher

Lyci

Hi t'john,

BITTE, immer wenn CombFix fertig ist (und sein Logfile rausgibt), geht nichts mehr. Es kommen immer wieder diese Fehlermeldungen mit einem Schlüssel oder so etwas und cih kann nichts mehr bewegen oder laufen lassen. erst nach einem neustart klappt es wieder -in Grenzen-. Ich konnte keine rar erstellen in C:, aber auf dem Desktop ging es. Ich bin da etwas hartnäckig.
So, beide Logs im Anhang.

Danke und bis später.

Lyci

Wie schauts mit isearch aus?

Guten Morgen t'john,

oh, isearch, ja das ist mir treu. Bei jedem neuen Tab ist isearch wieder in der Adresszeile. Ja, wir werden noch beste Freunde. ;-)

Ich wünsche dir einen schönen Tag.

MfG

Lyci