Hallo zusammmen,

habe meinen Computer mit diesen Virus infiziert, nun sperrt die Telekom mir meinen SMTP-Port und kann nicht mehr über Microsoft Outlook E-mails verschicken. Laut Heise-Security-Newsletter führt der Trojaner PHP-Injection aus und versucht neue Botnetze per Spam zu rekrutieren. Daher die Sperrung meines Ports 25...

Habe Malewarebytes ausgeführt, leider hat dieses Tool nichts gefunden.

Habe schon einige Rescue-Disks ausprobiert, eine Sample Datei des Trojaners habe ich schon an Kaspersky geschickt, leider kam hier nichts zurück. Live-CD´s waren die von Kaspersky und von www.botfrei.de (Koop Avira+BSi)

Was kann ich noch tun?

Vielen Dank
Grüße
lake

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Malewarebytes:
Der Voll-Scan lieferte keinerlei Ergebnisse

OTL.EXE:
siehe angehängte Dateien.

Grüße
lake

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (WDICA) -- File not found 
DRV - (PDRFRAME) -- File not found 
DRV - (PDRELI) -- File not found 
DRV - (PDFRAME) -- File not found 
DRV - (PDCOMP) -- File not found 
DRV - (PCIDump) -- File not found 
DRV - (lbrtfdc) -- File not found 
DRV - (i2omgmt) -- File not found 
DRV - (cpuz132) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys File not found 
DRV - (Changer) -- File not found 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx 
IE - HKLM\..\SearchScopes,DefaultScope = {C875186A-DB82-4017-B35B-432EBBE52AF1} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
IE - HKLM\..\SearchScopes\{C875186A-DB82-4017-B35B-432EBBE52AF1}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\..\SearchScopes\{26EAA745-1183-41B6-9925-F0701366266C}: "URL" = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 
IE - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\..\SearchScopes\{C875186A-DB82-4017-B35B-432EBBE52AF1}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
O3 - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. 
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-4130172943-1087702692-164018817-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 
O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2010.01.27 11:25:45 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\faxliste.rms:SummaryInformation 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\2012 Einladung FEN Aubstadt.docx:SummaryInformation 
@Alternate Data Stream - 8360 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Geschäft1.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 7484 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma9.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 7408 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\firma11.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 7268 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma7.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 7220 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma16.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 7128 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2341.JPG:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6640 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Geschäft.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6616 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\AW Antwort Raum³-Partnerschaft.htm:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6580 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2342.JPG:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6508 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\firma12.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6408 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma4.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6400 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma 17.jpg:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 6300 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2339.JPG:Q30lsldxJoudresxAaaqpcawXc 
@Alternate Data Stream - 5900 bytes -> C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma.jpg:Q30lsldxJoudresxAaaqpcawXc 
:Files


C:\Users\Römer\AppData\Local\{*}
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\Römer\AppData\Local\Temp\*.exe
C:\Users\Römer\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'john,

hier das log

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File  File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File  File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File  File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File  File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File  File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File  File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File  File not found not found.
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
File  File not found not found.
Service cpuz132 stopped successfully!
Service cpuz132 deleted successfully!
File  C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File  File not found not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C875186A-DB82-4017-B35B-432EBBE52AF1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C875186A-DB82-4017-B35B-432EBBE52AF1}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Internet Explorer\SearchScopes\{26EAA745-1183-41B6-9925-F0701366266C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{26EAA745-1183-41B6-9925-F0701366266C}\ not found.
Registry key HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Internet Explorer\SearchScopes\{C875186A-DB82-4017-B35B-432EBBE52AF1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C875186A-DB82-4017-B35B-432EBBE52AF1}\ not found.
HKU\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry value HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk moved successfully.
C:\Programme\Microsoft Office\Office\OSA9.EXE moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-4130172943-1087702692-164018817-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET126.tmp deleted successfully.
C:\WINDOWS\System32\SET127.tmp deleted successfully.
C:\WINDOWS\System32\SET128.tmp deleted successfully.
C:\WINDOWS\System32\SET12C.tmp deleted successfully.
C:\WINDOWS\System32\SET12D.tmp deleted successfully.
C:\WINDOWS\System32\SET12E.tmp deleted successfully.
C:\WINDOWS\System32\SET132.tmp deleted successfully.
C:\WINDOWS\System32\SET134.tmp deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\faxliste.rms:SummaryInformation .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\2012 Einladung FEN Aubstadt.docx:SummaryInformation .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Geschäft1.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma9.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\firma11.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma7.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma16.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2341.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Geschäft.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\AW Antwort Raum³-Partnerschaft.htm:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2342.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\firma12.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma4.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma 17.jpg:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\CIMG2339.JPG:Q30lsldxJoudresxAaaqpcawXc .
Unable to delete ADS C:\Dokumente und Einstellungen\Römer\Eigene Dateien\Firma.jpg:Q30lsldxJoudresxAaaqpcawXc .
========== FILES ==========
File\Folder C:\Users\Römer\AppData\Local\{*} not found.
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\Römer\AppData\Local\Temp\*.exe not found.
File\Folder C:\Users\Römer\AppData\LocalLow\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
No captured output from command...
C:\Dokumente und Einstellungen\Römer\Desktop\cmd.bat deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Römer
->Temp folder emptied: 261878174 bytes
->Temporary Internet Files folder emptied: 306757574 bytes
->Java cache emptied: 22314802 bytes
->Flash cache emptied: 98052 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28337127 bytes
RecycleBin emptied: 83264 bytes
 
Total Files Cleaned = 591,00 mb
 
 
OTL by OldTimer - Version 3.2.59.0 log created on 08292012_214205

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

der hat einiges gelöscht, was nun ? ist das problem beseitigt ? kann ich meinen E-Mail Port 25 wieder von der Telekom freischalten lassen ?


Viele Grüße
lake

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo t'john,

Malewarebytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.02.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Römer :: TEPPICH [Administrator]

02.09.2012 22:55:06
mbam-log-2012-09-02 (22-55-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 293639
Laufzeit: 43 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Adwcleaner

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.000 - Datei am 09/02/2012 um 23:45:08 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Römer - TEPPICH
# Normaler Modus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Römer\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1175 octets] - [02/09/2012 23:45:08]

########## EOF - C:\AdwCleaner[R1].txt - [1235 octets] ##########
         

Der Rechner läuft stabil, hoffe das alles sauber ist ...
Grüße
lake

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hi,

Löschvorgang Adwcleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.000 - Datei am 09/09/2012 um 10:56:59 erstellt
# Aktualisiert am 30/08/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Römer - TEPPICH
# Normaler Modus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Römer\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[R1].txt - [1304 octets] - [02/09/2012 23:45:08]
AdwCleaner[R2].txt - [1364 octets] - [09/09/2012 10:56:34]
AdwCleaner[S1].txt - [1647 octets] - [09/09/2012 10:56:59]

########## EOF - C:\AdwCleaner[S1].txt - [1707 octets] ##########
         

Emsisoft:

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 09.09.2012 11:06:00

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	09.09.2012 11:06:33

C:\Dokumente und Einstellungen\Römer\Eigene Dateien\SCHULE\FAECHER\MUSIK\MUSIC20\BESTELL.EXE 	gefunden: Trojan.DOS.Loader!E2
C:\Dokumente und Einstellungen\Römer\Eigene Dateien\SCHULE\FAECHER\ERDKUNDE\WELT\BESTELL.EXE 	gefunden: Trojan.DOS.Loader!E2
C:\Dokumente und Einstellungen\Römer\Eigene Dateien\SCHULE\FAECHER\ERDKUNDE\WELT\WORLD20.ZIP -> BESTELL.EXE 	gefunden: Trojan.DOS.Loader!E2

Gescannt	551858
Gefunden	3

Scan Ende:	09.09.2012 11:51:16
Scan Zeit:	0:44:43
         

Grüße

Sehr gut!

Lasse die Funde in Quarantaene verschieben, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.