Polizei-Trojaner ("Swiss Edition") / Trojan.Ransom / Trojan.Agent

happyaldo · 20.11.2012, 21:56

Hallo zusammen

Mein Laptop ist mit dem Polizei-Trojaner infiziert und wenn ich mit dem einen Benutzerkonto anmelde wird die Seite mit der "Zahlungaufforderung" angezeigt.

Ich bin Euch sehr dankbar, wenn Ihr mir bei der Beseitigung helfen könnt!

Angaben zu System:Windows Vista (32 Bit) / SP 2
Antivir: "Avira Antivir" (Gratis-Software)

Das hab ich zwischenzeitlich getan:
- Neues Benutzerkonto erstellt (Standardbenutzer), damit ich nicht den Admin benutzen muss
- kompletter Scan mit Malwarebytes Anti-Malware 1.65.1.1000

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.19.08

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
happyaldo :: MARISOL-PC [Administrator]

19.11.2012 20:57:00
mbam-log-2012-11-19 (22-06-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425545
Laufzeit: 1 Stunde(n), 8 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\default.MARISOL-PC\AppData\Local\Temp\ppyazdpajmcj71.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.dat (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.ini (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

Weiter gem. Eurer Anleitung:
- Defogger

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:33 on 20/11/2012 (happyaldo)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

- QuickScan mit OTL

Code:

ATTFilter

OTL logfile created on: 20.11.2012 20:34:40 - Run 9
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\MaCaSAu\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
2.99 Gb Total Physical Memory | 2.30 Gb Available Physical Memory | 76.88% Memory free
6.18 Gb Paging File | 5.79 Gb Available in Paging File | 93.73% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 69.32 Gb Total Space | 25.96 Gb Free Space | 37.45% Space Free | Partition Type: NTFS
Drive D: | 154.78 Gb Total Space | 103.37 Gb Free Space | 66.78% Space Free | Partition Type: NTFS
 
Computer Name: MARISOL-PC | User Name: happyaldo | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.11.20 19:33:13 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\MaCaSAu\Desktop\OTL.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.07.18 22:04:08 | 000,296,448 | ---- | M] () -- C:\Program Files\Notepad++\NppShell_04.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL5)
SRV - File not found [Disabled | Stopped] -- D:\Programme\MySQL\MySQL Server 5.1\bin\mysqld -- (MySQL)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011.07.05 06:13:05 | 000,428,200 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.07.05 06:13:04 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.01 13:44:54 | 002,337,144 | ---- | M] (TeamViewer GmbH) [Auto | Stopped] -- C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2011.04.29 05:56:23 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.01.15 13:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2009.10.20 19:19:48 | 000,117,264 | ---- | M] (CACE Technologies, Inc.) [On_Demand | Stopped] -- C:\Program Files\WinPcap\rpcapd.exe -- (rpcapd)
SRV - [2008.04.25 13:23:36 | 000,303,104 | ---- | M] (Fujitsu Siemens Computers) [Auto | Stopped] -- C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2008.01.21 03:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2006.11.18 04:45:26 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand | Stopped] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\HAPPYA~1\AppData\Local\Temp\kwtiifod.sys -- (kwtiifod)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - [2011.07.25 13:12:06 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2011.07.05 06:13:08 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.05 06:13:08 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.10.20 19:19:44 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\npf.sys -- (NPF)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.03 13:58:46 | 000,076,688 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\jraid.sys -- (JRAID)
DRV - [2008.01.09 11:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.12.19 18:45:00 | 000,170,000 | ---- | M] (AMD Technologies Inc.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ahcix86s.sys -- (ahcix86s)
DRV - [2007.08.03 09:44:58 | 000,091,648 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2007.06.18 17:03:32 | 000,737,280 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2005.02.11 10:19:20 | 000,055,216 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\k750bus.sys -- (k750bus)
DRV - [2003.04.28 19:27:06 | 000,009,867 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2206084
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\S-1-5-21-4114458166-3482682908-2653977345-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.startup.homepage: "hxxp://www.bluewin.ch/"
FF - prefs.js..extensions.enabledAddons: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:2.2.2
FF - prefs.js..extensions.enabledItems: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:2.0.2
FF - prefs.js..extensions.enabledItems: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3}:1.50
FF - prefs.js..extensions.enabledItems: netviewero2o@netviewero2o:1.0
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: D:\Programme\Picasa2\npPicasa2.dll File not found
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.20 20:46:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.05.14 19:23:35 | 000,000,000 | ---D | M]
 
[2008.10.17 12:44:14 | 000,000,000 | ---D | M] (No name found) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Extensions
[2012.11.09 09:55:25 | 000,000,000 | ---D | M] (No name found) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions
[2012.10.13 09:14:21 | 000,000,000 | ---D | M] (Forecastfox) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}
[2010.08.04 00:48:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.11.09 09:55:25 | 000,000,000 | ---D | M] (ST Deutsch FF Community Toolbar) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c}
[2011.06.03 08:27:18 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions\engine@conduit.com
[2011.12.16 13:05:14 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\happyaldo\AppData\Roaming\mozilla\Firefox\Profiles\urnwj76l.default\extensions\toolbar@ask.com
[2012.01.21 08:30:20 | 000,138,614 | ---- | M] () (No name found) -- C:\Users\happyaldo\AppData\Roaming\mozilla\firefox\profiles\urnwj76l.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}.xpi
[2011.03.21 16:08:00 | 000,000,941 | ---- | M] () -- C:\Users\happyaldo\AppData\Roaming\mozilla\firefox\profiles\urnwj76l.default\searchplugins\conduit.xml
[2011.12.11 19:44:07 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2011.02.04 12:39:17 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\mozilla firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2012.02.20 20:46:00 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.02.20 20:45:57 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.20 20:45:57 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.02.20 20:45:57 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.20 20:45:57 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.20 20:45:57 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.20 20:45:57 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Softonic Deutsch FF Toolbar) - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (Softonic Deutsch FF Toolbar) - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe File not found
O4 - HKLM..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe File not found
O4 - HKLM..\Run: [NPCTray] C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD File not found
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe File not found
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000..\Run: [EPSON SX110 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000..\Run: [Picasa Media Detector] D:\Programme\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000..\Run: [recinfo] c:\RecInfo\recinfo.exe (fsc)
O4 - HKU\S-1-5-21-4114458166-3482682908-2653977345-1003..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\default.MARISOL-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Users\Gast\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote Inhaltsverzeichnis.onetoc2 ()
O4 - Startup: C:\Users\happyaldo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\S-1-5-21-4114458166-3482682908-2653977345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Reg Error: Value error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AEE128B6-FBF6-48E4-9EF3-34E14FBBAEE2}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk /r \??\F:)
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.11.19 22:07:19 | 000,000,000 | ---D | C] -- D:\Admin_Sandro\Dokumente\trojan-board
[2012.11.19 22:06:47 | 000,000,000 | ---D | C] -- D:\Admin_Sandro\Desktop\Neuer Ordner (4)
[2012.11.19 22:06:46 | 000,000,000 | ---D | C] -- D:\Admin_Sandro\Desktop\Neuer Ordner (3)
[2012.11.19 22:06:36 | 000,000,000 | ---D | C] -- D:\Admin_Sandro\Desktop\Neuer Ordner (2)
[2012.11.19 22:06:32 | 000,000,000 | ---D | C] -- D:\Admin_Sandro\Desktop\Neuer Ordner
[2012.11.19 20:54:51 | 000,000,000 | ---D | C] -- C:\Users\happyaldo\AppData\Roaming\Malwarebytes
[2012.11.19 20:54:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.11.19 20:54:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.11.19 20:54:36 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.11.19 20:54:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.11.10 08:42:00 | 000,000,000 | ---D | C] -- C:\Users\happyaldo\AppData\Local\Wondershare
[2012.11.10 08:41:59 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Wondershare
[2012.11.10 08:41:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare
[2012.11.10 08:41:31 | 000,000,000 | ---D | C] -- C:\Users\happyaldo\AppData\Roaming\Wondershare
[2012.11.10 08:41:15 | 000,000,000 | ---D | C] -- C:\Program Files\Wondershare
[2012.11.10 08:23:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free PDF to Word Doc Converter
[2012.11.10 08:23:47 | 000,000,000 | ---D | C] -- C:\Program Files\Free PDF to Word Doc Converter
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.11.20 18:16:29 | 000,670,448 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.11.20 18:16:29 | 000,631,514 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.11.20 18:16:29 | 000,143,986 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.11.20 18:16:29 | 000,118,140 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.11.20 18:12:13 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.11.19 22:13:39 | 000,000,000 | ---- | M] () -- C:\Users\happyaldo\defogger_reenable
[2012.11.19 20:54:37 | 000,000,912 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.11.19 19:58:13 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.11.19 19:58:13 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.11.19 19:34:48 | 000,001,100 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.11.19 19:00:00 | 000,000,340 | ---- | M] () -- C:\Windows\tasks\Sicherung «Meine Sicherung».job
[2012.11.18 21:25:11 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.11.17 13:20:40 | 000,219,648 | ---- | M] () -- C:\Users\happyaldo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.11.17 03:34:21 | 000,322,648 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.11.10 08:41:35 | 000,000,970 | ---- | M] () -- C:\Users\Public\Desktop\Wondershare PDF Editor.lnk
[2012.11.10 08:30:33 | 000,001,977 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk
[2012.11.10 08:23:48 | 000,000,734 | ---- | M] () -- D:\Admin_Sandro\Desktop\Free PDF to Word Doc Converter.lnk
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.11.19 22:13:39 | 000,000,000 | ---- | C] () -- C:\Users\happyaldo\defogger_reenable
[2012.11.19 20:54:37 | 000,000,912 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.11.10 08:43:30 | 000,075,264 | ---- | C] () -- C:\Windows\System32\WSMonEditor.dll
[2012.11.10 08:41:35 | 000,000,970 | ---- | C] () -- C:\Users\Public\Desktop\Wondershare PDF Editor.lnk
[2012.11.10 08:23:48 | 000,000,734 | ---- | C] () -- D:\Admin_Sandro\Desktop\Free PDF to Word Doc Converter.lnk
[2011.12.11 19:00:23 | 000,000,680 | ---- | C] () -- C:\Users\happyaldo\AppData\Local\d3d9caps.dat
[2011.02.04 12:42:35 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009.12.26 16:57:31 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2009.03.07 22:56:37 | 000,219,648 | ---- | C] () -- C:\Users\happyaldo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.03.12 18:59:00 | 000,299,008 | ---- | C] () -- C:\Program Files\navigram_register.exe
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.02.16 12:37:11 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\.Kanton SH
[2011.03.19 12:41:10 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\Epson
[2009.09.19 12:14:01 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\fotobuch.de AG
[2008.10.20 18:53:46 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\ifolor
[2012.04.14 11:11:34 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\Information Factory
[2010.03.19 09:55:46 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\Juniper Networks
[2009.06.28 09:56:01 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\OpenOffice.org
[2011.06.01 17:55:49 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\QuickZip
[2011.06.27 19:34:14 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\TeamViewer
[2012.11.10 08:44:17 | 000,000,000 | ---D | M] -- C:\Users\default.MARISOL-PC\AppData\Roaming\Wondershare
[2012.03.26 20:16:10 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\.jfwupdate
[2012.01.21 08:37:24 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\.Kanton SH
[2010.08.06 15:02:12 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\Epson
[2009.07.03 07:19:22 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\Juniper Networks
[2011.11.12 19:28:55 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\Notepad++
[2009.06.27 22:08:20 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\OpenOffice.org
[2012.03.11 20:33:15 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\TeamViewer
[2011.07.25 13:23:44 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\TrueCrypt
[2012.11.10 08:43:39 | 000,000,000 | ---D | M] -- C:\Users\happyaldo\AppData\Roaming\Wondershare
[2012.11.19 19:36:31 | 000,000,000 | ---D | M] -- C:\Users\MaCaSAu\AppData\Roaming\Epson
 
========== Purity Check ==========
 
 

< End of report >

- Scan mit GMER

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-20 21:19:05
Windows 6.0.6002 Service Pack 2 
Running: klnbjvvy.exe; Driver: C:\Users\HAPPYA~1\AppData\Local\Temp\kwtiifod.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                              Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                              Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@Sicherung \xabMeine Sicherung\xbb.job.fp  1127743358

---- EOF - GMER 1.0.15 ----

Zu OTL noch folgendes: Ich habe beim ersten Durchlauf nicht den QuickScan durchgeführt und als Resultat OTL.txt u. Extra.txt erhalten. Auf Eurer Checkliste hab ich dann erst richtig gelesen, dass ich einen QuickScan durchführen soll. So hab ich die beiden *.txt gelöscht, den QuickScan durchgeführt, aber nur noch das OTL.txt als Resultat erhalten (kein Extra.txt mehr)... Hab's noch ein paar mal versucht, aber mit dem Extra.txt klappt's nicht mehr. Habt Ihr mir einen Tipp?

Ansonsten schon im Voraus recht herzlichen Dank für Eure Arbeit und Unterstützung!

:

t'john · 21.11.2012, 04:44

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

ATTFilter

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\HAPPYA~1\AppData\Local\Temp\kwtiifod.sys -- (kwtiifod) 
O4 - HKLM..\Run: [] File not found 
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\happyaldo\*.tmp
C:\Users\happyaldo\AppData\Local\Temp\*.exe
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

happyaldo · 21.11.2012, 12:46

Hallo t'john

Vielen Dank für die rasche Antwort / Hilfe.

Habe folgendes nach Deiner Anleitung getan:
- mit OTL gefixt

Code:

ATTFilter

All processes killed
========== OTL ==========
Error: No service named kwtiifod was found to stop!
Service\Driver key kwtiifod not found.
File C:\Users\HAPPYA~1\AppData\Local\Temp\kwtiifod.sys not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\happyaldo\*.tmp not found.
C:\Users\happyaldo\AppData\Local\Temp\ose00000.exe moved successfully.
C:\Users\happyaldo\AppData\Local\Temp\_is133A.exe moved successfully.
C:\Users\happyaldo\AppData\Local\Temp\_is23FC.exe moved successfully.
C:\Users\happyaldo\AppData\Local\Temp\_is3795.exe moved successfully.
C:\Users\happyaldo\AppData\Local\Temp\_is657E.exe moved successfully.
C:\Users\happyaldo\AppData\Local\Temp\_isEFE2.exe moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\6baea4fe-469b2f83-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\252441bb-26febe7a-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\35fdae37-62f28761-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\1a209876-17ad4dcd-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\5e8cbb75-4c4a5cb2-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\5535ab32-1f9ee3af-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\f84c6ae-21179958-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\759e98ee-641aab8c-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\4f710eed-7d31b336-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\4488892a-7fa8032c-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\7ec4bf04-563ca17c-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\14e5d595-652ba047-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\6d0ad391-74ca199d-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\58fb3e0f-56c8ff8c-n folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Users\happyaldo\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
File/Folder C:\Users\happyaldo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\MaCaSAu\Desktop\cmd.bat deleted successfully.
C:\Users\MaCaSAu\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: default.MARISOL-PC
->Temp folder emptied: 930692688 bytes
->Temporary Internet Files folder emptied: 1995385259 bytes
->Java cache emptied: 33719797 bytes
->FireFox cache emptied: 70426477 bytes
->Google Chrome cache emptied: 6473157 bytes
->Flash cache emptied: 1453 bytes
 
User: Gast
->Temp folder emptied: 49722 bytes
->Temporary Internet Files folder emptied: 161499 bytes
->FireFox cache emptied: 26911310 bytes
->Flash cache emptied: 405 bytes
 
User: happyaldo
->Temp folder emptied: 4793509 bytes
->Temporary Internet Files folder emptied: 34261781 bytes
->FireFox cache emptied: 60114363 bytes
->Flash cache emptied: 988 bytes
 
User: MaCaSAu
->Temp folder emptied: 34594 bytes
->Temporary Internet Files folder emptied: 245438 bytes
->FireFox cache emptied: 97824392 bytes
->Google Chrome cache emptied: 856432 bytes
->Flash cache emptied: 566 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 653006115 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3'734.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11212012_083054

- kompletter Scan mit Malwarebytes (2 Funde)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.21.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
happyaldo :: MARISOL-PC [Administrator]

Schutz: Deaktiviert

21.11.2012 08:46:05
mbam-log-2012-11-21 (10-41-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 415124
Laufzeit: 57 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.dat (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.ini (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

>> habe an dieser Stelle entgegen der Anleitung vergessen / überlesen die Funde zu löschen, rsp in Quaranäne zu verschieben und gleich mit dem nächsten Schritt weitergemacht...

- löschen mit adwcleaner

Code:

ATTFilter

# AdwCleaner v2.007 - Datei am 21/11/2012 um 10:43:19 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : happyaldo - MARISOL-PC
# Bootmodus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Users\MaCaSAu\Desktop\adwcleaner_2.0.0.7.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files\Ask.com
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\ConduitEngine
Ordner Gelöscht : C:\Program Files\Softonic_Deutsch_FF
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\Local\AskToolbar
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\LocalLow\ConduitEngine
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\default.MARISOL-PC\AppData\LocalLow\Softonic_Deutsch_FF
Ordner Gelöscht : C:\Users\happyaldo\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\happyaldo\AppData\LocalLow\Softonic_Deutsch_FF
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\Conduit
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\ConduitEngine
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\CT2206084
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c}
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\extensions\engine@conduit.com
Ordner Gelöscht : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\extensions\toolbar@ask.com
Ordner Gelöscht : C:\Users\MaCaSAu\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\MaCaSAu\AppData\LocalLow\ConduitEngine
Ordner Gelöscht : C:\Users\MaCaSAu\AppData\LocalLow\Softonic_Deutsch_FF
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\conduitEngine
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Softonic_Deutsch_FF
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Softonic_Deutsch_FF Toolbar
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9D81AF43-DE53-48D0-A199-42C2A226B24C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9DF40DB9-5D81-4EDB-8FC9-DAFEC074AA04}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2206084
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1AD4F1D0-C8D0-4925-8163-99C72E5E2914}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2403EB1D-B242-4664-A0C2-D7F5510D18AA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D81AF43-DE53-48D0-A199-42C2A226B24C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9DF40DB9-5D81-4EDB-8FC9-DAFEC074AA04}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_Deutsch_FF Toolbar
Schlüssel Gelöscht : HKLM\Software\Softonic_Deutsch_FF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{9D81AF43-DE53-48D0-A199-42C2A226B24C}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{9D81AF43-DE53-48D0-A199-42C2A226B24C}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{9D81AF43-DE53-48D0-A199-42C2A226B24C}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2206084 --> hxxp://www.google.com

-\\ Mozilla Firefox v10.0 (de)

Profilname : default 
Datei : C:\Users\happyaldo\AppData\Roaming\Mozilla\Firefox\Profiles\urnwj76l.default\prefs.js

Gelöscht : user_pref("CT2206084..clientLogIsEnabled", false);
Gelöscht : user_pref("CT2206084..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Gelöscht : user_pref("CT2206084..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Gelöscht : user_pref("CT2206084.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2206084.CT2206084", "CT2206084");
Gelöscht : user_pref("CT2206084.CurrentServerDate", "3-6-2011");
Gelöscht : user_pref("CT2206084.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2206084.DialogsGetterLastCheckTime", "Fri Jun 03 2011 09:27:29 GMT+0200");
Gelöscht : user_pref("CT2206084.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2206084.EMailNotifierPollDate", "Fri Jun 03 2011 09:27:31 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedLastCount128311388426518939", 466);
Gelöscht : user_pref("CT2206084.FeedPollDate128394382574669410", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128394382574669411", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128394382574669412", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128394382574669413", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128394382574669414", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128559429569307240", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801410134769526", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801410271643768", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801410648675207", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801410803831945", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411020863399", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411145707150", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411258362590", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411369456587", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411490081588", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411659613144", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411801956980", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128801411974300317", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128895535588356636", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128895536575232020", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128895541734450320", "Fri Jun 03 2011 09:27:47 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128896127456250507", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128896133101250708", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128896136655781447", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128896138140469441", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedPollDate128896149451719443", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.FeedTTL128801411145707150", 30);
Gelöscht : user_pref("CT2206084.FeedTTL128801411490081588", 30);
Gelöscht : user_pref("CT2206084.FeedTTL128801411974300317", 5);
Gelöscht : user_pref("CT2206084.FeedTTL128895535588356636", 5);
Gelöscht : user_pref("CT2206084.FeedTTL128896138140469441", 2);
Gelöscht : user_pref("CT2206084.FirstServerDate", "3-6-2011");
Gelöscht : user_pref("CT2206084.FirstTime", true);
Gelöscht : user_pref("CT2206084.FirstTimeFF3", true);
Gelöscht : user_pref("CT2206084.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2206084.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2206084.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2206084.HasUserGlobalKeys", true);
Gelöscht : user_pref("CT2206084.Initialize", true);
Gelöscht : user_pref("CT2206084.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2206084.InstallationAndCookieDataSentCount", 1);
Gelöscht : user_pref("CT2206084.InstalledDate", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.InvalidateCache", false);
Gelöscht : user_pref("CT2206084.IsGrouping", false);
Gelöscht : user_pref("CT2206084.IsMulticommunity", false);
Gelöscht : user_pref("CT2206084.IsOpenThankYouPage", true);
Gelöscht : user_pref("CT2206084.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2206084.LanguagePackLastCheckTime", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2206084.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2206084.LastLogin_3.3.3.2", "Fri Jun 03 2011 09:27:28 GMT+0200");
Gelöscht : user_pref("CT2206084.LatestVersion", "3.2.5.2");
Gelöscht : user_pref("CT2206084.Locale", "de-de");
Gelöscht : user_pref("CT2206084.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2206084.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2206084.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2206084.RadioIsPodcast", false);
Gelöscht : user_pref("CT2206084.RadioLastCheckTime", "Fri Jun 03 2011 09:27:31 GMT+0200");
Gelöscht : user_pref("CT2206084.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2206084.RadioLastUpdateServer", "128939446421370000");
Gelöscht : user_pref("CT2206084.RadioMediaID", "10559111");
Gelöscht : user_pref("CT2206084.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2206084.RadioMenuSelectedID", "EBRadioMenu_CT220608410559111");
Gelöscht : user_pref("CT2206084.RadioStationName", "Antenne%20Bayern%20Top%2040");
Gelöscht : user_pref("CT2206084.RadioStationURL", "hxxp://channels.webradio.antenne.de/top-40");
Gelöscht : user_pref("CT2206084.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2206084.SavedHomepage", "chrome://branding/locale/browserconfig.properties");
Gelöscht : user_pref("CT2206084.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2206084.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT220[...]
Gelöscht : user_pref("CT2206084.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2206084.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2206084.SearchInNewTabLastCheckTime", "Fri Jun 03 2011 09:27:31 GMT+0200");
Gelöscht : user_pref("CT2206084.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2206084.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2206084.ServiceMapLastCheckTime", "Fri Jun 03 2011 09:27:26 GMT+0200");
Gelöscht : user_pref("CT2206084.SettingsLastCheckTime", "Fri Jun 03 2011 09:27:26 GMT+0200");
Gelöscht : user_pref("CT2206084.SettingsLastUpdate", "1306530423");
Gelöscht : user_pref("CT2206084.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2206084.ThirdPartyComponentsLastCheck", "Fri Jun 03 2011 09:27:26 GMT+0200");
Gelöscht : user_pref("CT2206084.ThirdPartyComponentsLastUpdate", "1255344657");
Gelöscht : user_pref("CT2206084.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2206084");
Gelöscht : user_pref("CT2206084.UserID", "UN83248164062245115");
Gelöscht : user_pref("CT2206084.ValidationData_Toolbar", 0);
Gelöscht : user_pref("CT2206084.WeatherNetwork", "");
Gelöscht : user_pref("CT2206084.WeatherPollDate", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.WeatherUnit", "C");
Gelöscht : user_pref("CT2206084.alertChannelId", "604380");
Gelöscht : user_pref("CT2206084.approveUntrustedApps", true);
Gelöscht : user_pref("CT2206084.backendstorage.for_aoi", "31333037303836303539");
Gelöscht : user_pref("CT2206084.backendstorage.for_ccid", "6E756C6C");
Gelöscht : user_pref("CT2206084.backendstorage.for_cdtr5", "31333037303836303539");
Gelöscht : user_pref("CT2206084.backendstorage.for_cid", "4348");
Gelöscht : user_pref("CT2206084.backendstorage.for_ip", "38352E312E3137352E3437");
Gelöscht : user_pref("CT2206084.backendstorage.for_lcut", "31333037303836303631");
Gelöscht : user_pref("CT2206084.backendstorage.for_pid", "31303130");
Gelöscht : user_pref("CT2206084.backendstorage.for_rid", "3235");
Gelöscht : user_pref("CT2206084.backendstorage.for_zoneid", "39363331");
Gelöscht : user_pref("CT2206084.components.1000515", true);
Gelöscht : user_pref("CT2206084.generalConfigFromLogin", "{\"SocialDomains\":\"social.conduit.com;apps.conduit.[...]
Gelöscht : user_pref("CT2206084.globalFirstTimeInfoLastCheckTime", "Fri Jun 03 2011 09:27:29 GMT+0200");
Gelöscht : user_pref("CT2206084.isAppTrackingManagerOn", true);
Gelöscht : user_pref("CT2206084.myStuffEnabled", true);
Gelöscht : user_pref("CT2206084.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2206084.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2206084.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2206084.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2206084.testingCtid", "");
Gelöscht : user_pref("CT2206084.toolbarAppMetaDataLastCheckTime", "Fri Jun 03 2011 09:27:28 GMT+0200");
Gelöscht : user_pref("CT2206084.toolbarContextMenuLastCheckTime", "Fri Jun 03 2011 09:27:32 GMT+0200");
Gelöscht : user_pref("CT2206084.usagesFlag", 2);
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/604380/600242/CH", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/CH", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2206084", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2206084",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2206084/CT2206084[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=de-de", "\"[...]
Gelöscht : user_pref("CommunityToolbar.EngineHiddenByUser", false);
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "CT2206084");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "{9d81af43-de53-48d0-a199-42c2a226b24c}");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "softonic_deutsch_ff");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", false);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "CT2206084");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{9d81af43-de53-48d0-a199-42c2a226b24c}");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "softonic_deutsch_ff");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine,CT2206084");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2206084");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Fri Jun 03 2011 09:27:28 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertEnabled", true);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Mon Jun 13 2011 20:03:06 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Jun 24 2011 08:24:22 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "4431e6d5-e768-4319-92ba-cc846617a5ac");
Gelöscht : user_pref("CommunityToolbar.globalUserId", "e6a4fe53-90c7-4f9c-8ec0-509ef61b7545");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2206084");
Gelöscht : user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Fri Jun 03 2011 09:27:28 GMT+0200");
Gelöscht : user_pref("ConduitEngine.FirstServerDate", "06/03/2011 10");
Gelöscht : user_pref("ConduitEngine.FirstTime", true);
Gelöscht : user_pref("ConduitEngine.FirstTimeFF3", true);
Gelöscht : user_pref("ConduitEngine.HasUserGlobalKeys", true);
Gelöscht : user_pref("ConduitEngine.HideEngineAfterRestart", true);
Gelöscht : user_pref("ConduitEngine.Initialize", true);
Gelöscht : user_pref("ConduitEngine.InitializeCommonPrefs", true);
Gelöscht : user_pref("ConduitEngine.InstalledDate", "Fri Jun 03 2011 09:27:28 GMT+0200");
Gelöscht : user_pref("ConduitEngine.IsMulticommunity", false);
Gelöscht : user_pref("ConduitEngine.IsOpenThankYouPage", false);
Gelöscht : user_pref("ConduitEngine.IsOpenUninstallPage", true);
Gelöscht : user_pref("ConduitEngine.LanguagePackLastCheckTime", "Fri Jun 03 2011 09:27:27 GMT+0200");
Gelöscht : user_pref("ConduitEngine.LastLogin_3.3.3.2", "Fri Jun 03 2011 09:27:26 GMT+0200");
Gelöscht : user_pref("ConduitEngine.PublisherContainerWidth", 0);
Gelöscht : user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("ConduitEngine.SettingsLastCheckTime", "Fri Jun 03 2011 09:27:26 GMT+0200");
Gelöscht : user_pref("ConduitEngine.UserID", "UN13617771657441757");
Gelöscht : user_pref("ConduitEngine.engineLocale", "de");
Gelöscht : user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Fri Jun 03 2011 09:27:27 GMT+0200");
Gelöscht : user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Fri Jun 03 2011 09:27:28 GMT+0200");
Gelöscht : user_pref("ConduitEngine.initDone", true);
Gelöscht : user_pref("ConduitEngine.isAppTrackingManagerOn", true);
Gelöscht : user_pref("browser.search.defaultthis.engineName", "Softonic Deutsch FF Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&Sea[...]
Gelöscht : user_pref("browser.search.selectedEngine", "Softonic Deutsch FF Customized Web Search");
Gelöscht : user_pref("extensions.asktb.AviraIDW-TS", "1320308127570");
Gelöscht : user_pref("extensions.asktb.AviraIDW-XML", "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\r\n<button xm[...]
Gelöscht : user_pref("extensions.asktb.InstallDir", "C:\\Program Files\\Ask.com\\");
Gelöscht : user_pref("extensions.asktb.cbid", "JM");
Gelöscht : user_pref("extensions.asktb.clear-searches-on-exit", true);
Gelöscht : user_pref("extensions.asktb.config-updated", true);
Gelöscht : user_pref("extensions.asktb.crumb", "2011.07.05+08.34.23-toolbar006iad-CH-WnVyaWNoLFN3aXR6ZXJsYW5k")[...]
Gelöscht : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://eu.ask.com/web?qsrc={qsrc}&o={o}&l={l[...]
Gelöscht : user_pref("extensions.asktb.dtid", "YYYYYYYYCH");
Gelöscht : user_pref("extensions.asktb.guid", "86a99453-0ddf-46eb-99d9-af171ae52e02");
Gelöscht : user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com[...]
Gelöscht : user_pref("extensions.asktb.if", "first");
Gelöscht : user_pref("extensions.asktb.l", "dis");
Gelöscht : user_pref("extensions.asktb.last-config-req", "1323626441285");
Gelöscht : user_pref("extensions.asktb.last-search-timestamp", "1310147119878");
Gelöscht : user_pref("extensions.asktb.last-v", "3.12.2.100008");
Gelöscht : user_pref("extensions.asktb.locale", "de_EU");
Gelöscht : user_pref("extensions.asktb.location", "Zurich,Switzerland");
Gelöscht : user_pref("extensions.asktb.notification-shown", true);
Gelöscht : user_pref("extensions.asktb.o", "100000080");
Gelöscht : user_pref("extensions.asktb.qsrc", "2871");
Gelöscht : user_pref("extensions.asktb.sa", "NO");
Gelöscht : user_pref("extensions.asktb.save-searches", false);
Gelöscht : user_pref("extensions.asktb.search-suggestions-enabled", true);
Gelöscht : user_pref("extensions.asktb.show-labels", false);
Gelöscht : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);
Gelöscht : user_pref("extensions.asktb.themeid", "");
Gelöscht : user_pref("extensions.asktb.to", "");
Gelöscht : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&q=");

Profilname : default 
Datei : C:\Users\default.MARISOL-PC\AppData\Roaming\Mozilla\Firefox\Profiles\6qtcenwz.default\prefs.js

[OK] Die Datei ist sauber.

Profilname : default 
Datei : C:\Users\MaCaSAu\AppData\Roaming\Mozilla\Firefox\Profiles\69vryng3.default\prefs.js

[OK] Die Datei ist sauber.

Profilname : default 
Datei : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\beu3xyfo.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [26884 octets] - [21/11/2012 10:43:19]

########## EOF - \AdwCleaner[S1].txt - [26945 octets] ##########

Da ich vergessen hatte mit Malwarebyte die Funde zu löschen / in Quarantäne zu bringen hab ich den Scan nochmals gestartet mit folgendem Resultat (0 Funde):

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.21.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
MaCaSAu :: MARISOL-PC [limitiert]

Schutz: Deaktiviert

21.11.2012 10:50:31
mbam-log-2012-11-21 (10-50-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 321691
Laufzeit: 54 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bin ich (rsp der Rechner) nun clean?

t'john · 21.11.2012, 17:27

Sehr gut!

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

happyaldo · 21.11.2012, 22:11

Guten Abend t'john

Vielen Dank für die Rückmeldung.

Zu Deiner Frage wie der Rechner läuft:
Ich bin für die Schritte bis hierher immer im abgesicherten Modus mit Netzwerktreibern eingestiegen und dann immer mit dem Benutzerkonto, das vom Auftreten des Polizei-Trojaners nicht betroffen war. Hab da nix feststellen können, das nicht lief.

Nach Deiner Frage hab ich den Rechner wieder mal normal gestartet... Dh ohne abgesicherten Modus.

- Benutzerkonto 1, das vom Trojaner betroffen war: Nach dem Anmelden kam ein "Black-Screen" und nur die Maus war sichtbar. Die Harddisk hat fleissig gearbeitet > aber weiter ging's nicht. Hab mit ctrl+alt+del abgemeldet.

- Benutzerkonto 2, von welchem ich aus u.a. Dir schreibe: läuft normal.

Aber nach dem Anmelden an Benutzerkonto 2 (zum ersten mal ohne abgesicherten Modus) hat mir gleich Avira einen Fund (TR/Inject.ewmm) gemeldet und in Quarantäne gesteckt.

Ausschnitt aus Report von Avira zu Deiner Kenntnis:

Code:

ATTFilter

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.dat'
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.dat
  [FUND]      Ist das Trojanische Pferd TR/Inject.ewmm

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\default.MARISOL-PC\AppData\Roaming\msconfig.dat
  [FUND]      Ist das Trojanische Pferd TR/Inject.ewmm
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5583b778.qua' verschoben!

Auch Anti-Malware von Emisoft hat dann das in Quarantäne verschobene Element gefunden:

Code:

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 21.11.2012 19:05:36

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	21.11.2012 19:07:09

C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5583b778.qua -> (Quarantine-8) 	gefunden: Gen:Heur.JAPIK.4 (B)

Gescannt	466895
Gefunden	1

Scan Ende:	21.11.2012 21:32:12
Scan Zeit:	2:25:03

t'john · 22.11.2012, 06:49

Hast du die Funde in Malwarebytes nun endlich geloescht?

Bite alles im normalen Modus ausfuehren!

Was genau geht zurzeit nicht?

happyaldo · 22.11.2012, 13:36

Oje, da hab ich wohl was missverstanden...

Ich vergass, wie in der Antwort von gestern 12:46 beschrieben, vorher die Funde in Malwarebytes zu löschen und machte dannach gleich den Schritt mit dem adwcleander. Dannach nochmals Malwarebytes und die Funde waren weg... Sorry!

Ich werde nun, wenn ich von Dir nichts gegenteiliges höre, nochmals folgende Schritte im "normalen Modus" durchführen (wie in den vorhergehenden Schritten beschrieben):

1. malwarebytes > und allfällige Funde löschen / Quarantäne
2. adwcleander
3. emisoft anti-malware

und die entsprechenden Logs posten, ok? Ich schau dann auch gleich nochmal, wie der Rechner im "verseuchten" Benutzerkonto läuft. Auf dem anderen nämlich ist's ok... Ich bin aber noch bis abends auf der Arbeit und werde mich dann wieder hinter meinen Rechner machen.

Grüsse und sorry für die Umstände...

t'john · 22.11.2012, 13:49

Nein, nicht nochmal machen.

Zitat:

wie der Rechner im "verseuchten" Benutzerkonto läuft.

darum gehts doch

Zitat:

rüsse und sorry für die Umstände...

Kein Problem

happyaldo · 22.11.2012, 20:50

hallo t'john!

bin ohne probleme beim "verseuchten" benutzerkonto eingestiegen, fällt mir nichts auf, dass nicht so ist, wie's sollte!

wars das schon? wenn ja: dann recht herzlichen dank für deine unterstützung! echt super, was ihr da tut!

wenn nein: na dann wirst du mir posten, was ich als nächstes zu tun habe...

liebe grüsse und vielen dank nochmal!

t'john · 23.11.2012, 01:03

Sehr gut!

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

happyaldo · 24.11.2012, 15:33

hallo t'john

hab bereits 2 anläufe genommen mit dem ESET-Online-Scanner zu scannen, habe aber jeweils nach 2,5h wieder abgebrochen...
Ist das normal, dass das solange geht? Nach 2,5h waren erst gerade 24% gescannt - das ginge total dann ja gegen 10h...

Ich war nur verunsichert, da ich dann ja die 10h ungeschützt am netz bin, da virenscanner und firewall deaktiviert sind. kann ich das gefahrlos tun? oder geht das "normal" schneller?

Nebenbei: ich hab in der zwischenzeit avast! pro antivirus installiert und einen kompletten scan durchgeführt: hat nichts gefunden.

ich wünsche dir vorerst ein schönes weekend!

t'john · 24.11.2012, 21:55

Zitat:

Ich war nur verunsichert, da ich dann ja die 10h ungeschützt am netz bin, da virenscanner und firewall deaktiviert sind.

Hattest du vorher doch auch und hast dich infiziert.
Glaube nicht an jeden Marketing Gag.

happyaldo · 25.11.2012, 12:55

na was solls: here we are... ;-)

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=82d497dcc9b275478b11d2bf68747abf
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-25 11:43:48
# local_time=2012-11-25 12:43:48 (+0100, Mitteleuropäische Zeit)
# country="Switzerland"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5378 16777214 0 8 129654706 129654797 0 0
# compatibility_mode=5892 16776573 100 100 144956 191361875 0 0
# compatibility_mode=8192 67108863 100 0 3991 3991 0 0
# scanned=163750
# found=0
# cleaned=0
# scan_time=14681

ging nun doch auch einwenig flotter, als prognostiziert...

grüsse und schönes weekend!

t'john · 26.11.2012, 03:06

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 9 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

happyaldo · 26.11.2012, 09:52

Zitat:

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Firefox 10.0 ist veraltet!

Flash 10,2,159,1 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!

Java ist Installiert aber nicht aktiviert.

Adobe Reader 10,1,4,38 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0

Zitat:

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Firefox 10.0 ist veraltet!

Flash 10,2,159,1 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version!

Java ist Installiert aber nicht aktiviert.

Adobe Reader 10,1,4,38 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0

Ich geh mal davon aus, dass ich die veralteten Versionen updaten soll und mach mich derweil schon mal an die Arbeit... ;-)

Zitat:

Ich geh mal davon aus, dass ich die veralteten Versionen updaten soll und mach mich derweil schon mal an die Arbeit... ;-)

Zitat:

Firefox 17.0 ist aktuell

Flash (11,5,502,110) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader 10,1,4,38 ist veraltet!
Aktualisieren Sie bitte auf die neueste Version: 11.0

??? Wenn ich "Update" beim Acrobad Reader drücke werde ich auf die offizielle Homepage von Adobe verwiesen und dort krieg ich nur die Version 10.1.4 angeboten und keine Version 11.0. Auch wenn ich sonstwo im Netz suche, hab ich letztenendes nur die Version 10.1.4 gekriegt... ???

22.11.2012, 06:49	#6
t'john /// Helfer-Team	Polizei-Trojaner ("Swiss Edition") / Trojan.Ransom / Trojan.Agent Hast du die Funde in Malwarebytes nun endlich geloescht? Bite alles im normalen Modus ausfuehren! Was genau geht zurzeit nicht? __________________ --> Polizei-Trojaner ("Swiss Edition") / Trojan.Ransom / Trojan.Agent

Polizei-Trojaner ("Swiss Edition") / Trojan.Ransom / Trojan.Agent

Log-Analyse und Auswertung: Polizei-Trojaner ("Swiss Edition") / Trojan.Ransom / Trojan.Agent