Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (gqorbfjs) -- C:\Windows\system32\drivers\gqorbfjs.sys File not found
IE - HKU\S-1-5-21-4277074426-3687905307-1399999662-1000\..\SearchScopes\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825
O2 - BHO: (Mein Gutscheincode Finder zeigt automatisch Shopping-Gutscheine an mit denen Sie beim Online-Einkauf sparen können.) - {1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - C:\Programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll (Conversion One GmbH)
[2013.02.04 03:57:34 | 000,000,512 | ---- | C] () -- C:\Users\yourajassef\Desktop\MBR.dat
[2013.01.27 01:01:43 | 000,000,076 | RHS- | M] () -- C:\Windows\CT4CET.bin
[2013.02.03 10:41:45 | 000,013,997 | ---- | C] () -- C:\Users\yourajassef\Desktop\S+TOdLM+.htm.part.htm
:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hallo,

hier:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service gqorbfjs stopped successfully!
Service gqorbfjs deleted successfully!
File  C:\Windows\system32\drivers\gqorbfjs.sys File not found not found.
Registry key HKEY_USERS\S-1-5-21-4277074426-3687905307-1399999662-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}\ deleted successfully.
C:\Programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll moved successfully.
C:\Users\yourajassef\Desktop\MBR.dat moved successfully.
C:\Windows\CT4CET.bin moved successfully.
C:\Users\yourajassef\Desktop\S+TOdLM+.htm.part.htm moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\yourajassef\Desktop\cmd.bat deleted successfully.
C:\Users\yourajassef\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: yourajassef
->Temp folder emptied: 1028571 bytes
->Temporary Internet Files folder emptied: 10414527 bytes
->Java cache emptied: 3448310 bytes
->FireFox cache emptied: 227467488 bytes
->Apple Safari cache emptied: 130806784 bytes
->Flash cache emptied: 1950 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 30758040 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 385,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 02052013_093219

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

Malaware: --> keine infizierte Objekte

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.05.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
yourajassef :: YOURAJASSEF-PC [Administrator]

Schutz: Aktiviert

05.02.2013 10:04:37
mbam-log-2013-02-05 (10-04-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212716
Laufzeit: 4 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

ESET folgt ...

ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=c72c194dcad2c7418f3194055ad0e592
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-05 11:38:23
# local_time=2013-02-05 12:38:23 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 56391398 197597031 0 0
# scanned=249706
# found=6
# cleaned=0
# scan_time=8559
C:\Users\yourajassef\Downloads\Neuer Ordner\Megaplayer.exe	probably a variant of Win32/StartPage.JSROPEO trojan	0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5	I
C:\Users\yourajassef\Downloads\Neuer Ordner\vlc-1.1.9-win32.exe	Win32/StartPage.OIE trojan	1D435CA0C4BA455742225989F95CC529198E86DB	I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab	a variant of Win32/Adware.OneStep.Z application	F8E564130624735508A87A52F162FF03253AFA01	I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9\legend.001	probably a variant of Win32/Agent.MFFSTCY trojan	B646860190B1A5DBB6A7761F0E7AF1A481C21617	I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar	probably a variant of Win32/Agent.MFFSTCY trojan	96781BE1C1CE8B9711F572430E67E74CB94685C8	I
E:\Downloads\(2) ???? ????? ????.rar	Win32/Bifrose.NEL trojan	BD4CF6D6C8A773323406C40006175CABD9B21693	I
         

P.S.: die 6 infizierte Dateien, brauche ich alle nicht und kann die gerne löschen

Zitat:

E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar

Was soll denn das sein?

Zitat:

Zitat von cosinus

Was soll denn das sein?

LS-DYNA ist ein Simulationsprogramm und wird vorallem für Crashtest-Simulationen angewendet.

Das habe ich mal während meines Studiums gebraucht. Jetzt aber nicht mehr.

Soll ich die Datei einfach löschen?

Ja löschen. Sieht mir auch aus, als hättest du das Zeug aus irgendeiner dubiosen Quelle. Naja brauchst ja eh nicht mehr

Hallo,

ich habe alle 6 Datein unten und alle temporärern Internetdatein gelöscht und den Papierkorb geleert

Zitat:

Zitat von yourajassef

C:\Users\yourajassef\Downloads\Neuer Ordner\Megaplayer.exe probably a variant of Win32/StartPage.JSROPEO trojan 0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5 I
C:\Users\yourajassef\Downloads\Neuer Ordner\vlc-1.1.9-win32.exe Win32/StartPage.OIE trojan 1D435CA0C4BA455742225989F95CC529198E86DB I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab a variant of Win32/Adware.OneStep.Z applicationF8E564130624735508A87A52F162FF03253AFA01 I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9\legend.001 probably a variant of Win32/Agent.MFFSTCY trojan B646860190B1A5DBB6A7761F0E7AF1A481C21617 I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar probably a variant of Win32/Agent.MFFSTCY trojan 96781BE1C1CE8B9711F572430E67E74CB94685C8 I
E:\Downloads\(2) ???? ????? ????.rar Win32/Bifrose.NEL trojan BD4CF6D6C8A773323406C40006175CABD9B21693 I

Sollte dann i.O. sein und sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

danke für die Ratschläge:

Ich habe ESET nochmal durchgeführt. Ich habe diesmal auch meine externe Festplatte mitgescant. (F:/)
Wieder 6 Objekte gefunden:
- Die 2 ersten, weiß ich nicht was das ist!
- 3. finde ich irgendwie nicht. Ich konnte bis hier navigieren (C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows) Der Ordner Windows ist aber leer. Ich habe auch die Option "alle Ordner anzeigen" geprüft.
- die 3 letzten habe ich gelöscht

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=c72c194dcad2c7418f3194055ad0e592
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-06 10:31:52
# local_time=2013-02-06 11:31:52 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 56517007 197722640 0 0
# scanned=294615
# found=6
# cleaned=0
# scan_time=11793
C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RACPLV0.exe	probably a variant of Win32/StartPage.JSROPEO trojan	0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5	I
C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RZKPN0E.exe	Win32/StartPage.OIE trojan	1D435CA0C4BA455742225989F95CC529198E86DB	I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab	a variant of Win32/Adware.OneStep.Z application	F8E564130624735508A87A52F162FF03253AFA01	I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen\Nero 8.1.1.4 en Français + Keygen\Nero 8.x Keygen.exe	probably a variant of Win32/Injector.DW trojan	C17427850F929029849412ED658E83F6F845ED2A	I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\MsgPlusLive-450.exe	a variant of Win32/Adware.CiDHelp application	7D4F1B28E7C3735F64C3D68534851C6DABA9E4E3	I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen.zip	probably a variant of Win32/Injector.DW trojan	E503370B80BA7DD86F010182F4CDF0B488C11C3A	I
         

Ich bedanke mich nochmal sehr bei Euch und habe noch 2 Fragen.

1- was brauche ich noch von den Programmen, die ich nach Deinen Anweisungen nicht mehr (OTL, gmer, aswMBR, malawarebytes....)?

2- Könntest Du mir den Link zur Bankverbindung (falls eine gibt). Ich will was kleines spenden. Denn das ist ja eine große Leistung, was Ihr hier bringt. Ihr investiert echt viel Zeit.

Danke sehr

Zitat:

F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen.zip

Warum hast du diesen Dreck auf deinen Datenträgern?

Hallo,
ehrlich gesagt, ich weiß nicht mehr voher ich das hatte. das ist aber sehr alt. wahrscheinlich 8 Jahre alt oder so

Zitat:

Zitat von yourajassef

Ich bedanke mich nochmal sehr bei Euch und habe noch 2 Fragen.

1- was brauche ich noch von den Programmen, die ich nach Deinen Anweisungen installiert oder abgespeichert habe, nicht mehr (OTL, gmer, aswMBR, malawarebytes....)? was soll ich löschen und was soll ich beibehalten?

2- Könntest Du mir den Link zur Bankverbindung (falls eine gibt). Ich will was kleines spenden. Denn das ist ja eine große Leistung, was Ihr hier bringt. Ihr investiert echt viel Zeit.

Danke sehr

Da hast du aber Glück gehabt, wenn ich das am Anfang entdekct hätte wäre das hier der Support gewesen => Neuinstallation von Windows

Lass in Zukunft die Finger von riskantem und illegalem Zeug wie Cracks oder Keygen!

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

ich finde immernoch das hier, obwohl ich alle temp. Internetdateien vor dem scan gelöscht habe!

Code: Alles auswählenAufklappen

ATTFilter

C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RD9W4EM\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab
         

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.