Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.04.2013, 16:20   #1
mtg
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Icon34

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Hallo!

Habe mir gestern den scheinbar eh relativ bekannten "Landespolizeidirection"-Virus geholt, bei dem ich dazu aufgefordert werde 100€ zu zahlen. Hatte schon einmal einen ähnlichen Trojaner, den ich über den abgesicherten Modus und das deaktivieren der Autostartprozesse über msconfig loswerden konnte.

Jetzt habe ich allerdings das Problem, dass der PC beim Starten des abgesicherten Modus (mit und ohne Netzwerktreibern) sofort nach dem Login wieder herunterfährt. Ein Drücken der Shift-Taste beim Login hat auch nichts gebracht.

Habe im abgesicherten Modus mit Eingabeaufforderung msconfig gestartet, allerdings keine verdächtigen Autostartprozesse gefunden.

Aufgrund des oben beschriebenen Problems kann ich auch keine Logs anlegen und euch posten.

Bitte um Hilfe, muss dringend an Daten auf dem PC.

Danke schon mal für eure Zeit

lG, mtg

Alt 07.04.2013, 16:32   #2
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.




Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:
Bitte lesen:
Regeln für die Bereinigung
  • Illegal genutzte Software
    Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
  • Keine Garantie
    Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
  • Keine Alleingänge
    Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
  • Aufmerksam lesen und nachfragen
    Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
  • Richtig antworten
    • Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
    • Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss.
    • Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
      [CODE] (Logfile) [/CODE]
    • Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten.
  • Keine privaten Nachrichten
    Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
  • Wie läuft die Bereinigung ab?
    Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.


Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Batch-Datei vorbereiten
    • Drücke Windowstaste + R > notepad (eintippen) > Enter
      Kopiere den folgenden Text vollständig in das Fenster:
      Code:
      ATTFilter
      @echo off
      copy %0\..\combofix.exe "%userprofile%"\desktop 
      "%userprofile%"\desktop\combofix.exe
               
    • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
  2. Combofix kopieren
    • Lade dir Combofix von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  3. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  4. Laufwerksbuchstaben finden und Combofix starten
    • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
    • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
    • Wenn du es gefunden hast tippe start.bat (Enter)
    • Combofix sollte jetzt starten.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle Warnungen mit OK.
  5. Logfile posten
    • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.
__________________

__________________

Alt 07.04.2013, 17:41   #3
mtg
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Icon22

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Hallo ryder!

Danke, dass du dich meiner annimmst.

Habe deine Schritte ohne Komplikationen befolgt und als das log im Editor angezeigt wurde, den PC neugestartet. Der Virus ist nicht mehr erschienen, die Taskleiste hat jetzt allerdings Windows-XP-Style was vmtl an den schon zuvor deaktivierten Autostartprozessen liegt.

Hier das log:

Code:
ATTFilter
ComboFix 13-04-06.02 - Gabriel 07.04.2013  17:53:17.1.4 - x64 MINIMAL
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.43.1031.18.4094.3495 [GMT 2:00]
ausgeführt von:: c:\users\Gabriel\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\6409198.bat
c:\programdata\6409198.pad
c:\programdata\6409198.reg
c:\users\Gabriel\AppData\Roaming\AltShell.dat
c:\users\Gabriel\Documents\~WRL0452.tmp
c:\users\Gabriel\Documents\~WRL2196.tmp
c:\users\Gabriel\Documents\~WRL3847.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-07 bis 2013-04-07  ))))))))))))))))))))))))))))))
.
.
2013-04-07 15:59 . 2013-04-07 15:59	--------	d-----w-	c:\users\Gabriel\AppData\Local\temp
2013-04-07 15:59 . 2013-04-07 15:59	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-04-07 01:31 . 2013-04-07 01:31	--------	d-----w-	c:\users\Gabriel\AppData\Local\Pinnacle
2013-04-04 14:45 . 2013-04-04 14:45	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\AVG2013
2013-04-01 22:41 . 2013-04-01 22:41	--------	d-----w-	c:\program files (x86)\GNU
2013-04-01 17:58 . 2013-04-01 18:02	--------	d-----w-	c:\programdata\AVG2013
2013-03-30 21:55 . 2013-03-30 22:00	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\AllDup
2013-03-30 21:55 . 2013-03-30 22:00	--------	d-----w-	c:\program files (x86)\AllDup
2013-03-30 21:55 . 2013-03-30 21:55	--------	d-----w-	c:\users\Gabriel\AppData\Local\Programs
2013-03-21 15:48 . 2012-11-23 03:13	68608	----a-w-	c:\windows\system32\taskhost.exe
2013-03-21 01:42 . 2013-03-21 01:42	--------	d-----w-	c:\windows\system32\SPReview
2013-03-21 01:41 . 2013-03-21 01:41	--------	d-----w-	c:\windows\system32\EventProviders
2013-03-20 19:53 . 2013-02-12 04:12	19968	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-03-17 22:05 . 2013-03-17 22:05	--------	d-----w-	c:\users\Gabriel\AppData\Local\ArmA 2 OA
2013-03-17 22:05 . 2013-03-17 22:05	--------	d-----w-	c:\programdata\Bohemia Interactive Studio
2013-03-17 21:52 . 2013-03-17 21:55	--------	d-----w-	c:\users\Gabriel\AppData\Local\Play withSIX
2013-03-17 21:52 . 2013-03-17 21:53	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\Play withSIX
2013-03-17 21:52 . 2013-03-17 21:52	--------	d-----w-	c:\users\Gabriel\AppData\Local\IsolatedStorage
2013-03-17 21:52 . 2013-03-17 21:52	--------	d-----w-	c:\program files (x86)\SIX Networks
2013-03-12 21:20 . 2013-03-12 21:20	16486616	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-21 01:54 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2013-03-21 01:54 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2013-03-13 02:03 . 2010-05-24 13:41	72013344	----a-w-	c:\windows\system32\MRT.exe
2013-03-12 21:20 . 2012-04-07 22:49	693976	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-12 21:20 . 2011-05-21 20:05	73432	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-26 21:40 . 2013-02-26 21:40	246072	----a-w-	c:\windows\system32\drivers\avgidsdrivera.sys
2013-02-14 01:52 . 2013-02-14 01:52	239416	----a-w-	c:\windows\system32\drivers\avgtdia.sys
2013-02-12 05:45 . 2013-03-21 15:48	135168	----a-w-	c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2013-02-12 05:45 . 2013-03-21 15:48	350208	----a-w-	c:\windows\apppatch\AppPatch64\AcLayers.dll
2013-02-12 05:45 . 2013-03-21 15:48	308736	----a-w-	c:\windows\apppatch\AppPatch64\AcGenral.dll
2013-02-12 05:45 . 2013-03-21 15:48	111104	----a-w-	c:\windows\apppatch\AppPatch64\acspecfc.dll
2013-02-12 04:48 . 2013-03-21 15:48	474112	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-21 15:48	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-02-08 02:37 . 2013-02-08 02:37	116536	----a-w-	c:\windows\system32\drivers\avgmfx64.sys
2013-02-08 02:37 . 2013-02-08 02:37	311096	----a-w-	c:\windows\system32\drivers\avgloga.sys
2013-02-08 02:37 . 2013-02-08 02:37	71480	----a-w-	c:\windows\system32\drivers\avgidsha.sys
2013-02-08 02:37 . 2013-02-08 02:37	206136	----a-w-	c:\windows\system32\drivers\avgldx64.sys
2013-02-08 02:37 . 2013-02-08 02:37	45880	----a-w-	c:\windows\system32\drivers\avgrkx64.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"DNS7reminder"="c:\program files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"Freecorder FLV Service"="c:\program files (x86)\Freecorder\FLVSrvc.exe" /run
.
R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-21 834544]
R1 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdrivera.sys [2013-02-26 246072]
R1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [2013-02-08 206136]
R1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [2013-02-14 239416]
R2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
R2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 11576]
R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-10-17 93712]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x]
R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-03-01 187392]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [2011-12-12 11856]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712]
R3 V0330VID;WebCam Vista/Live! Cam Chat VF0330;c:\windows\system32\DRIVERS\V0330Vid.sys [2009-07-03 193408]
R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-11-10 204288]
R4 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-11-09 361984]
R4 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2013\avgidsagent.exe [2013-02-27 4937264]
R4 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2013\avgwdsvc.exe [2013-02-19 282624]
R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R4 DirMngr;DirMngr;c:\program files (x86)\GnuPG\dirmngr.exe [2010-07-28 242176]
R4 DragonSvc;Dragon Service;c:\program files (x86)\Common Files\Nuance\dgnsvc.exe [2010-07-29 296808]
R4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [2013-02-05 235216]
R4 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-01-08 161536]
R4 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2011-12-14 2123584]
R4 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-24 1255736]
S0 AVGIDSHA;AVGIDSHA;c:\windows\system32\DRIVERS\avgidsha.sys [2013-02-08 71480]
S0 Avgloga;AVG Logging Driver;c:\windows\system32\DRIVERS\avgloga.sys [2013-02-08 311096]
S0 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [2013-02-08 116536]
S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [2013-02-08 45880]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-11-20 75776]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-11-20 177152]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 38456]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 21:20]
.
2013-01-31 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-23 21:16]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = 192.168.*.*
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Gabriel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: In Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\
FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe
AddRemove-GeoGebra 4 - c:\windows\system32\javaws.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1467017457-2896773103-118067648-1001\Software\SecuROM\License information*]
"datasecu"=hex:d4,ad,f3,5a,f7,f2,ca,48,bc,10,7b,f1,04,ca,f7,92,3e,6f,e2,6b,81,
   36,cd,c0,d4,5a,11,79,fe,fd,28,c8,e7,cf,0b,08,73,cb,9b,a6,1d,8a,f2,4f,2e,ac,\
"rkeysecu"=hex:2e,97,3e,4f,fd,86,a0,e2,5c,62,62,da,fb,29,5c,3d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-04-07  18:04:22
ComboFix-quarantined-files.txt  2013-04-07 16:04
.
Vor Suchlauf: 34 Verzeichnis(se), 345.998.155.776 Bytes frei
Nach Suchlauf: 40 Verzeichnis(se), 346.463.412.224 Bytes frei
.
- - End Of File - - 2144B3E8EB8483313ADF0326186AC164
         
Wie gehts jetzt weiter?
Falls es das schon war, könntest du mir bitte noch sagen welche Autostartprozesse ich bedenkenlos reaktivieren kann?

Danke!

lG, mtg
__________________

Alt 07.04.2013, 18:03   #4
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Du kannst alles wieder aktivieren.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC




Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).



Schritt 3:
Kontrolle wieder mit Combofix.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 07.04.2013, 19:59   #5
mtg
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Danke für die Antwort.

zu Schritt 1: TuneUpUtilities lässt sich nicht löschen. Es geht zwar erstmal ein Fenster auf, dieses Verschwindet jedoch wieder sobald ich als ja klicke. Im Taskmanager läuft TUU immer im Hintergrund - wenn ich den Prozess beende poppt er eine Sekunde später wieder auf.

zu Schritt 2: hier das log:

Code:
ATTFilter
# AdwCleaner v2.200 - Datei am 07/04/2013 um 19:47:30 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : Gabriel - GABRIEL-PC
# Bootmodus : Normal
# Ausgeführt unter : F:\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\foxydeal.sqlite
Ordner Gelöscht : C:\Program Files (x86)\Common Files\Plasmoo
Ordner Gelöscht : C:\Program Files (x86)\Conduit
Ordner Gelöscht : C:\Users\Gabriel\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\Conduit
Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\ConduitCommon
Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\CT1060933
Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Ask&Record
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0 (de)

Datei : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\prefs.js

Gelöscht : user_pref("CT1060933..clientLogIsEnabled", true);
Gelöscht : user_pref("CT1060933..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Gelöscht : user_pref("CT1060933..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Gelöscht : user_pref("CT1060933.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Gelöscht : user_pref("CT1060933.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT1060933.AppTrackingLastCheckTime", "Sat Oct 29 2011 01:54:00 GMT+0200");
Gelöscht : user_pref("CT1060933.BrowserCompStateIsOpen_129633202291172081", true);
Gelöscht : user_pref("CT1060933.BrowserCompStateIsOpen_129652058719725628", true);
Gelöscht : user_pref("CT1060933.CT1060933", "CT1060933");
Gelöscht : user_pref("CT1060933.CurrentServerDate", "17-11-2011");
Gelöscht : user_pref("CT1060933.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT1060933.DialogsGetterLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT1060933.FirstServerDate", "19-5-2011");
Gelöscht : user_pref("CT1060933.FirstTime", true);
Gelöscht : user_pref("CT1060933.FirstTimeFF3", true);
Gelöscht : user_pref("CT1060933.FixPageNotFoundErrors", false);
Gelöscht : user_pref("CT1060933.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT1060933.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT1060933.HasUserGlobalKeys", true);
Gelöscht : user_pref("CT1060933.HomePageProtectorEnabled", false);
Gelöscht : user_pref("CT1060933.Initialize", true);
Gelöscht : user_pref("CT1060933.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT1060933.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT1060933.InstalledDate", "Thu May 19 2011 14:44:33 GMT+0200");
Gelöscht : user_pref("CT1060933.InvalidateCache", false);
Gelöscht : user_pref("CT1060933.IsAlertDBUpdated", true);
Gelöscht : user_pref("CT1060933.IsGrouping", false);
Gelöscht : user_pref("CT1060933.IsMulticommunity", false);
Gelöscht : user_pref("CT1060933.IsOpenThankYouPage", true);
Gelöscht : user_pref("CT1060933.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT1060933.LanguagePackLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT1060933.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT1060933.LastLogin_3.3.3.2", "Tue Aug 16 2011 02:45:31 GMT+0200");
Gelöscht : user_pref("CT1060933.LastLogin_3.6.0.10", "Tue Sep 27 2011 18:23:32 GMT+0200");
Gelöscht : user_pref("CT1060933.LastLogin_3.7.0.6", "Mon Nov 07 2011 19:52:45 GMT+0100");
Gelöscht : user_pref("CT1060933.LastLogin_3.8.0.8", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.LatestVersion", "3.8.0.8");
Gelöscht : user_pref("CT1060933.Locale", "en-us");
Gelöscht : user_pref("CT1060933.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT1060933.MCDetectTooltipShow", false);
Gelöscht : user_pref("CT1060933.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT1060933.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT1060933.MyStuffEnabledAtInstallation", true);
Gelöscht : user_pref("CT1060933.RadioIsPodcast", false);
Gelöscht : user_pref("CT1060933.RadioLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100");
Gelöscht : user_pref("CT1060933.RadioLastUpdateIPServer", "0");
Gelöscht : user_pref("CT1060933.RadioLastUpdateServer", "129326918102570000");
Gelöscht : user_pref("CT1060933.RadioMediaID", "21504191");
Gelöscht : user_pref("CT1060933.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT1060933.RadioMenuSelectedID", "EBRadioMenu_CT106093321504191");
Gelöscht : user_pref("CT1060933.RadioShrinkedFromSetup", false);
Gelöscht : user_pref("CT1060933.RadioStationName", "KFOG");
Gelöscht : user_pref("CT1060933.RadioStationURL", "hxxp://live.cumulusstreaming.com/KFOG-FM");
Gelöscht : user_pref("CT1060933.SearchEngineBeforeUnload", "chrome://browser-region/locale/region.properties");
Gelöscht : user_pref("CT1060933.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT1060933.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT106[...]
Gelöscht : user_pref("CT1060933.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT1060933.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT1060933.SearchInNewTabLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100");
Gelöscht : user_pref("CT1060933.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT1060933.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...]
Gelöscht : user_pref("CT1060933.SearchInNewTabUserEnabled", false);
Gelöscht : user_pref("CT1060933.SearchProtectorEnabled", false);
Gelöscht : user_pref("CT1060933.SearchProtectorToolbarDisabled", false);
Gelöscht : user_pref("CT1060933.ServiceMapLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100");
Gelöscht : user_pref("CT1060933.SettingsLastCheckTime", "Thu Nov 17 2011 16:45:06 GMT+0100");
Gelöscht : user_pref("CT1060933.SettingsLastUpdate", "1320839841");
Gelöscht : user_pref("CT1060933.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT1060933.ThirdPartyComponentsLastCheck", "Sat Nov 12 2011 17:58:34 GMT+0100");
Gelöscht : user_pref("CT1060933.ThirdPartyComponentsLastUpdate", "1312887586");
Gelöscht : user_pref("CT1060933.ToolbarShrinkedFromSetup", false);
Gelöscht : user_pref("CT1060933.TrusteLinkUrl", "hxxp://trust.conduit.com/CT1060933");
Gelöscht : user_pref("CT1060933.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Gelöscht : user_pref("CT1060933.UserID", "UN07724420482739414");
Gelöscht : user_pref("CT1060933.ValidationData_Toolbar", 2);
Gelöscht : user_pref("CT1060933.alertChannelId", "15651");
Gelöscht : user_pref("CT1060933.approveUntrustedApps", true);
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e+x305", "247E27413334363379453A3D2A722C797A7E7A3128333B4D4[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e,x305", "247E28412F3F3E3779453A3D2A722C797B787D3128333C474[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e-x305", "247E2936303C363679453A3D2A722C797A207B3128333D462[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e.:2z527", "247E716B7374443A384336423C3C204A4A2F77317B23222[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e.x305", "247E2A4137374434337A463B3E2B732D7A7D7C213229343F5[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e/x305", "247E2B413536327844393C29712B787C7B773027323E4C434[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e06cg5el8:", "6E6D706A6B6D74757673");
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e06cg5el;8i:k", "247E2D2F226A7473767071737A7B7C79242F4B4947[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e0x305", "247E2C403A407743383B28702A777C757D2F26313E4129554[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e1x305", "247E2D41313D403279453A3D2A722C7A77797E31283341473[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e2x305", "247E2E3542313D3D393A7B473C3F2C742E79207D322934435[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e31;cjc<=fbj#ncf", "247E61393F236B25757677712A212C6E414F444[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e3x305", "247E2F413F3B36333F47463F7D493E412E76307E222421352[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e4x305", "247E302C407642373A276F29777B74762E2530413E4F494A5[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e5x305", "247E3136422B7743383B28702A79757A772F2631434B3D495[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e6x305", "247E322C3E32323238453E7C483D402D752F7E7B2424342B3[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e7x305", "247E333D2C3F3E3F79453A3D2A722C7B7A797A31283347474[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e8x305", "247E343D3F3B35373B3F367C47472C742E7E7823322934495[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e9x305", "247E35332C3F327844393C29712B7B757979302732484C4F4[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e:x305", "247E36333B38327844393C29712B7B76797A3027324948554[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e;x305", "247E373F333F3738422F7B473C3F2C742E7E7A7A22332A354[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e<x305", "247E38343030442F463644377D493E412E7630217D2426352[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e=x305", "247E3933363F41413739357C483D402D752F207E2022342B3[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e>x305", "247E3A41363F323238387B473C3F2C742E7E20217C332A355[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e?x305", "247E3B2D2F2F334134403A3A7D494C2D752F2023207E342B3[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7e@x305", "247E3C40422B7743383B28702A7B767E782F26314E52543D2[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7eax305", "247E3D3D37387743383B28702A7B7A757E2F26314F4F544A5[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7ebe3g=;d9n9=d", "372C2D326975762E3A3C7B3A39434A494841434B26[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7ebx305", "247E3E393141303D33454036327E4A3F422F77317B7D23352[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7ecx305", "247E3F3D303043312E7A463B3E2B732D7B207E31283353515[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7edx305", "247E4035422A363879453A3D2A722C7D202F26315247543C4[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b+7etx305", "247E6E2F2E3B323342357B44392B732D7A7B7B7C322934215[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3g>d", "3C3A6870426F43717A47437578207C4A784E257E7E7D262A23[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3g@6:5;", "");
Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3gfa7ef", "2B2E2C3D");
Gelöscht : user_pref("CT1060933.backendstorage./9b-3=3eccja=f>", "247E333D2C452F4135276F297B7E7D21202F26313E424[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b/>01=9a6k6<im;krie@pdawm", "6E6A68707374757677");
Gelöscht : user_pref("CT1060933.backendstorage./9b3=>@44i48?", "372C2D32697576334236334148477A213F3E484F4E4D464[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b5ba==9cjag", "6867686F6D74446F7A47487745467C7B784F207E23");
Gelöscht : user_pref("CT1060933.backendstorage./9b6b11g4c56b>f;p;anr@p", "6E6D706A6B6D74766E71777875");
Gelöscht : user_pref("CT1060933.backendstorage./9b9643g3/9e", "6A");
Gelöscht : user_pref("CT1060933.backendstorage./9b<:222h64<", "393F352F3E");
Gelöscht : user_pref("CT1060933.backendstorage./9b=+03eh8h8j?:", "4443");
Gelöscht : user_pref("CT1060933.backendstorage./9b?+e2a52d8", "372C2D326975762E3A3C7B3A39434A494841434B26514649[...]
Gelöscht : user_pref("CT1060933.backendstorage./9b?b0d:8aj62<h", "6D");
Gelöscht : user_pref("CT1060933.backendstorage./9ba@0<0bi6a7gn:6@l?", "6E6B");
Gelöscht : user_pref("CT1060933.components.1000515", false);
Gelöscht : user_pref("CT1060933.components.129633202291172081", false);
Gelöscht : user_pref("CT1060933.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Gelöscht : user_pref("CT1060933.globalFirstTimeInfoLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.homepageProtectorEnableByLogin", true);
Gelöscht : user_pref("CT1060933.initDone", true);
Gelöscht : user_pref("CT1060933.isAppTrackingManagerOn", true);
Gelöscht : user_pref("CT1060933.isFirstRadioInstallation", false);
Gelöscht : user_pref("CT1060933.myStuffEnabled", true);
Gelöscht : user_pref("CT1060933.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT1060933.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT1060933.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT1060933.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT1060933.oldAppsList", "128346981843587669,128280995260143876,111,129272674122038321,129[...]
Gelöscht : user_pref("CT1060933.revertSettingsEnabled", true);
Gelöscht : user_pref("CT1060933.searchProtectorDialogDelayInSec", 10);
Gelöscht : user_pref("CT1060933.searchProtectorEnableByLogin", true);
Gelöscht : user_pref("CT1060933.testingCtid", "");
Gelöscht : user_pref("CT1060933.toolbarAppMetaDataLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.toolbarContextMenuLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CT1060933.usagesFlag", 2);
Gelöscht : user_pref("CT2319825.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2319825.CTID", "CT2319825");
Gelöscht : user_pref("CT2319825.CurrentServerDate", "18-11-2010");
Gelöscht : user_pref("CT2319825.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2319825.EMailNotifierPollDate", "Thu Nov 18 2010 17:47:51 GMT+0100");
Gelöscht : user_pref("CT2319825.FeedPollDate11908299", "Thu Nov 18 2010 21:59:13 GMT+0100");
Gelöscht : user_pref("CT2319825.FirstServerDate", "18-11-2010");
Gelöscht : user_pref("CT2319825.FirstTime", true);
Gelöscht : user_pref("CT2319825.FirstTimeFF3", true);
Gelöscht : user_pref("CT2319825.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2319825.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2319825.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2319825.Initialize", true);
Gelöscht : user_pref("CT2319825.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2319825.InstalledDate", "Thu Nov 18 2010 16:27:48 GMT+0100");
Gelöscht : user_pref("CT2319825.InvalidateCache", false);
Gelöscht : user_pref("CT2319825.IsGrouping", false);
Gelöscht : user_pref("CT2319825.IsMulticommunity", false);
Gelöscht : user_pref("CT2319825.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2319825.IsOpenUninstallPage", true);
Gelöscht : user_pref("CT2319825.LanguagePackLastCheckTime", "Thu Nov 18 2010 16:27:51 GMT+0100");
Gelöscht : user_pref("CT2319825.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2319825.LastLogin_2.5.8.6", "Thu Nov 18 2010 20:27:50 GMT+0100");
Gelöscht : user_pref("CT2319825.LatestVersion", "2.7.2.0");
Gelöscht : user_pref("CT2319825.Locale", "de");
Gelöscht : user_pref("CT2319825.LoginCache", 4);
Gelöscht : user_pref("CT2319825.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2319825.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2319825.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2319825.RadioIsPodcast", false);
Gelöscht : user_pref("CT2319825.RadioLastCheckTime", "Thu Nov 18 2010 16:27:51 GMT+0100");
Gelöscht : user_pref("CT2319825.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2319825.RadioLastUpdateServer", "129224641269630000");
Gelöscht : user_pref("CT2319825.RadioMediaID", "11949532");
Gelöscht : user_pref("CT2319825.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2319825.RadioMenuSelectedID", "EBRadioMenu_CT231982511949532");
Gelöscht : user_pref("CT2319825.RadioStationName", "1Live");
Gelöscht : user_pref("CT2319825.RadioStationURL", "hxxp://gffstream.ic.llnwd.net/stream/gffstream_stream_wdr_ei[...]
Gelöscht : user_pref("CT2319825.SHRINK_TOOLBAR", 1);
Gelöscht : user_pref("CT2319825.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2319825.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2319825.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT231[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2319825.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.SearchInNewTabLastCheckTime", "Thu Nov 18 2010 16:27:49 GMT+0100");
Gelöscht : user_pref("CT2319825.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2319825.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2319825.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2319825.SettingsLastCheckTime", "Thu Nov 18 2010 16:27:48 GMT+0100");
Gelöscht : user_pref("CT2319825.SettingsLastUpdate", "1288790396");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastCheck", "Thu Nov 18 2010 16:27:47 GMT+0100");
Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2319825.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...]
Gelöscht : user_pref("CT2319825.UserID", "UN53979799714970366");
Gelöscht : user_pref("CT2319825.WeatherNetwork", "");
Gelöscht : user_pref("CT2319825.WeatherPollDate", "Thu Nov 18 2010 16:27:52 GMT+0100");
Gelöscht : user_pref("CT2319825.WeatherUnit", "C");
Gelöscht : user_pref("CT2319825.alertChannelId", "715912");
Gelöscht : user_pref("CT2319825.backendstorage.id", "32303739363439");
Gelöscht : user_pref("CT2319825.clientLogIsEnabled", false);
Gelöscht : user_pref("CT2319825.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2319825.myStuffEnabled", true);
Gelöscht : user_pref("CT2319825.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2319825.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2319825.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2319825.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2319825.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/15651/15317/AT", "\"0\"");
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT1060933", [...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT1060933",[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT1060933&octid=[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT1060933/CT1060933[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/equaliz[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/minimiz[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/play.gi[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/stop.gi[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/vol.gif[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en-us", "\"[...]
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "{1392b8d2-5c05-419f-a8f6-b9f15a596612}");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "freecorder");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\Gabriel\\AppData\\Roaming\\Mozilla\[...]
Gelöscht : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.8.0.8");
Gelöscht : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://pgcff.pricegong.com/agreement/agree.html#pg_e[...]
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "CT1060933");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{1392b8d2-5c05-419f-a8f6-b9f15a596612}");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "freecorder");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2319825,CT1060933");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2319825,CT1060933");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Thu May 19 2011 14:44:31 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertEnabled", false);
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Tue Aug 16 2011 02:45:30 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "18f72ec4-abc7-4554-9ec5-40b7d7f2651a");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Thu Nov 18 2010 16:27:49 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.globalUserId", "ee84bc3f-8319-4b20-8325-a9776ba75483");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.killedEngine", true);
Gelöscht : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Fri Nov 11 2011 15:17:5[...]
Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Thu Nov 17 2011 14:39:33 GMT+010[...]
Gelöscht : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.locale", "en");
Gelöscht : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Gelöscht : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.notifications.userId", "ebdceced-0092-4b10-afd1-0b7a33a047c7");
Gelöscht : user_pref("CommunityToolbar.undefined", "");
Gelöscht : user_pref("extensions.engine@conduit.com.install-event-fired", true);

*************************

AdwCleaner[S1].txt - [26965 octets] - [07/04/2013 19:47:30]

########## EOF - C:\AdwCleaner[S1].txt - [27026 octets] ##########
         
zu Schritt 3: hier das neue Combofix-log:

Code:
ATTFilter
ComboFix 13-04-06.02 - Gabriel 07.04.2013  20:08:51.2.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.43.1031.18.4094.3197 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
AV: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {0E9420C4-06B3-7FA0-3AB1-6E49CB52ECD9}
SP: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {B5F5C120-2089-702E-0001-553BB0D5A664}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-07 bis 2013-04-07  ))))))))))))))))))))))))))))))
.
.
2013-04-07 18:14 . 2013-04-07 18:14	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-04-07 01:31 . 2013-04-07 01:31	--------	d-----w-	c:\users\Gabriel\AppData\Local\Pinnacle
2013-04-04 14:45 . 2013-04-04 14:45	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\AVG2013
2013-04-01 22:41 . 2013-04-01 22:41	--------	d-----w-	c:\program files (x86)\GNU
2013-04-01 17:58 . 2013-04-01 18:02	--------	d-----w-	c:\programdata\AVG2013
2013-03-30 21:55 . 2013-03-30 22:00	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\AllDup
2013-03-30 21:55 . 2013-03-30 22:00	--------	d-----w-	c:\program files (x86)\AllDup
2013-03-30 21:55 . 2013-03-30 21:55	--------	d-----w-	c:\users\Gabriel\AppData\Local\Programs
2013-03-21 15:48 . 2012-11-23 03:13	68608	----a-w-	c:\windows\system32\taskhost.exe
2013-03-21 01:42 . 2013-03-21 01:42	--------	d-----w-	c:\windows\system32\SPReview
2013-03-21 01:41 . 2013-03-21 01:41	--------	d-----w-	c:\windows\system32\EventProviders
2013-03-20 19:53 . 2013-02-12 04:12	19968	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-03-17 22:05 . 2013-03-17 22:05	--------	d-----w-	c:\users\Gabriel\AppData\Local\ArmA 2 OA
2013-03-17 22:05 . 2013-03-17 22:05	--------	d-----w-	c:\programdata\Bohemia Interactive Studio
2013-03-17 21:52 . 2013-03-17 21:55	--------	d-----w-	c:\users\Gabriel\AppData\Local\Play withSIX
2013-03-17 21:52 . 2013-03-17 21:53	--------	d-----w-	c:\users\Gabriel\AppData\Roaming\Play withSIX
2013-03-17 21:52 . 2013-03-17 21:52	--------	d-----w-	c:\users\Gabriel\AppData\Local\IsolatedStorage
2013-03-17 21:52 . 2013-03-17 21:52	--------	d-----w-	c:\program files (x86)\SIX Networks
2013-03-12 21:20 . 2013-03-12 21:20	16486616	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-21 01:54 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2013-03-21 01:54 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2013-03-13 02:03 . 2010-05-24 13:41	72013344	----a-w-	c:\windows\system32\MRT.exe
2013-03-12 21:20 . 2012-04-07 22:49	693976	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-12 21:20 . 2011-05-21 20:05	73432	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-26 21:40 . 2013-02-26 21:40	246072	----a-w-	c:\windows\system32\drivers\avgidsdrivera.sys
2013-02-14 01:52 . 2013-02-14 01:52	239416	----a-w-	c:\windows\system32\drivers\avgtdia.sys
2013-02-12 05:45 . 2013-03-21 15:48	135168	----a-w-	c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2013-02-12 05:45 . 2013-03-21 15:48	350208	----a-w-	c:\windows\apppatch\AppPatch64\AcLayers.dll
2013-02-12 05:45 . 2013-03-21 15:48	308736	----a-w-	c:\windows\apppatch\AppPatch64\AcGenral.dll
2013-02-12 05:45 . 2013-03-21 15:48	111104	----a-w-	c:\windows\apppatch\AppPatch64\acspecfc.dll
2013-02-12 04:48 . 2013-03-21 15:48	474112	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-21 15:48	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-02-08 02:37 . 2013-02-08 02:37	116536	----a-w-	c:\windows\system32\drivers\avgmfx64.sys
2013-02-08 02:37 . 2013-02-08 02:37	311096	----a-w-	c:\windows\system32\drivers\avgloga.sys
2013-02-08 02:37 . 2013-02-08 02:37	71480	----a-w-	c:\windows\system32\drivers\avgidsha.sys
2013-02-08 02:37 . 2013-02-08 02:37	206136	----a-w-	c:\windows\system32\drivers\avgldx64.sys
2013-02-08 02:37 . 2013-02-08 02:37	45880	----a-w-	c:\windows\system32\drivers\avgrkx64.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"DNS7reminder"="c:\program files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"
"Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"Freecorder FLV Service"="c:\program files (x86)\Freecorder\FLVSrvc.exe" /run
.
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x]
R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712]
R3 V0330VID;WebCam Vista/Live! Cam Chat VF0330;c:\windows\system32\DRIVERS\V0330Vid.sys [2009-07-03 193408]
R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-11-10 204288]
R4 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-11-09 361984]
R4 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2013\avgidsagent.exe [2013-02-27 4937264]
R4 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2013\avgwdsvc.exe [2013-02-19 282624]
R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R4 DirMngr;DirMngr;c:\program files (x86)\GnuPG\dirmngr.exe [2010-07-28 242176]
R4 DragonSvc;Dragon Service;c:\program files (x86)\Common Files\Nuance\dgnsvc.exe [2010-07-29 296808]
R4 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-01-08 161536]
R4 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R4 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-24 1255736]
S0 AVGIDSHA;AVGIDSHA;c:\windows\system32\DRIVERS\avgidsha.sys [2013-02-08 71480]
S0 Avgloga;AVG Logging Driver;c:\windows\system32\DRIVERS\avgloga.sys [2013-02-08 311096]
S0 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [2013-02-08 116536]
S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [2013-02-08 45880]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-21 834544]
S1 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdrivera.sys [2013-02-26 246072]
S1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [2013-02-08 206136]
S1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [2013-02-14 239416]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 11576]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2011-12-14 2123584]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-10-17 93712]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-11-20 75776]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-11-20 177152]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-03-01 187392]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [2011-12-12 11856]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 38456]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 21:20]
.
2013-01-31 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-23 21:16]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	162552	----a-w-	c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = 192.168.*.*
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\users\Gabriel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: In Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\
FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1467017457-2896773103-118067648-1001\Software\SecuROM\License information*]
"datasecu"=hex:d4,ad,f3,5a,f7,f2,ca,48,bc,10,7b,f1,04,ca,f7,92,3e,6f,e2,6b,81,
   36,cd,c0,d4,5a,11,79,fe,fd,28,c8,e7,cf,0b,08,73,cb,9b,a6,1d,8a,f2,4f,2e,ac,\
"rkeysecu"=hex:2e,97,3e,4f,fd,86,a0,e2,5c,62,62,da,fb,29,5c,3d
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-04-07  20:21:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-04-07 18:21
ComboFix2.txt  2013-04-07 16:04

Vor Suchlauf: 39 Verzeichnis(se), 346.383.597.568 Bytes frei
Nach Suchlauf: 41 Verzeichnis(se), 346.280.886.272 Bytes frei
.
- - End Of File - - 6E575A8D5D48D9F7CB607622FD1B9BFB
         
Als ich nun msconfig ausführen wollte, kam die Meldung

'C:\Windows\system32\msconfig.exe
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.'

Wie kann ich jetzt mein ganzes Autostartzeug wieder aktivieren?

Danke


Alt 07.04.2013, 20:09   #6
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Am besten so wie du es auch deaktiviert hast?

Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes
Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.
Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
--> Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung

Alt 07.04.2013, 20:29   #7
mtg
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Bevor wir zu den letzten Schritten übergehen können:

Ich habe die Prozesse über das Fenster, das sich über msconfig öffnet deaktiviert.

Egal welches Programm (Word, Firefox etc.) ich starten will, erscheint die im letzten Post zitierte Fehlermeldung (nur eben mit anderen Programmnamen anstatt 'msconfig'). Dieses Problem trat erst nach dem ComboFix-Scan, der dann im normalen Modus installiert wurde, auf.

Bitte hilf mir dieses Problem zu beheben. Davor kann ich die letzten Schritte nicht ausführen.

Danke

Alt 07.04.2013, 20:34   #8
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Wofür schreib ich dir eigentlich Hinweise?

Zitat:
Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 07.04.2013, 20:43   #9
mtg
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Entschuldige bitte, das hab ich wohl überlesen.
Bevor ich die letzten Schritte ausführe, habe ich noch eine Frage.

Im Auswahlfenster für die Autostartprozesse befinden sich 4 Einträge, die mir nichts sagen:

SBSV 2010/02/19-11:02:07 (von Adobe)
V0330Mon.exe (von Creative)
PCLib Applicazione (von Unbekannt)
runctf (von Unbekannt)

Ich glaube der letzte Eintrag ist von einem anderen Virus, den ich über das Autostartabschalten von runctf deaktiviert habe und von dem ich eigentlich dachte, dass er von meinem Virenschutz bei einem Scan bereits entfernt wurde.

Kann ich diese Prozesse beim Autostart aktivieren, bzw. wenn ich sie loswerden soll - wie?

Danke

Alt 07.04.2013, 20:50   #10
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



runctf Eintrag kann gelöscht werden.

Aber führe bitte die Schritte durch!
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 09.04.2013, 12:50   #11
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 11.04.2013, 08:43   #12
ryder
/// TB-Ausbilder
 
Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Standard

Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Antwort

Themen zu Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung
abgesicherten, abgesicherter modus, beim starten, daten, deaktivieren, dringend, eingabeaufforderung, gestartet, landespolizeidirection, legen, login, loswerden, modus, msconfig, netzwerk, nichts, problem, prozesse, relativ, schei, sofort, start, starte, starten, trojaner, verdächtige




Ähnliche Themen: Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung


  1. GVU Trojaner - Start im abgesicherten Modus wird herunter gefahren - Laptop wird sofort gesperrt
    Log-Analyse und Auswertung - 20.07.2015 (13)
  2. Windows XP - GVU-Trojaner - kein Start im abgesicherten Modus
    Log-Analyse und Auswertung - 17.11.2013 (13)
  3. Landespolizeidirection virus abgesicherter modus funkt nicht otlpe ok
    Log-Analyse und Auswertung - 21.10.2013 (7)
  4. Windows xp: Start nur noch im abgesicherten Modus /Vorher Problemmeldung softwareupdater
    Plagegeister aller Art und deren Bekämpfung - 25.09.2013 (45)
  5. Bei Start im abgesicherten Modus, sofortiges Herunterfahren des Laptops
    Plagegeister aller Art und deren Bekämpfung - 08.08.2013 (2)
  6. GVU Virus, abgesicherter Modus mit Eingabeaufforderung funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 02.08.2013 (25)
  7. Trojaner, weißer Bildschirm nach Windows 7 Start und sofortige Abmeldung im Abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (19)
  8. Tojaner - Start im abgesicherten Modus nicht möglich
    Log-Analyse und Auswertung - 28.05.2013 (34)
  9. Landespolizeidirection Trojaner, abgesicherter Modus funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 24.05.2013 (3)
  10. GVU Trojaner-kein Start im abgesicherten Modus
    Log-Analyse und Auswertung - 23.05.2013 (44)
  11. GVU Trojaner - Start im Abgesicherten Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 20.05.2013 (18)
  12. GVU-Trojaner, PC funktioniert nur im abgesicherten Modus mit Eingabeaufforderung
    Log-Analyse und Auswertung - 28.04.2013 (23)
  13. Wie entferne ich Virus oder Trojaner nur mit abgesichertem Modus und Eingabeaufforderung?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2013 (1)
  14. GVU-Trojaner (Start des abgesicherten Modus nicht möglich)
    Plagegeister aller Art und deren Bekämpfung - 06.02.2013 (15)
  15. BKA-Virus: Offenbar relativ neue Version, Start im Abgesicherten Modus nicht möglich.
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (14)
  16. Bundespolizei Trojaner - auch im abgesicherten Modus nicht mehr Start möglich
    Log-Analyse und Auswertung - 05.12.2011 (8)
  17. Nach Combofix im abgesicherten Modus kein normaler Start mehr möglich - WINXP
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (1)

Zum Thema Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung - Hallo! Habe mir gestern den scheinbar eh relativ bekannten "Landespolizeidirection"-Virus geholt, bei dem ich dazu aufgefordert werde 100€ zu zahlen. Hatte schon einmal einen ähnlichen Trojaner, den ich über den - Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung...
Archiv
Du betrachtest: Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.