So, CCLeaner hat 102,7 MB bei der Bereinigung entfernt.
Registry mit CCleaner bereinigen:
1. Durchlauf --> 542 Fehler
2. Durchlauf --> 41 Fehler
3. Durchlauf --> 3 Fehler

Uninstall-Liste mit CCleaner erstellen:
Acronis True Image Home = OK
Adobe Acrobat 5.0 = OK
Adobe Flash Player ActiveX = OK
Adobe Photoshop Album 2.0 Starter Edition = OK
Adobe Reader 7.0.9 - Deutsch = OK
Apple Software Update = OK
AutoSizer = OK
Avery Zweckform DesignPro = OK
Brother MFL-Pro Suite = OK
CCleaner (remove only) = OK
C-Media 3D Audio = OK
CorelDRAW Graphics Suite 12 = OK
DesignPro SE eMedia = OK
Disc2Phone = OK
ElsterFormular 2004/2005 = kann weg
ElsterFormular 2005/2006 = kann weg
ElsterFormular 2006/2007 = OK
EVEREST Home Edition v2.20 = OK
Express Rip Uninstall = OK
FastStone Photo Resizer 2.2 = OK
FileZilla (remove only) = OK
FinePrint = OK
HijackThis 2.0.2 = OK
Ipswitch WS_FTP Pro Uninstall = OK
J2SE Runtime Environment 5.0 Update 4 = ?
J2SE Runtime Environment 5.0 Update 5 = ?
J2SE Runtime Environment 5.0 Update 6 = ?
Java(TM) 6 Update 2 = ?
Java(TM) 6 Update 3 = ?
Java(TM) 6 Update 5 = ?
Java(TM) SE Runtime Environment 6 Update 1 = ?
Kaspersky Anti-Virus 7.0 = OK
Logitech Desktop Messenger = OK
Logitech SetPoint = ?
Maguma Studio 1.3.4 = OK
Malwarebytes' Anti-Malware = OK
Medi@Show = ?
MediaFACE 4.01 = ?
Microsoft .NET Framework 1.1 = OK
Microsoft .NET Framework 1.1 Hotfix (KB928366) = OK
Microsoft .NET Framework 2.0 Service Pack 1 = OK
Microsoft Office 2003 Web Components = OK
Microsoft Office FrontPage 2003 = OK
Microsoft Office OneNote 2003 = OK
Microsoft Office Professional Edition 2003 = OK
Microsoft Office Sounds = OK
Mozilla Firefox (2.0.0.14) = OK
MSN Messenger 7.0 = OK
MSN Suche Toolbar = kann weg
MSXML 4.0 SP2 (KB927978) = OK
MSXML 4.0 SP2 (KB936181) = OK
MyPhoneExplorer = OK
Navilog1 3.5.5 = OK
Nero 7 Premium = OK
neroxml = ? (von NERO?)
Paint Shop Pro 7 = OK
PaperPort = OK
PowerCinema 2.5 = OK
PowerDirector = OK
PowerDVD = OK
PowerProducer = OK
QuickTime = OK
RadioJack 2008 = OK
RealPlayer = OK
Sony Ericsson PC Suite = OK
Switch Uninstall = OK
UseNeXT = OK
VIA NICSET = ?
videon = ?
Vokabel Trainer - Englisch = OK
WavePad Uninstall = OK
Windows Installer 3.1 (KB893803) = OK
Windows Internet Explorer 7 = OK
Windows Media Player Firefox Plugin = OK
WinRAR = OK
X10 Hardware(TM) = ?

ok alles deinstalieren wo du geschrieben hast kann weg.
zusätzlich:
J2SE Runtime Environment 5.0 Update 4 = ?
J2SE Runtime Environment 5.0 Update 5 = ?
J2SE Runtime Environment 5.0 Update 6 = ?
Java(TM) 6 Update 2 = ?
Java(TM) 6 Update 3 = ?
Java(TM) 6 Update 5 = ?
Java(TM) SE Runtime Environment 6 Update 1 = ?
Navilog1 3.5.5

bitte besuche dann die windows update-seite und spiele alle wichtigen updates auf.
besuche danach die seite von sun und spiele die neueste version von java auf:
http://www.trojaner-board.de/105213-...tellungen.html
wähle jre 6 update 6 und dann offline instalation.
besuche nun die seite von secunia, dort alle angebotenen updates aufspielen. diese seite unter favoriten speichern und bitte, wie die microsoft-seite alle vier wochen besuchen. Dies erhöt die sicherheit deines pc's!
http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html
zeige mir den bericht + neues hijackthis-log
sag mir auch, wie dein rechner läuft.

So, nun das Ergebnis von "Secunia":

Applications / Result Version Detected Status
Microsoft Windows XP ProfessionalService Pack 2 --> OK
Adobe Reader 7.x7.0.9.50 --> OK
Apple QuickTime 7.x7.2.0.240 --> nicht OK
Microsoft Internet Explorer 7.x7.0.6000.16640 --> OK
Microsoft MSN Messenger 7.x7.0.816.0 --> nicht OK
Microsoft Outlook Express 66.00.2900.2180 --> OK
Microsoft Windows Media Player 10.x10.00.00.3646 --> OK
Mozilla Firefox 2.0.x2.0.0.14 --> OK
RealPlayer 10.x6.0.12.1483 --> nicht OK
Adobe Flash Player 9.x9.0.115.0 --> nicht OK
Macromedia Flash Player 8.x8.0.24.0 --> nicht OK
Macromedia Flash Player 8.x8.0.24.0 --> nicht OK
Sun Java JRE 1.6.x / 6.x6.0.60.2 --> OK

Habe alle Programme aktualisiert und Secunia erneut prüfen lassen.
Jetzt ist angeblich nicht die neueste Version des Adobe FlashPlayer installiert.
Auf der Troubleshoting-Seite wird empfolen, zuvor den aktuellen Player zu deinstallieren. Das habe ich gemacht, aber jetzt startet die Installation des FlashPlayer nicht. Werde wohl mal wieder booten müssen.
Melde mich gleich wieder...

hallo schau unter software ob veraltete versionen da sind, dann diese deinstalieren und die neueste drüber ein neues hjt-log + berichte wie rechner läuft + neues hijackthis-log. bin morgen früh bis nachmittag on dann können wir deinen rechner fertig machen. ist net mehr viel...

Hatte Recht - neueste Version des FlashPlayer installiert...
Hier jetzt das aktuelle HiJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:55, on 03.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209833773640
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 8414 bytes

Es sind keine neuen Popup-Windows mehr erschienen - Rechner läuft gut!

Zwischendurch (wir sind ja wohl anscheinend noch nicht fertig) einen ganz herzlichen Dank, für deine Mühe mit mir!

wir sind aber in den letzten zügen ;-)
2 online-scans:
http://support.f-secure.com/ger/home/ols.shtml
kaspersky:
www.kaspersky.com/de/virusscanner - 19k -
bitte untersuchungsobjekt arbeitsplatz wählen beide logs posten.

Zitat:

Zitat von markusg

...
F-Secure Support-Seiten: F-Secure Online-Virenscanner
...

Hi!
Scan läuft - das kann dauern...

Hier das Ergebnis von F-Secure:

Viren: 3
Verborgene Elemente: 0
Spyware: 1

Result: 4 malware found

Overpacked.gen1 (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\OR\EIGENE DATEIEN\NO23.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\OR\EIGENE DATEIEN\MEINE EMPFANGENEN DATEIEN\NO23\NO23.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\OR\EIGENE DATEIEN\DOWNLOAD\NO23\NO23.EXE

Tracking Cookie (spyware)

System

Bereinigung habe ich laufen lassen.
Nun läuft der Scan von Kasperky...

Kaspersky:
Untersuchte Objekte insgesamt: 92724
Viren gefunden: 2
Infizierte Objekte gefunden: 7
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:35:39

Online lässt sich keine Bereinigung durchführen.
Da aber "Kaspersky AntiVirus" auf diesem Rechner installiert ist, lasse ich gerade die Arbeitsplatzuntersuchung durchlaufen (läuft immer wöchentlich)...

Sind wir jetzt durch, oder muss ich noch weitere Dinge durchführen?

Der Rechner läuft anscheinend normal (ohne Werbeseiten)

Ein erneuter Online-Scan von Kaspersky zeigte übrigens keine Fehler!

<diesen Thread noch einmal nach oben befördern>

Möchte nicht aufdringlich wirken, aber auch nicht in Vergessenheit geraten.
Bitte um Antwort, ob die Bereinigung nun beendet ist, oder noch weitere Maßnahmen notwendig sind.
Danke!

Hi,
na dann spring ich hier mal ein

Was wurde denn von Kaspersky gefunden?
Was ist No23.exe für eine Datei? Kennst du die?

lg myrtille

Hi myrtille,
danke, dass du dich mir annimmst.

Zitat:

Zitat von myrtille

Was wurde denn von Kaspersky gefunden?

da es sich bei dem besagten Rechner nicht um meinen, sondern den meiner Freundin handelt, kann ich dir z.Zt. nicht sagen, was Kaspersky gefunden hatte. Dummerweise weiß ich nicht mehr genau, ob ich dort den Bericht gespeichert hatte. Das kann ich erst am Freitag nachmittag feststellen.
Wie ich schon schrieb, hatte ein erneuter Online-Scan keine Fehler mehr angezeigt

Zitat:

Zitat von myrtille

Was ist No23.exe für eine Datei? Kennst du die?

"No23" ist ein Musikabspielprogramm - ja, das kenne ich.

Hi,
wenn die Dateien auch vom installierten Scanner gefunden worden, sollten die Logs einsehbar sein.
Wenn nicht wirds schwierig, iirc speichert Kaspersky das Log nicht automatisch ab.

Weißt du denn zufällig noch ob es Dateien oder Registryschlüssel waren?

Wär Kaspersky in der Lage gewesen die Viren auf dem Rechner zu löschen, wärst du nicht hier gewesen... deswegen wüsste ich gern was Kaspersky gefunden hat, dann kann man auch einschätzen, ob Kaspersky den Virus nicht mehr findet, oder ob er nimmer aufm Rechner ist.

Versteh mich nicht falsch: Kaspersky ist ein gutes Programm, aber kein Programm findet alles oder kann alles entfernen, daher würd ich gern selber noch einen Blick drauf werfen.
Einfach um zu wissen ob es sich bei den Funden um Cookies oder nen Rootkit gehandelt hat.

Auch wenn die Chancen gut stehen, dass es sich tatsächlich nur noch um Kleinigkeiten gehandelt hat.

lg myrtille

OK, so wie es aussieht muss es bis Freitag Nachmittag (früher Abend) warten. - kann mich bei den ganzen Log-Files nicht mehr erinnern, was es war, schaue aber dann gleich nach und melde mich wieder...

Danke!