========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.***.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "h++p://www.***.de/"


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.11 14:40:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.11 14:40:55 | 000,000,000 | ---D | M]

[2009.07.29 11:13:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.06.09 20:19:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a9prjiop.default\extensions
[2010.05.05 11:12:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a9prjiop.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.13 11:46:47 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2003.01.13 17:08:06 | 000,499,712 | ---- | M] (Morgan Multimedia) -- C:\Programme\Mozilla Firefox\plugins\npjp2.dll
[2003.12.08 14:04:46 | 000,827,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPSWF32.dll
[2009.12.22 05:57:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.22 05:57:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.22 05:57:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.22 05:57:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.22 05:57:54 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.03.24 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (no name) - {1536BA74-8625-4240-99B0-BE65883689C8} - No CLSID value found.
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [InstantOn] C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe ()
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\Home Cinema\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NWEReboot] File not found
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OpwareSE4] C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe ()
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [TVBroadcast] File not found
O4 - HKLM..\Run: [TVEService] C:\Programme\Home Cinema\TV Enhance\TVEService.exe (CyberLink Corp.)
O4 - HKCU..\Run: [{52F534C7-8653-80EA-6739-FA17D5ECF727}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil\gehe.exe File not found
O4 - HKCU..\Run: [{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo\igoxu.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe (OLYMPUS IMAGING CORP.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll (Sun Microsystems, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)

(Irgendwie ist das sehr mühsam, die OTL-Datei hier einzufügen, ich bekomme dauernd Fehlermeldungen.)

Tja, ich würde die Datei ja gerne hier einfügen, allein, es geht nicht. Ich bekomme jedesmal die Fehlermeldung "diese Seite kann nicht angezeigt werden" (mit Firefox klappt es schon gar nicht). Woran liegt das? Und wie bekomme ich nun den Rest der Daten hier gepostet?

Mir war das ungemütlich, deshalb habe ich eben nochmals einen Avira Scan gemacht. Hier ein Auszug aus dem Ergebnis.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\irily.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ufef.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP772\A0107044.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP774\A0112373.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <Medien>
Beginne mit der Suche in 'H:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP774\A0112373.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ea11a45.qua' verschoben!
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP772\A0107044.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563635e2.qua' verschoben!
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ufef.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04a56ed0.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\irily.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6296210e.qua' verschoben!

Bitte sag mir doch noch, wie ich die OTL-Ergebnisse hier posten kann. Vielen Dank.

Mit ner halben OTL Log kann ich gar nichts anfangen.
Häng sie einfach an

Hallo Daniel,

ja, das dachte ich mir schon, dass mit einer halben OTL-Datei nix anzufangen ist. Wie gesagt, ich hätte auch sehr gerne den Rest gepostet, aber die Forumssoftware ließ mich nicht, ich bekam dauernd Fehlermeldungen. Ich habe nun die Datei angehängt (habe mir Asyl gesucht und sitze an einem anderem Rechner).

Auf meinem Rechner daheim habe ich auch noch eine andere Datei namens hs_err_pid5140 gefunden, da geht es um "An unexpected error has been detected by HotSpot Virtual Machine". Ist das etwas Schlimmes? Soll ich die auch einmal anhängen?

Die vier Trojaner von gestern Früh sitzen auf meinem Rechner daheim noch in Quarantäne. Ich habe den Eindruck, dass auch Avira Premium nicht so dolle darin ist, die Fieslinge zu killen, wenn ich auf "aus Quarantäne löschen" klicke. Soll ich da lieber mit einem anderen Killerprogramm darangehen?

Von den KillerTools lass ma schön die Fingern. Sie könnten ja auch nicht Malware Sachen killen.
Viren in Quarantäne sind dort gut aufgehoben

Schritt 1

die *** im Skript erneut editieren!!!

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [{52F534C7-8653-80EA-6739-FA17D5ECF727}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil\gehe.exe File not found
O4 - HKCU..\Run: [{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo\igoxu.exe File not found
O2 - BHO: (no name) - {1536BA74-8625-4240-99B0-BE65883689C8} - No CLSID value found.
[2010.06.11 11:00:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo
[2010.06.20 07:47:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil
:services
:files
:reg
:Commands
[purity]
[emptytemp]
[reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf .
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
OTLfix log
Combofix.txt
OTL.txt

Guten Abend,

OK, ich mache das jetzt, ich weiß aber nicht, wie weit ich damit heute Abend noch komme. Die Trojaner würde ich aber schon gerne aus der Quarantäne killen, schon allein, um meine - zugegebenermaßen niederen - Rachegelüste zu befriedigen.

Verrate mir doch bitte einmal, wie Du das in Deinen Postings so hinbekommst, dass der Code in diesen Fenstern steht. Gibt es dafür irgendwo eine Anleitung, die ich übersehen habe? Ich möchte das auch hinkriegen.

So, das ist das Ergebnis von OTL Fix:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{52F534C7-8653-80EA-6739-FA17D5ECF727} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52F534C7-8653-80EA-6739-FA17D5ECF727}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1536BA74-8625-4240-99B0-BE65883689C8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1536BA74-8625-4240-99B0-BE65883689C8}\ not found.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil folder moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 446 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 487 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 463681911 bytes

User: ***
->Temp folder emptied: 24113034 bytes
->Temporary Internet Files folder emptied: 25733156 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44706082 bytes
->Flash cache emptied: 15560 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 25996709 bytes
->Flash cache emptied: 4013 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 55751 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 52800 bytes
Windows Temp folder emptied: 130587092 bytes
RecycleBin emptied: 7070834 bytes

Total Files Cleaned = 689,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06212010_221927

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Jetzt lasse ich noch diese Combo für die Trojaner spielen. ;-)

Es hat mitunter gepiepst wie auf der Intensivstation. Die Logdatei ist sehr lang, die hänge ich wohl besser wieder an, bevor die Forumssoftware mit mir hadert. Ich musste die Logdatei auf zwei Dateien aufteilen, sonst wäre sie zu groß gewesen, um sie anzuhängen.

Hier nun der zweite Teil. Anders habe ich das leider nicht hinbekommen. Keine Ahnung, warum die Logdatei so monstermäßig groß wurde.

So, jetzt habe ich auch nochmals den OTL-Quickscan gemacht. Die Datei habe ich wieder angehängt.

Was ist als Nächstes zu tun?

Ich habe eben noch schnell die wichtigsten Windows Updates heruntergeladen. Eigentlich sollte das automatisch passieren, aber ich vermute, wegen dieser Plagegeister funktionierte das nicht mehr, jedenfalls war das letzte Update vom 29. Mai (am 4. Juni hatte sich der Rechner Pest und Cholera eingefangen - nun ja, ich bewege mich seit etwa 15 Jahren im Netz und es war nie etwas passiert, da war ich jetzt wohl mal fällig).

Eben nach dem Neustart hatte ich noch eine zweite hs_err_pid-Logdatei auf meinem Desktop. Weißt Du, welches Programm diese Logs erstellt? Ich kann mir das nicht erklären. Beide Datein beginnen mit:

#
# An unexpected error has been detected by HotSpot Virtual Machine:
#
# EXCEPTION_GUARD_PAGE (0x80000001) at pc=0x0d00255a, pid=5140, tid=2320
#
# Java VM: Java HotSpot(TM) Client VM (1.5.0_08-b03 mixed mode, sharing)
# Problematic frame:
# C 0x0d00255a
#

Und dann folgt noch ein ganzer Rattenschwanz Kryptik. Was hat das zu bedeuten? Ist das etwas Ernstes?

Zitat:

Ich habe eben noch schnell die wichtigsten Windows Updates heruntergeladen.

Dann darfst Du mir erneut eine OTL Logfiles posten.

Kurze Frage: Du meinst einen ganz normalen Quickscan mit OTL, ja? Ich muss nichts in dieses Feld "benutzerdefinierte Scans" eintragen.

Ist dieser Java-Fehlerkram etwas Ernstes?