Hallo.

Seit gestern habe ich ein lästiges Schadprogramm auf dem Rechner, das nicht so einfach zu löschen ist. Es scheint sich um die Datei „iexplore.exe“ zu handeln, die plötzlich immer im taskmanager auftaucht, obwohl ich den IE garnicht benutze. Regelmäßig poppen auch IE-Fenster mit Werbung auf. Alle paar Minuten werden alle aktiven Fenster von selbst inaktiv, und wenn ich sie anklicke, um z.B. weiterschreiben zu können, schaltet sich der Wave-Output von selbst ganz runter und ich habe keinen Ton mehr.
Eine Logfileanalyse hat dann tatsächlich ein anscheinend chinesisches Programm gefunden, es gab eine smss.exe im lokalen Temp-Ordner, und zwei O2, eins ohne name und ohne Ordner, und eins CDNSCacheObj in WINDOWS mit Namen XviDelg.dll.
Ich habe, weil es sich um dasselbe Problem zu handeln schien, nach der Anleitung unter http://www.trojaner-board.de/28388-a...n-swizzor.html die Dateien im abgesicherten Modus gelöscht, gefixt, mit CCleaner alle Tempdateien gelöscht, mit deaktivierter Systemwiederherstellung neugestartet, Systemwiederherstellung wieder aktiviert. Eine 16-stellige *.job-Datei habe ich aber nicht gefunden, auch kein O4, das der Beschreibung entsprach, eben nur die O2. Vielleicht war es ein Fehler, wie bei swizzor vorzugehen, denn das Problem bestand nach der Prozedur immer noch. Das alte Logfile von vor dem Fix ist mir ärgerlicher Weise verlorengegangen, aber im Backup von HijackThis habe ich die Auskunt über die beiden gefixten Datei gefunden:

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - C:\WINDOWS\XviDplg.dll (file missing)
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
         

Der Panda-Online-Scan erkannte heute nacht dann immer noch mehrere infizierte Ordner. Mittlerweile habe ich Malwarebyte durchlaufen lassen, hat drei Infizierungen gefunden und gelöscht, aber das Problem besteht immer noch. OTL habe ich versucht, herunterzuladen, lässt sich aber nicht installieren, immer erscheint eine Fehlermeldung.
Kann mir bitte jemand helfen, das Programm zu beseitigen? Ist es ein gefährliches Programm, was z.B. Daten und Manipulation betrifft, oder ist es in erster Linie einfach ein lästiges Werbespam-Programm? Ich poste mal chronologisch die Logfiles. Unter 'Running Processes' im letzten Logfile scheint iexplore.exe übrigens nicht aufzutauchen, aber im Taskmanager erscheint es unter dem Benutzernamen SYSTEM und arbeitet die ganze Zeit!
Vielen Dank für schnelle Hilfe!

Logfile Panda-scan:

Code: Alles auswählenAufklappen

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-06-30 02:46:35
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              10.0.1.44                     Yes       No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00005760  spyware/tooncom                    Spyware             No        1         Yes            No           c:\dokumente und einstellungen\******\lokale einstellungen\temp\loader.exe
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\windows\system32\config\systemprofile\cookies\system@atdmt[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@ad.yieldmanager[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@serving-sys[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\administrator\cookies\administrator@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\localservice\cookies\system@bs.serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\dokumente und einstellungen\administrator\cookies\administrator@bs.serving-sys[2].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         

Logfile Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4260

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.06.2010 12:35:57
mbam-log-2010-06-30 (12-35-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 258763
Laufzeit: 1 Stunde(n), 35 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Logfile Malwarebytes nach dem Löschen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4260

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30.06.2010 14:34:58
mbam-log-2010-06-30 (14-34-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 260286
Laufzeit: 1 Stunde(n), 38 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Hier noch ein aktuelles Logfile mit HijackThis:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:18, on 30.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox 3.5 Beta 4\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1ca110bc2c91170) (gupdate1ca110bc2c91170) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5617 bytes
         

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Hallo Daniel,

vielen Dank, dass Du Dich meiner annimmst.

Es gibt ein kleines Problem: wie ich bereits schrieb, schaffe ich es nicht, OTL zum laufen zu bringen. Ich habe es schon mehrfach runtergeladen, aber immer, wenn ich dann auf OTL.exe und dann auf Ausführen klicke, erscheint die Fehlermeldung 'OTL hat ein Problem festgestellt und muss beendet werden'. What to do?

Sehen wir mal ob da was blockt

Drucke dir die Anleitung gegebenfalls aus

Downloade Dir bitte OTH ( by Oldtimer ) und speichere die Datei dort wo sich auch die OTL.exe befindet

• Starte OTH.scr mit Doppelklick.
• Klicke nun auf den Kill All Process Button.
• Klicke auf Start OTL.
• Wenn OTL beendet ist, klicke in OTH auf Reboot

Poste mir wenn möglich die Log

verflixt und zugenäht, auch das hilft nichts, die gleiche Fehlermeldung. Ich habe OTL.exe ganz normal auf dem Desktop gespeichert.
Ich weiß nicht, ob das hilft, aber das ist die 'Problemsignatur':

Code: Alles auswählenAufklappen

ATTFilter

AppName: otl.exe	 AppVer: 3.2.7.0	 ModName: kernel32.dll
ModVer: 5.1.2600.5781	 Offset: 00012afb
         

Downloade OTS.exe und speichere es unbedingt auf Deinem Desktop. Doppelklick auf die OTS.exe
Wenn Dein Anti-Viren-Programm bei OTS Meldung macht, erlaube es.

• Mache einen Haken bei "Scan All Users und Include MD5".
• Kopiere folgenden Text in die Box.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  NetSvcs
  Drivers32
  %SYSTEMDRIVE%\*.exe
  %systemroot%\*. /mp /s
  CREATERESTOREPOINT
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\system32\ws2help.dll /md5
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
           

• Unter der Box klicke auf den Button.
  Hake nun folgende Einträge an:
  
  
  • Reg- Active Sub Paths
  • App Paths
  • Approved Shell Extensions
  • Disabled MS Config Items
  • File Lop Check
  • File Purity Check

  Mache währenddessen nichts anderes an dem Rechner.
  Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile.
  Auch zu finden auf dem Desktop ( OTS.txt )

• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den links oben, um die Untersuchung zu starten

Hänge diese Log bitte hier an, die ist nicht gerade kurz.

das gibt es doch nicht, ots.exe will mein rechner auch nicht öffnen, gleiche fehlermeldung wie bei otl, das programm hätte einen fehler festgestellt und müsse beendet werden. liegt das vielleicht an irgendeiner einstellung an meinem computer? bei windows xp müsste doch ein doppelklick reichen, um die datei auszuführen, oder?

Gut, dann sehen wir mal anders nach.

Möglichkeit eine CD zu brennen ? wenn ja,

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So, das hat wunderbar geklappt. Um sicherzugehen, habe ich alle files aus den letzten 60 Tagen scannen lassen. Beide .txt sind im Zipordner.

O1 - Hosts: 127.0.0.1 activate.adobe.com

"{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support

Was kannst Du mir dazu sagen. Die Software kostet ca 1000$. Der HostsEIntrag verhindert den Zugriff auf den Server von Adobe. !!

Ein Zeichen einer illegalen Version

ja, das sollte ich wohl besser wieder löschen...

ist sonst an malware ncihts zu finden?

Ich helfe nicht beim Besitz von illegaler Software

Anleitung zum Neu aufsetzten

Hilfst du mir, wenn ich das programm gelöscht habe?

Nein, wer sagt mir das du es Dir danach nicht nochmal saugst?

BTW gibt es gute Freeware Allternativen. CS4 braucht man in privatbereich nicht.

Mehr als mein Ehrenwort kann ich tatsächlich nicht anbieten, aber in der weiten Netzanonymität ist das wohl ziemlich wertlos, das sehe ich ein.

Ich habe das Programm jedenfalls gelöscht, werde es mir auch nicht noch einmal saugen (außerdem habe ich mir vor Jahren mal Fireworks gekauft, das ist immer noch ganz gut - ansonsten ist GIMP zu empfehlen, oder?), und werde jetzt clean andernorts nach Hilfe suchen.

Vielen Dank trotz allem für Deine Hilfe und entschuldige das Ärgernis.