| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: win32.autorun.tmp wie entfernen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.08.2010, 23:17
| #16 | ||
  |  win32.autorun.tmp wie entfernen?Zitat:
Zitat:
Und nun => ab-insbett.de Bin erst morgen nachmittag wieder on. Gute Nacht, Andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
24.08.2010, 23:18
| #17 |
 | win32.autorun.tmp wie entfernen? alles klar!ganz lieben Dank zum 1000sten mal!!!! Gute Nacht! |
|
25.08.2010, 12:12
| #18 | |
| | win32.autorun.tmp wie entfernen? Hallo!
__________________so, Daten sind gesichert Zitat:
 1. Der Pc will seit der De-Installation bei jedem Neustart eine Systemwiederherstellung von FAT 32 und nem Laufwerk H: machen soll ich ihn das machen lassen? 2. Ich habe Dropbox installiert und auch in letzter Zeit Dateien hochgeladen (Hab das seit gestern ausgeschaltet) muss ich den Ordner irgendwie gesondert mit-bereinigen? sollte ich das Sicherheitshalber besser wieder De-Installieren bevor ich das Ganze hier anfange? nicht, dass ich mir das da runtergezogen habe Ich teile mir da einen Ordner mit 3 Bekannten, sonst kann keiner drauf zugreifen... 3. Soll ich, bevor ich weitermache vielleicht auch direkt Avast de-installieren? Der hat ja noch emilia und drogreas in seinem Container, nachher kann ich die gar nicht löschen, weil Avast die "festhält"?!? Grüße, Kathi |
|
25.08.2010, 15:46
| #19 | |||||
| | win32.autorun.tmp wie entfernen?Zitat:
 Zitat:
 Meinst du dein Laufwerk D:?Zitat:
Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
25.08.2010, 15:54
| #20 |
| | win32.autorun.tmp wie entfernen? Hi Das Laufwerk H: ist meine externe Festplatte habe ich herausgefunden...an der habe ich aber eigentlich nichts geändert, außer ein paar Sachen drauf zu packen. Soll ich die Systemwiederherstellung also machen?!? Dropbox hat mir einen Ordner auf dem Desktop gemacht, auf den (wie bei einem Netzwerk wahrscheinlich, deshalb ist es mir noch eingefallen) übers Internet auch andere Zugang haben. Wenn andere Dateien da rein laden, lädt mir Dropbox diese auch in den Ordner auf meinem PC. --> gleich mit de-installieren??? grüße, Kathi |
|
25.08.2010, 16:44
| #21 | ||
| | win32.autorun.tmp wie entfernen?Zitat:
Zitat:
ciao, andreas
__________________ --> win32.autorun.tmp wie entfernen? |
|
25.08.2010, 17:06
| #22 | |
| | win32.autorun.tmp wie entfernen?Zitat:
ich füg das Logfile an und lad schonmal das Combofix runter grüße, kathi |
|
25.08.2010, 17:15
| #23 | |
| | win32.autorun.tmp wie entfernen?Zitat:
ich habe die Auswahl zwischen "Datei speichern", dann speichert sich das automatisch in meinem Download-Ordner und hat da jetzt ein Icon, umbennen konnte ich es vorher auch nicht und "Abbrechen"...aber das will ich ja auch nicht!?! LG, Kathi |
|
25.08.2010, 17:18
| #24 |
| | win32.autorun.tmp wie entfernen? Kopiere es von deinem Downloadordner auf den Desktop. Das Umbenennen kannst du dir sparen. Auf dem Desktop dann mit Doppelklick starten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
25.08.2010, 17:40
| #25 | |
| | win32.autorun.tmp wie entfernen?Zitat:
wenn ich auf Nein klicke, bekomme ich die als Bild angehängte Meldung. Zu der auch keine Anleitung in dem Link stand und ich daher nicht weiß, das ich anklicken soll. es geht um gemeinsame genutzte DLLs, (Lösung: Registrierungswert löschen) ich habe die Möglichkeiten: beheben, alle beheben (sind scheinbar 520Stück) und Abbrechen Grüße, Kathi |
|
25.08.2010, 17:43
| #26 |
| | win32.autorun.tmp wie entfernen? Alle beheben. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
25.08.2010, 18:10
| #27 | |
| | win32.autorun.tmp wie entfernen?Zitat:
dann CoboFix gemacht, das hat ganz am Anfang (nachdem ich dem Haftungsausschluss zugestimmt hatte laube ich) den PC abgeschossen und dann aber nach dem Neustart aber sofort mit dem nächsten Schritt aus der Beschreibung weiter gemacht. das kam raus: Combofix Logfile: Code:
ATTFilter ComboFix 10-08-24.0C - kathi 25.08.2010 18:58:07.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.895.614 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\kathi\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Thumbs.db
H:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-25 bis 2010-08-25 ))))))))))))))))))))))))))))))
.
2010-08-25 16:26 . 2010-08-25 16:26 -------- d-----w- c:\programme\CCleaner
2010-08-25 15:57 . 2010-08-25 15:57 -------- d-----w- C:\_OTL
2010-08-25 00:00 . 2010-08-25 00:00 -------- d-----w- c:\windows\Internet Logs
2010-08-23 17:37 . 2010-08-23 17:37 -------- d-----w- c:\programme\Trend Micro
2010-08-20 16:10 . 2010-08-24 23:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-10 19:31 . 2010-08-25 14:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-08-10 19:31 . 2010-08-10 19:31 -------- d-----w- c:\programme\Alwil Software
2010-08-08 14:36 . 2010-08-08 14:36 -------- d-----w- C:\found.000
2010-08-08 12:52 . 2010-08-08 12:52 -------- d-----w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\JGoodies
2010-08-08 11:39 . 2010-08-08 11:39 -------- d-----w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\CheckPoint
2010-08-08 11:37 . 2010-08-17 20:39 -------- d-----w- c:\dokumente und einstellungen\kathi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-08 11:37 . 2010-08-08 11:37 -------- d-----w- c:\programme\Conduit
2010-08-08 11:37 . 2010-08-24 23:54 -------- d-----w- c:\programme\ZoneAlarm-Sicherheit
2010-08-08 11:36 . 2010-08-08 11:36 -------- d-----w- c:\programme\CheckPoint
2010-08-08 11:36 . 2010-06-28 11:00 46592 ----a-w- c:\windows\system32\vsutil_loc0407.dll
2010-07-29 19:10 . 2010-08-25 15:23 1 ----a-w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-29 19:10 . 2010-07-29 19:10 -------- d-----w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\OpenOffice.org
2010-07-29 19:03 . 2010-07-29 19:03 -------- d-----w- c:\programme\JRE
2010-07-29 19:02 . 2010-07-29 19:03 -------- d-----w- c:\programme\OpenOffice.org 3
2010-07-29 19:01 . 2010-07-29 19:01 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-29 18:54 . 2010-07-29 18:55 -------- d-----w- c:\programme\OpenOffice
2010-07-29 15:21 . 2010-07-29 15:50 -------- d-----w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Scribus
2010-07-29 14:44 . 2010-08-25 15:49 -------- d-----w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Dropbox
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-08 11:36 . 2009-05-24 19:22 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-08-08 11:30 . 2010-01-25 18:29 -------- d-----w- c:\programme\SpeechTrainer
2010-08-08 11:29 . 2006-10-15 14:39 -------- d-----w- c:\programme\Home Cinema
2010-08-08 11:29 . 2006-09-29 14:25 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-08-08 11:29 . 2006-10-01 13:01 -------- d-----w- c:\programme\Google
2010-08-02 07:31 . 2006-11-15 16:53 70144 ----a-w- c:\dokumente und einstellungen\kathi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-29 19:02 . 2006-10-01 17:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-29 19:00 . 2006-10-01 17:33 -------- d-----w- c:\programme\Java
2010-07-24 17:36 . 2008-09-27 19:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-07-01 11:52 . 2010-07-04 09:45 1496064 ----a-w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-01 11:51 . 2010-07-04 09:45 43008 ----a-w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-01 11:51 . 2010-07-04 09:45 338944 ----a-w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-01 11:51 . 2010-07-04 09:45 346112 ----a-w- c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-06-25 16:18 . 2010-06-25 16:18 344064 ----a-w- c:\windows\system32\hpzcon10.dll
2010-06-25 16:18 . 2010-06-25 16:18 135249 ----a-w- c:\windows\system32\hpzlnt10.dll
2010-06-25 16:11 . 2010-06-25 16:11 5428 ----a-w- c:\windows\hpfmdl_s04_main.dat
2010-06-25 16:11 . 2010-06-25 16:11 362 ----a-w- c:\windows\hpfins_s04_main.dat
2006-12-24 21:16 . 2006-12-24 21:17 7531520 ----a-w- c:\programme\PC VGA Camera.msi
2006-12-24 21:16 . 2006-12-24 21:17 5250 ----a-w- c:\programme\0x0407.ini
2006-12-24 21:16 . 2006-12-24 21:17 31744 ----a-w- c:\programme\1031.MST
2006-10-01 13:01 . 2006-10-01 13:01 8 --sh--r- c:\windows\system32\6CA2F0D34D.sys
2006-10-01 13:01 . 2006-10-01 13:01 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 16050176]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-09-08 815104]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-24 7569408]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-24 110592]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"Wbutton"="c:\programme\Launch Manager\WButton.exe" [2006-07-10 86016]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-24 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=c:\windows\pss\BlueSoleil.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-09-13 10:12 139264 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2008-03-11 01:20 689488 ----a-w- c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-09-29 12:01 67584 ----a-w- c:\windows\ehome\ehtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2003-12-22 06:38 241664 ----a-w- c:\programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2010-06-25 16:24 49152 ----a-w- c:\programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-03-04 14:46 172032 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantOn]
2005-09-22 12:19 93640 ------w- c:\programme\CyberLink\PowerCinema Linux\ion_install.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2006-05-18 09:29 49152 ----a-w- c:\programme\Home Cinema\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchAp]
2005-07-25 11:36 32768 ----a-w- c:\programme\Launch Manager\LaunchAp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LMgrOSD]
2005-03-16 11:52 204800 ----a-w- c:\programme\Launch Manager\OSD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-10-13 16:24 1694208 ------w- c:\programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-10-01 17:38 155648 ----a-w- c:\programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04 2879488 ----a-w- c:\windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wbutton]
2006-07-10 17:02 86016 ----a-w- c:\programme\Launch Manager\WButton.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-02-13 18:29 35328 ----a-w- c:\programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WTClient]
2009-03-17 09:12 32768 ----a-w- c:\windows\system32\WTClient.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BthServ"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroUpgrade.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"c:\\Programme\\Sceneo\\Bonavista\\VMedia\\BVD.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 ODSBC;Sceneo TV Broadcast Service;c:\programme\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe [14.10.2006 04:28 779776]
R2 srvcPVR;Sceneo PVR Service;c:\programme\Sceneo\Bonavista\Services\PVR\pvrservice.exe [14.10.2006 04:28 1444352]
R3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\drivers\PTSimBus.sys [07.06.2007 17:16 18944]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [10.10.2006 07:39 7040]
S1 mailKmd;mailKmd; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [15.05.2010 12:05 136176]
S3 LVMST;LVMST service;c:\windows\system32\drivers\LVMST.sys [13.10.2006 10:40 1027072]
S3 PAC7311;VGA SoC PC-Camera;c:\windows\system32\drivers\PA707UCM.SYS [18.10.2005 12:48 154752]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\drivers\PTSimHid.sys [23.04.2007 15:28 10752]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [24.06.2004 03:54 23552]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.03.2008 15:11 682232]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 10:05]
2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 10:05]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
FF - ProfilePath - c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.studivz.net/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&q=
FF - plugin: c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\dokumente und einstellungen\kathi\Anwendungsdaten\Mozilla\Firefox\Profiles\v05rkxz8.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-BullGuard - c:\programme\BullGuard Software\BullGuard\bullguard.exe
MSConfigStartUp-ISW - c:\programme\CheckPoint\ZAForceField\ForceField.exe
MSConfigStartUp-Octoshape Streaming Services - c:\programme\Octoshape Streaming Services\kathi\OctoshapeClient.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-{FAF88B432344413595BB2DED98385684} - c:\programme\DivX\DivXUserGuideUninstall
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-25 19:01
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LaunchAp = c:\programme\Launch Manager\LaunchAp.exe????X???\??? ??|h??|????a??|.j?wgj?w????????0??? ???????????????d??????|????????p?????@?????????H{?w$??????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s??????7~??@?N'?s?W???:@??W?????????
Wbutton = c:\programme\Launch Manager\WButton.exe?????h???\??? ??|h??|????a??|.j?wgj?w????????0??? ???????????????d??????|????????p?????@?.H??????H{?w0??????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s??????7~??@?N'?s?V???:@??V?????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-25 19:03:47
ComboFix-quarantined-files.txt 2010-08-25 17:03
Vor Suchlauf: 11 Verzeichnis(se), 12.053.561.344 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 12.000.215.040 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer
- - End Of File - - 4C47A4F272A23A0415A4FB7E4E6279F3
was passiert jetzt als nächstes? ...ach, ich hatte übrigens alle Datenträger direkt angeschlossen Grüße, Kathi |
|
25.08.2010, 18:33
| #28 | ||
| | win32.autorun.tmp wie entfernen?Zitat:
Neuinstallation ist vermutlich schneller und ganz bestimmt sicherer. Wichtig! Du wirst mit deiner externen Festplatte weder dich noch andere mehr infizieren. Die Gefahr ist gebannt. Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
25.08.2010, 18:54
| #29 | |
| | win32.autorun.tmp wie entfernen?Zitat:
Ich hab etwas Angst, dass ich sowas komplett neues draufspielen nicht hinbekomme und dann hier sitze ohne Internetanschluss und ohne Hilfe  Würdest du mir denn mit der weiteren Reinigung helfen? Ich nehme dich hier ja schon eine ganze Weile in Beschlag!  für die ganze Arbeit übrigens nochmal!!!LG, kathi |
|
25.08.2010, 19:31
| #30 | ||
| | win32.autorun.tmp wie entfernen?Zitat:
Zitat:
 1.) Deinstalliere (falls vorhanden):
Scripten mit Combofix
Code:
ATTFilter KILLALL::
Driver::
mailKmd
gupdate
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe"=-
"C:\Programme\AOL 9.0\WAOL.exe"=-
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"=-
"C:\Programme\BullGuard Software\BullGuard\BullGuard.exe"=-
"C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\AOL.exe"=-
"C:\Programme\AOL 9.0\WAOL.exe"=-
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"=-
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"=-
"C:\Programme\BullGuard Software\BullGuard\BullGuard.exe"=-
"C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe"=-
"C:\Programme\ICQLite\ICQLite.exe"=-
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe"=-
Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
c:\programme\Alwil Software
C:\found.000
c:\dokumente und einstellungen\kathi\Lokale Einstellungen\Anwendungsdaten\Conduit
c:\programme\Conduit
c:\programme\ZoneAlarm-Sicherheit
C:\Programme\AOL 9.0
C:\Programme\BullGuard Software
C:\Programme\ICQLite
C:\WINDOWS\system32\ZoneLabs
C:\Config.Msi
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BullGuard
C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\BullGuard
C:\Dokumente und Einstellungen\dein Konto\Anwendungsdaten\BullGuard
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
File::
c:\windows\system32\zllictbl.dat
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
C:\WINDOWS\avastSS.scr
C:\WINDOWS\System32\aswBoot.exe
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 3.) Poste neue Logs von OTL. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
| Themen zu win32.autorun.tmp wie entfernen? |
| anderen, appdata, avast, beitrag, data, durchgeführt, entfernen, firefox, folge, folgende, forum, gesucht, kaputt, klicke, neue, nicht sicher, problem, scan, search, spybot, system32, thema, thread, versuche, wie entfernen, wie entfernen?, win, öffnet |
Linear-Darstellung
