Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
PRC - [2011.05.31 09:43:45 | 000,179,200 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe
PRC - [2011.05.31 09:43:22 | 000,186,368 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe
PRC - [2011.05.31 09:42:59 | 000,192,512 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57273
[2011.05.31 07:28:59 | 000,192,512 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe
[2011.05.31 07:28:30 | 000,009,676 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\6CF6.39B
F3 - HKCU WinNT: Load - (C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\csrss.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe ()
O4 - HKCU..\Run: [{C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2}] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Urenok\escix.exe (GnuPT - Protect Your Data)
O4 - HKLM..\Run: [conhost] C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe ()
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe) - C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\dwm.exe ()
[2011.05.31 09:43:45 | 000,179,200 | ---- | M] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\conhost.exe
[2011.05.31 07:28:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Yvis
[2011.05.31 07:28:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Urenok
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Scanne erneut mit Malwarebytes und poste ndas Log. (UPDATEN nicht vergessen)

ich hab das mit otl gemacht, der hat sich selbst neu gestartet und dann kam ein blauer bildschirm mit einer ewig langen fehlermeldung und der aufforderung, wenn dies das erste mal passiert, dann soll ich neu starten. das hab ich gemacht und hab jetzt eine windows fehlermeldung auf der steht "Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. Für diesen Fehler wurde ein Protokoll erstellt. Für weitere Informationen zu diesem Fehler, klicken Sie hier."
wenn ich klicke steht:

Problemsignatur "BCCode : 1000008e BCP1 : 80000003 BCP2 : 83B5E44E BCP3 : B539E45C
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 768_1 "

ausserdem wurde kein txt file von otl erstellt. weder am desktop noch im ordner. jetzt weiss ich nicht. malware scan trotzdem durchführen?

Mach zuerst:


Proxy deaktivieren

IE => Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen

Firefox => Extras => Einstellungen => Erweitert => Netzwerk => Einstellungen.
Dort unter Verbindungs-Einstellungen => Kein Proxy anhaken.

und nun einen Scan mit Malwarebytes Anti-Malware. Poste das Log.

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6793

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07.06.2011 07:56:55
mbam-log-2011-06-07 (07-56-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165776
Laufzeit: 1 Stunde(n), 6 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\dwm.exe (Trojan.Downloader) -> 552 -> Unloaded process successfully.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> 680 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Cycbot.Gen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2} (Trojan.Zbot) -> Value: {C17AD8E4-0AEE-6C6C-E1AC-1852C46594C2} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Cycbot.Gen) -> Bad: (C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\dwm.exe (Trojan.Downloader) -> Delete on reboot.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\microsoft\conhost.exe (Backdoor.Cycbot.Gen) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\csrss.exe (Backdoor.Cycbot.Gen) -> Delete on reboot.
c:\dokumente und einstellungen\hp_besitzer\anwendungsdaten\Urenok\escix.exe (Trojan.Zbot) -> Quarantined and deleted successfully.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Extra.txt gabs leider nicht.

Mach einen Fullscan mit Avira.

Im Anhang wieder die Funde (glaub da sind aba ältere dabei?!)

und hier der Report vom Scan:


Avira AntiVir Personal
Report file date: Mittwoch, 8. Juni 2011 07:59

Scanning for 2709893 virus strains and unwanted programs.

Licensed to: Avira AntiVir Personal - FREE Antivirus
Serial number: 0000149996-ADJIE-0000001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: KLEINKARIERT

Version information:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 28.11.2008 06:37:28
AVSCAN.DLL : 8.1.4.0 40705 Bytes 25.07.2008 07:32:16
LUKE.DLL : 8.1.4.5 164097 Bytes 25.07.2008 07:32:18
LUKERES.DLL : 8.1.4.0 12033 Bytes 25.07.2008 07:32:18
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 05:33:14
ANTIVIR1.VDF : 7.11.8.186 19644272 Bytes 31.05.2011 06:11:12
ANTIVIR2.VDF : 7.11.8.239 157088 Bytes 02.06.2011 06:11:55
ANTIVIR3.VDF : 7.11.8.250 61952 Bytes 03.06.2011 06:05:01
Engineversion : 8.2.5.12
AEVDF.DLL : 8.1.2.1 106868 Bytes 03.08.2010 17:56:17
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 29.05.2011 06:05:12
AESCN.DLL : 8.1.7.2 127349 Bytes 18.12.2010 15:54:31
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 06:12:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 07:23:52
AEPACK.DLL : 8.2.6.8 557430 Bytes 20.05.2011 08:57:31
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 06:12:15
AEHEUR.DLL : 8.1.2.123 3502456 Bytes 02.06.2011 06:12:12
AEHELP.DLL : 8.1.17.2 246135 Bytes 20.05.2011 08:57:24
AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 08:57:24
AEEMU.DLL : 8.1.3.0 393589 Bytes 18.12.2010 15:54:25
AECORE.DLL : 8.1.21.1 196983 Bytes 24.05.2011 19:42:16
AEBB.DLL : 8.1.1.0 53618 Bytes 07.05.2010 07:07:12
AVWINLL.DLL : 1.0.0.12 15105 Bytes 25.07.2008 07:32:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 25.07.2008 07:32:16
AVREP.DLL : 10.0.0.9 174120 Bytes 18.02.2011 10:10:35
AVREG.DLL : 8.0.0.1 33537 Bytes 25.07.2008 07:32:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 10:55:12
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 25.07.2008 07:32:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 10:55:13
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 25.07.2008 07:32:18
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 10:55:13
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 25.07.2008 07:32:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 25.07.2008 07:32:12

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, F:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: Mittwoch, 8. Juni 2011 07:59

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sua.exe' - '1' Module(s) have been scanned
Scan process 'epmworker.exe' - '1' Module(s) have been scanned
Scan process 'Generic.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'sistray.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'DivXUpdate.exe' - '1' Module(s) have been scanned
Scan process 'LWS.exe' - '1' Module(s) have been scanned
Scan process 'DDMService.exe' - '1' Module(s) have been scanned
Scan process 'BJMYPRT.EXE' - '1' Module(s) have been scanned
Scan process 'AutoEJCD.EXE' - '1' Module(s) have been scanned
Scan process 'ZDWLan.EXE' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'psia.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'ijplmsvc.exe' - '1' Module(s) have been scanned
Scan process 'cvpnd.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
41 processes with 41 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD4
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.
Master boot sector HD5
[INFO] No virus was found!
[WARNING] System error [21]: Das Gerät ist nicht bereit.

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'F:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '68' files ).


Starting the file scan:

Begin scan in 'C:\' <mei bebi>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <HP_RECOVERY>
Begin scan in 'F:\' <MP3s>


End of the scan: Mittwoch, 8. Juni 2011 12:53
Used time: 4:53:45 Hour(s)

The scan has been done completely.

12656 Scanning directories
705112 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
705111 Files not concerned
15494 Archives were scanned
5 Warnings
0 Notes

Das sind nur ältere vom 3.6. Wie läuft das System?

hatte heute überhaupt keine probleme hoffentlich bleibts so!

Ok dann testen wir es einmal für einige Tage. Melde Dich wieder für den Abschluss

hey!
also ich hatte die letzten tage wieder überhaupt keine schwierigkeiten! läuft spitze!!

danke!

Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Viel Spass

ich danke dir herzlichst! wieder einmal funktioniert immernoch super!!

Gern geschehen