Trojaner-Board - Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt (https://www.trojaner-board.de/103882-ordner-usb-sticks-nur-verknuepfung-dargestellt.html)

Ordner auf USB-Sticks werden nur als Verknüpfung dargestellt

Hallo

zu diesem Problem gibt es bereits einige Beiträge, allerdings gelingt es mir nicht, die dort empfohlenen Maßnahmen bzw. vorbereitenden Scans vollständig durchzuführen, so dass ich um Hilfe bitten muss.
Generell erscheinen die Ordner auf zwei Sticks nur noch als Verknüfung und lassen sich nicht mehr öffnen. Das Problem tauchte erstmals auf, als die Sticks beim Hochfahren des Rechners noch am Rechner steckten.
Zu den Problemen bei der Umsetzung der Hinweise aus dem Forum:
1. Zunächst gelingt nicht die Durchführung von Defogger, die defogger_disable Datei poste ich.
2. Dann wird der OTL-Scan nicht zu Ende geführt, er hängt bei "Manual File Scan - Getting folder structure ...", schließlich erscheint beim klicken aufs OTL-Fenster "Out of Memory".
3. Schließlich versuchte ich den ESET Online Scanner anzuwenden, leider meldet er einen Fehler mit den Proxy-Einstellungen, den ich nicht beheben kann. Als Administrator bin ich angemeldet, daran sollte es nicht liegen. Proxy-Einstellungsfelder gibt es allerdings meines Erachtens generell bei meinem Rechner (Antivir kann z. B. nicht mehr updaten).

Der Scan mit Malwarebytes förderte etliche Probleme zu Tage, er zeigt nun keine weiteren infizierten Objekte.

Ich hoffe, dass ihr mir helfen könnt, und bedanke mir im Voraus für die Hilfe

Viele Grüße Löschel

Die Scans ergaben:
Malwarebytes Rechner:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:23:20
mbam-log-2011-09-25 (20-23-20).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 171185
Laufzeit: 4 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\Dabu\m-1-52-5782-8752-5245\winsvc.exe (Trojan.FakeAlert) -> 3696 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.FakeAlert) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Dabu\m-1-52-5782-8752-5245\winsvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Dabu\AppData\Local\Temp\8343496.exe (Spyware.Agent) -> Quarantined and deleted successfully.
c:\Users\Dabu\downloads\flvplayersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\Dabu\downloads\installer_wavelab_6_1_1_353_deutsch.exe (PUP.SmsPay.PGen) -> Quarantined and deleted successfully.

Zum Stick 1:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:31:18
mbam-log-2011-09-25 (20-31-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (I:\|J:\|)
Durchsuchte Objekte: 168973
Laufzeit: 3 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
j:\84612795\Physik.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\energie wettbewerb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\zeugnisse.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\braunscheroehre.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\piko.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\Schule.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\portable apps.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\applets.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2011_02_pec.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\fortbildungbeschlbew9.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\caspar.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2007_08_hohe tauern.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
j:\84612795\2008_08_maria_lasörling.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Und zum Stick 2:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7796

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

25.09.2011 20:37:11
mbam-log-2011-09-25 (20-37-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (F:\|)
Durchsuchte Objekte: 162141
Laufzeit: 1 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 35

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\84612795\.trashes.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Tutorium.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\physlet.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\schulrechner_mai09.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\runder tisch.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\milllikan versuch (sv).exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\doku_mechanik_einheit.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse9-3_ende9.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Tutor.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Fliegen.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Physik.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse10_3_sj08_09_hj1.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\batteriebauprojekt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko_geschwindigkeit.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\fotos_ludwig.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko_kontexttag_03_2010_geschw_aufgabenkultur.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\friedrich der große.key.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\5 jahre unilab.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\entdeckungen_br.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\a_s_verhalten07.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisformulare.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\wärmetransport_expl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\piko speicherkraftwerke.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse10-3_ende.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\regelbeurteilung.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\briefe_von_tutoren_an_die_elte.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\jahrgangsleitung.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\musik_transfer.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\rixdorf-ralley.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\konferenzvorlage 8_3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\mails.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\Piko.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\mittelstufe.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\zeugnisse9_3_sj07_08-1.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
f:\84612795\fortb_ludwigsl_feb08_laptop.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Der defogger_disable Log lautet:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:55 on 05/10/2011 (Dabu)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Die Gmer-Datei lautet:
GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2011-10-05 21:19:26

Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 WDC_WD5000AACS-00ZUB0 rev.01.01B01

Running: mlqynm12.exe; Driver: C:\Users\Dabu\AppData\Local\Temp\fxdoapoc.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            8FA632B6                                ZwCreateSection

SSDT            8FA632BB                                ZwSetContextThread

SSDT            8FA63257                                ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKey + 13D1           82A87349 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2  82AC0D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7     82AC7EAC 4 Bytes  [B6, 32, A6, 8F]

.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597     82AC824C 4 Bytes  [BB, 32, A6, 8F]

.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F     82AC8324 4 Bytes  [57, 32, A6, 8F]
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\ACPI_HAL \Device\00000047       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Malwarebytes bitte aktualisieren und einen Vollscan von jedem Datenträger machen (außer CD oder DVD)

Zitat:

Als Administrator bin ich angemeldet, daran sollte es nicht liegen. Proxy-Einstellungsfelder gibt es allerdings meines Erachtens generell bei meinem Rechner (Antivir kann z. B. nicht mehr updaten).

In jeder ESET-Anleitung hier steht, dass man den Browser per Rechtsklick als Administrator ausführen musst, einfach nur als Admin angemeldet sein reicht nicht aus!

Hallo Arne,

danke für die Antwort, aber das habe ich schon verstanden, mich aber nicht eindeutig ausgedrückt. Auch per Ausführung als Administrator klappt es nicht, da er nicht updaten kann, er fragt dann ob proxy konfiguriert ist. Updates gelingen generell nicht (auch Windows Update, dort kommt es zum Fehler Code8002EFD, wie ich gerade festegestellt habe).

Gruß Löschel

Hallo Arne,

danke für den Hinweis, ich habe tatsächlich mit HiJackThis eine entsprechende Zeile gefunden

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:49293

Bei den Browsern kann ich die Einstellung auf "automatisch erkennen" auch vornehmen, so kann ich mit Firefox oder dem IE ins Internet. Beim Internetexplorer kann ich die Proxy-Umstellung allerdings nicht bei "Einstellungen" vornehmen, der Button ist nicht aktiv (wohl weil auch keine Verbindung im nebenstehenden Fenster steht, siehe screenshot) [IMG]C:\Users\Dabu\Desktop\IE_Internetoptionen[/IMG] .
Das hilft aber nicht bei dem Problem, dass das Updaten von anderen Programmen (Windows Update, Avira oder eben ESET) nicht funktioniert.

Gruß Uli

Malwarebytes lässt sich auch nciht updaten? Prüf mal in den Einstellungen von Malwarebytes, ob da auch ein Proxy eingetragen ist.

Hallo Arne,

der Malwarebytes-Update hat immer funktioniert. Inzwischen bin ich auch soweit, dass die Updates funktionieren, ging mit dem Fix von HijackThis.
So hat inzwischen der Eset-Scan funktioniert, deshalb hat das bei mir auch so lange gedauert mit der Antwort. Leider besteht das oben geschilderte Problem mit OTL weiterhin. Vielleicht reichen aber die geposteten logs um weiter zu kommen.
Vielen Dank noch einmal und Gruß
Uli

Sorry, ich habe noch die aktualisierten Malware-Scans vergessen:
Für die Laufwerke D, C sowie die beiden usb-Sticks
Gruß Löschel

Hallo Arne,

Beim erneuten Hochfahren (wegen eines automatischen Windows-Updates) bei dem die beiden Sticks noch am Rechner hingen, haben sich merkwürdige Dateien auf dem Desktop ergeben (siehe Bild). Ich habe dann noch einmal Eset-Scann darüber laufen lassen, er hat leider auch noch mehr gefunden, d.h. beim Booten mit den Sticks dran, hat sich der Rechner erneut etwas eingefangen. Die aktualisierte log-Datei habe ich angehangen. Ich würde mich sehr freuen, wenn du dich noch einmal in mein Problem reinhängen könntest.

Danke und Gruß Löschel

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

es ist leider wie gehabt, bei "Manuel File Scan - Getting folder structure" hängt OTL und es geht nicht weiter ... schließlich kommt wieder "Out of Memory".
Ach so, dass hatte ich vergessen, auf dem Desktop befindet sich nun auch eine blasse Datei "~WRL3995.tmp"

Gruß Löschel

Geht es so?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Mit oder ohne die Eintragung bei benutzerdefinierte Scans?
Ohne diese Eintragung kommt auf jeden Fall das heraus:

Gruß Löschel

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

PRC - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B0 5D 42 CD 83 69 CB 01  [binary data]

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49293

FF - prefs.js..browser.search.suggest.enabled: false

FF - prefs.js..browser.search.update: false

FF - prefs.js..browser.startup.homepage: "http://www.gmx.de/"

FF - prefs.js..extensions.enabledItems: smartwebprinting@hp.com:4.51

FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24

FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=2a21be620000000000000015af5cee88&tlver=1.4.19.14&instlRef=&affID=17163&q="

FF - prefs.js..network.proxy.ftp: "proxy_server"

FF - prefs.js..network.proxy.ftp_port: 8080

FF - prefs.js..network.proxy.http: "proxy_server"

FF - prefs.js..network.proxy.http_port: 8080

FF - prefs.js..network.proxy.no_proxies_on: "localhost, proxy_server"

FF - prefs.js..network.proxy.socks: "proxy_server"

FF - prefs.js..network.proxy.socks_port: 8080

FF - prefs.js..network.proxy.ssl: "proxy_server"

FF - prefs.js..network.proxy.ssl_port: 8080

FF - prefs.js..network.proxy.type: 4

[2010.10.11 23:08:50 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2011.02.14 09:25:38 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml

O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\bh\BabylonToolbar.dll (Babylon BHO)

O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarTlbr.dll (Babylon Ltd.)

O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe (Babylon Ltd.)

O4 - HKLM..\Run: [NPSStartup]  File not found

O4 - HKLM..\Run: [NWEReboot]  File not found

O4 - HKCU..\Run: [conhost] C:\Users\Dabu\AppData\Roaming\Microsoft\conhost.exe File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - Unable to obtain root file information for disk F:\

O32 - AutoRun File - [2009.12.14 10:00:22 | 000,008,192 | ---- | M] (Microsoft) - J:\AutoOff.exe -- [ FAT32 ]

[2011.09.15 21:58:34 | 000,000,000 | RHSD | C] -- C:\Users\Dabu\M-1-52-5782-8752-5245

:Files

C:\Programme\BabylonToolbar

C:\Users\Dabu\M-1-52-5782-8752-5245

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

der Fix ist scheinbar problemlos (mit Neustart) durchgelaufen. Das Logfile lautet wie folgt:

Zitat:

All processes killed
========== OTL ==========
No active process named BabylonToolbarsrv.exe was found!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache AcceptLangs| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache_TIMESTAMP| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: false removed from browser.search.suggest.enabled
Prefs.js: false removed from browser.search.update
Prefs.js: "hxxp://www.gmx.de/" removed from browser.startup.homepage
Prefs.js: smartwebprinting@hp.com:4.51 removed from extensions.enabledItems
Prefs.js: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Prefs.js: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=2a21be620000000000000015af5cee88&tlver=1.4.19.14&instlRef=&affID=17163&q=" removed from keyword.URL
Prefs.js: "proxy_server" removed from network.proxy.ftp
Prefs.js: 8080 removed from network.proxy.ftp_port
Prefs.js: "proxy_server" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: "localhost, proxy_server" removed from network.proxy.no_proxies_on
Prefs.js: "proxy_server" removed from network.proxy.socks
Prefs.js: 8080 removed from network.proxy.socks_port
Prefs.js: "proxy_server" removed from network.proxy.ssl
Prefs.js: 8080 removed from network.proxy.ssl_port
Prefs.js: 4 removed from network.proxy.type
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\searchplugin folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\META-INF folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\lib folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\defaults folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\chrome folder moved successfully.
C:\Users\Dabu\AppData\Roaming\mozilla\Firefox\Profiles\ixbr23yw.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} folder moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\babylon.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\bh\BabylonToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarTlbr.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BabylonToolbar deleted successfully.
C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.14\BabylonToolbarsrv.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\conhost deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
File not found.
J:\AutoOff.exe moved successfully.
C:\Users\Dabu\M-1-52-5782-8752-5245 folder moved successfully.
========== FILES ==========
File\Folder C:\Programme\BabylonToolbar not found.
File\Folder C:\Users\Dabu\M-1-52-5782-8752-5245 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Dabu
->Temp folder emptied: 3191778350 bytes
->Temporary Internet Files folder emptied: 65107939 bytes
->Java cache emptied: 14161271 bytes
->FireFox cache emptied: 923745296 bytes
->Flash cache emptied: 198316 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 140408179 bytes
RecycleBin emptied: 122116 bytes

Total Files Cleaned = 4.135,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 10072011_224237

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Vielen Dank schon einmal soweit und Gruß
Löschel