Trojaner-Board - kostenpflichtiges (50 Euro) windows-upgrade per pay-safe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - kostenpflichtiges (50 Euro) windows-upgrade per pay-safe (https://www.trojaner-board.de/113079-kostenpflichtiges-50-euro-windows-upgrade-per-pay-safe.html)

kostenpflichtiges (50 Euro) windows-upgrade per pay-safe

Hi zusammen,

habe seit einigen tagen das problem, dass nach dem hochfahren meines computers plötzlich ein schwarzer bildschirm in den vordergrund kommt und keine tätigkeiten mehr auf dem desktop möglich sind. in einem kasten, der mit den deutschlandfarben dekoriert ist, besteht dann die möglichkeit per codeeinlösung (50 € paysafe oder ucash) ein sogenanntes upgrade für windows zu starten, dass diesen virus dann entfernen soll. nach einigen recherchen ist das eine weit verbreitete infizierung. ich habe dann auch, wie von einigen useren hier im forum empfohlen, otl über meinen rechne laufen lassen und brauche nun eine auswertung und anschließende lösung, wie ich das wieder loswerden kann.

die entsprechenden editoren sind im anhang.

vielen dank und gruss
toene

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

[CODE]
:OTL
O4 - HKCU..\Run: [SkypePM] C:\Users\Töne\AppData\Local\Skype\SkypePM.exe ()
:Files
C:\Users\Töne\AppData\Local\Skype
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hi markusg,

habe nun im folgenden den editor:
All processes killed
Error: Unable to interpret <[CODE]> in the current context!
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
C:\Users\Töne\AppData\Local\Skype\SkypePM.exe moved successfully.
========== FILES ==========
C:\Users\Töne\AppData\Local\Skype folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

was muss ich nun machen? vielen dank schon mal.

gruß
toene:kloppen:

User: All Users

User: David
->Flash cache emptied: 174076 bytes

User: Default

User: Default User

User: Public

User: Sabine
->Flash cache emptied: 181775 bytes

User: Töne
->Flash cache emptied: 655 bytes

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: David
->Temp folder emptied: 274716945 bytes
->Temporary Internet Files folder emptied: 119194716 bytes
->Java cache emptied: 43953783 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Sabine
->Temp folder emptied: 444356342 bytes
->Temporary Internet Files folder emptied: 1303615875 bytes
->Java cache emptied: 19565589 bytes
->FireFox cache emptied: 9707338 bytes
->Flash cache emptied: 0 bytes

User: Töne
->Temp folder emptied: 347681724 bytes
->Temporary Internet Files folder emptied: 264452082 bytes
->Java cache emptied: 2297865 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 124659916 bytes
%systemroot%\System32 .tmp files removed: 5160 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 31650400954 bytes
RecycleBin emptied: 10636404914 bytes

Total Files Cleaned = 43.145,00 mb

OTL by OldTimer - Version 3.2.39.2 log created on 04042012_190958

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\MpCmdRun-22-421CFC91-A93E-42AB-A35C-F06F127FCC44.lock not found!
C:\Windows\temp\MpCmdRun.log moved successfully.
File\Folder C:\Windows\temp\TMP000000019A351FC71EF82A03 not found!
File\Folder C:\Windows\temp\TMP0000000412B831DDA32E1762 not found!

Registry entries deleted on Reboot...

der upload fehlt.
und, freud dich, laut anzeige hast du grad 43 gb speicherplatz gewonnen :d

Hi markusg,

habe den movedfiles.zip und möchte auch hochladen, aber ich komme beim link zum thema im forum nicht weiter (bitte link zum thema überprüfen...) Wie komme ich da weiter? tschuldigung, aber bin nicht gerade ein pc-ass.

Gruß
toene

so, müsste jetzt upgeloaded sein.

wie gehts weiter?

toene

so, ich habe es glaube ich per uploadchannel hochgeladen, wie geht es jetzt weiter?

gruß
don-toene

bin etwas daneben, jett die offizielle antwort:

habe per uploadchannel hochgeladen und frage mich jetzt wie es weiter geht?

don-toene

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

hi,

im folgenden die combofix.txt :

Combofix Logfile:

Code:

ComboFix 12-04-06.03 - Töne 06.04.2012  21:29:01.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2047.783 [GMT 2:00]

ausgeführt von:: c:\users\Töne\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-03-06 bis 2012-04-06  ))))))))))))))))))))))))))))))

.

.

2012-04-06 19:37 . 2012-04-06 19:37        --------        d-----w-        c:\users\Sabine\AppData\Local\temp

2012-04-06 19:37 . 2012-04-06 19:37        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-04-06 19:37 . 2012-04-06 19:37        --------        d-----w-        c:\users\David\AppData\Local\temp

2012-04-06 11:33 . 2012-03-14 02:15        6582328        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{113CCDE5-5026-4BC0-9873-E0E92CCE2223}\mpengine.dll

2012-04-04 17:09 . 2012-04-06 11:27        --------        d-----w-        C:\_OTL

2012-03-30 17:23 . 2012-03-30 17:23        --------        d-----w-        c:\program files\GUMF9D8.tmp

2012-03-30 17:23 . 2012-03-30 17:23        3993600        ----a-w-        c:\program files\GUTF9D9.tmp

2012-03-11 14:03 . 2012-03-11 14:03        --------        d-----w-        c:\users\Töne\AppData\Local\Telekom

2012-03-11 13:55 . 2010-05-15 14:55        155416        ----a-w-        c:\windows\system32\CbFsMntNtf3.dll

2012-03-11 13:55 . 2010-05-15 14:55        216856        ----a-w-        c:\windows\system32\CbFsNetRdr3.dll

2012-03-11 13:55 . 2010-05-15 14:55        265800        ----a-w-        c:\windows\system32\drivers\cbfs3.sys

2012-03-11 13:54 . 2011-11-23 12:01        284160        ----a-w-        c:\windows\system32\DTAG.Mediencenter.ShellExtension.dll

2012-03-11 13:54 . 2011-11-23 12:03        3897744        ----a-w-        c:\windows\system32\Mediencenter_Uninstall.exe

2012-03-11 13:54 . 2012-03-11 13:54        --------        d-----w-        c:\program files\Telekom

2012-03-10 06:42 . 2012-03-10 06:42        --------        d-----w-        c:\users\Sabine\AppData\Roaming\kikin

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-23 08:18 . 2009-10-04 11:33        237072        ------w-        c:\windows\system32\MpSigStub.exe

2012-02-19 16:05 . 2011-05-22 14:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD0.dll" [2011-05-09 176936]

.

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

.

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

.

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

2011-05-09 08:49        176936        ----a-w-        c:\program files\DVDVideoSoftTB\prxtbDVD0.dll

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

2008-09-15 04:47        1784856        ----a-w-        c:\program files\Softonic_Deutsch\tbSoft.dll

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]

2009-11-24 18:48        650432        ----a-w-        c:\program files\kikin\ie_kikin.dll

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

2009-11-09 17:38        2331672        ----a-w-        c:\program files\DVDVideoSoft\tbDVDV.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]

"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD0.dll" [2011-05-09 176936]

.

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

.

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

.

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSoft.dll" [2008-09-15 1784856]

"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "c:\program files\DVDVideoSoft\tbDVDV.dll" [2009-11-09 2331672]

"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\program files\DVDVideoSoftTB\prxtbDVD0.dll" [2011-05-09 176936]

.

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

.

[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]

.

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]

@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"

[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]

2010-05-15 14:55        155416        ----a-w-        c:\windows\System32\CbFsMntNtf3.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\McsShellOverlayUpload]

@="{0774B5A9-ADB5-4D3A-915F-72C7EF9CD262}"

[HKEY_CLASSES_ROOT\CLSID\{0774B5A9-ADB5-4D3A-915F-72C7EF9CD262}]

2011-11-23 12:01        284160        ----a-w-        c:\windows\System32\DTAG.Mediencenter.ShellExtension.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]

@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"

[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]

2007-09-10 14:35        2957312        ----a-w-        c:\program files\Protector Suite QL\farchns.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]

@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"

[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]

2007-09-10 14:35        2957312        ----a-w-        c:\program files\Protector Suite QL\farchns.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-06-08 1232896]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-06 39408]

"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2011-07-21 966712]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]

"RtHDVCpl"="RtHDVCpl.exe" [2007-11-14 4706304]

"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]

"PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2007-06-05 49168]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-09-12 561152]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"WPCUMI"="c:\windows\system32\WpcUmi.exe" [2006-11-02 176128]

"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-09-15 4353088]

"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-09-15 962456]

"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2008-09-15 165144]

"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]

"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]

"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-11-05 741376]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-11 281768]

"TkBellExe"="c:\program files\Real\RealPlayer\Update\realsched.exe" [2011-04-07 273544]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

.

c:\users\Töne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Mediencenter Assistent.lnk - c:\program files\Telekom\Mediencenter\MediencenterSoftware.exe [2012-3-11 2386832]

Netzmanager.lnk - c:\program files\Netzmanager\netzmanager.exe [2011-11-10 14000128]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"disableCAD"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

2007-06-05 22:03        90112        ----a-w-        c:\windows\System32\psqlpwd.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           scecli psqlpwd

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd0e99f35e45fa.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 08:32]

.

2012-04-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 08:32]

.

2012-04-06 c:\windows\Tasks\User_Feed_Synchronization-{265A9396-3F11-4426-9400-BB502A05ACF2}.job

- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]

.

2012-04-06 c:\windows\Tasks\User_Feed_Synchronization-{C7FE30D5-4932-455E-994C-8BB8A4EB2BFF}.job

- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]

.

2012-04-06 c:\windows\Tasks\User_Feed_Synchronization-{FC658279-65C2-43DC-88D1-59FBEDF4BAD1}.job

- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.t-online.de/

uInternet Settings,ProxyOverride = *.local

IE: Free YouTube Download - c:\users\Töne\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\users\Töne\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta

IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\program files\kikin\ie_kikin.dll

LSP: c:\windows\system32\wpclsp.dll

Trusted Zone: shotokan-wenden.de

TCP: DhcpNameServer = 192.168.2.1

DPF: {14F94215-CA07-4CA0-B451-E5D78B68CC58} - hxxps://www.protect-software.com/download/PDLicHelperSetup2.exe

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-04-06 21:37

Windows 6.0.6000  NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-66912665-3097568841-381030272-1001\Software\AppDataLow\Software\Conduit\Community Alerts\Settings\Locales\e*n**|>:·W]

"LP_LastUpdateTime"="0"

"LP_LastCheckTime"=dword:4f4cedf4

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(936)

c:\windows\system32\psqlpwd.dll

c:\program files\Protector Suite QL\homefus2.dll

c:\program files\Protector Suite QL\infra.dll

.

- - - - - - - > 'Explorer.exe'(7104)

c:\program files\Protector Suite QL\farchns.dll

c:\program files\Protector Suite QL\infra.dll

c:\windows\system32\CbFsMntNtf3.dll

c:\windows\system32\CbFsNetRdr3.dll

.

Zeit der Fertigstellung: 2012-04-06  21:40:12

ComboFix-quarantined-files.txt  2012-04-06 19:40

ComboFix2.txt  2012-04-06 19:26

.

Vor Suchlauf: 20 Verzeichnis(se), 132.371.361.792 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 132.344.381.440 Bytes frei

.

- - End Of File - - 392496770D0EFFE7FFA3137357F9457F

--- --- ---

gruß
don-toene

hi zusammen,

kann mir jemand sagen, wie es jetzt weitergeht?

Gruß
don-toene

von feiertagen hast du aber schon mal gehört oder?
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hi,
anbei die mbam-datei nach dem entfernen der entsprechenden auswahl:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.10.09

Windows Vista x86 NTFS
Internet Explorer 8.0.6001.18904
Töne :: TOENE-PC [Administrator]

Schutz: Aktiviert

10.04.2012 21:23:07
mbam-log-2012-04-10 (21-23-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 506338
Laufzeit: 2 Stunde(n), 14 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\David\Downloads\SoftonicDownloader_fuer_hypercam.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabine\Desktop\Alle Programme\Downloads\installer_stronghold_2_Deutsch.exe (Trojan.Toggle) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sabine\Desktop\Alle Programme\Downloads\SoftonicDownloader_fuer_stronghold-2.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

gruß
don-toene

finger weg von
Softonic
servicepack 1 instalieren:
http://www.chip.de/downloads/Windows..._29821032.html
servicepack 2 laden instalieren:
http://www.chip.de/downloads/Windows..._33360511.html
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.

melden, wenn fertig

hallo,

leider kann ich den service-pack 1 nicht installieren. es kommt folgende meldung:

Während der Installation ist ein interner Fehler aufgetreten.
Fehlercode: 0x80070002
Weitere Informationen erhalten Sie unter hxxp://go.microsoft.com/fwlink/?LinkId=101139

Wenn ich auf diese Seite gehe, werden mir versch. Lösungen aufgezeigt.

Wie kann ich den Service-Pack installieren?

Vielen Dank für die bisherige Hilfe.

Gruß
don-toene

überspringe mal die servicepacks und mache mit dem abschnitt windows update weiter

hi,

habe die einstellungen so wie oben beschrieben eingestellt. dann habe ich nach update suchen lassen und anschließend ein wichtiges update (windows-tool zum entfernen bösartiger software-april 2012) installiert. nach neustart wieder nach update suchen lassen und diesmal war das wichtige update das service pack 1. habe auch dieses versucht zu installieren, aber wieder kam eine meldung, dass die installation nicht erfolgreich war (code 80246007). habe die windowshilfe, die man für diesen code ansehen kann, kontrolliert. alle einstellungen sind so, wie sie lt. dieser codemeldung sein sollten.

nochmals neustart und suche nach neuem update, aber wieder nur service pack 1, wieder versucht zu installieren mit der einer anderen fehlermeldung (code 8024200D).

gruß
don-toene

dann muss das gerät neu aufgesetzt werden, weitere arbeit in form von bereinigungn etc lohnen sich bei dem schlecht gewartetem system nicht.
der pc muss neu aufgesetzt und dann abgesichert werden

Code:

 1. Datenrettung:deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html

 dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html 

Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

 
2. Formatieren, Windows neu instalieren:nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html

 recovery cd oder recovery partition.

 falls dies ein fertig pc ist, nenne hersteller + typ.

 Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

 
3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html

ich werde außerdem noch weitere punkte dazu posten.

4. alle Passwörter ändern!

5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.