Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe (https://www.trojaner-board.de/119505-erst-2-bka-trojaner-dann-kein-www-mehr-glom0_exe-fq10-owvy-exe.html)

wodit 14.07.2012 18:20
erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe
 
Hallo,

... vielleicht begann es mit einer seltsamen Mail (gmx!) eines Freundes, in dem nur ein Anhang war, der nicht funktionierte. Jaja, ich weiß ...

Nun:
Ich bin - bei ansonsten geringsten Kenntnissen der Materie in den letzten Tagen jetzt mehrfach in die Falle gegangen.
Erst forderte mich plötzlich der "GVU" zur Zahlung von U-Cash auf, dann kam nach (scheinbarer) Lösung des ersten Problems das nächste "staatliche" Schreiben ... Habe natürlich nicht gezahlt ...
Das erste Mal konnte ich den Rechner wieder durch zurücksetzen frei bekommen. 5 Tage später hatte ich ihn aber wieder ...
Mit ersten Hilfsansätzen von Bekannten konnte ich dann im Startsystem folgende Dateien finden und deaktivieren:

1. C:\Windows\System32\rundll32.exe C:\Users\Name\AppData\Local\Temp\glom0_exe,FQ10

daraufhin kam dann kurze Zeit später:

2. C:\Users\Name\AppData\Roaming\Ulna\owvy.exe

Beim zweiten hab ich einfach geraten und ihn im Systemstart deaktiviert, worauf mein Rechner (ohne Web) zumindest entsperrt war. Wieder aktiviert war er wieder gesperrt (mein unbeholfener Weg, zu prüfen, wo das Problem liegt).

Den ersten Trojaner hatte ich beim ersten Mal mit MaM beseitigt (wirklich?). Nach Befall durch den 2. stellte ich allerdings fest, dass der erste auch wieder im Systemstart hockte - allerdings noch deaktiviert. in weiteren Suchläufen konnte MaM weder etwas finden, noch entfernen.

Weder McAfee noch der Avira DE-Cleaner (zwar 41 Dateien rausgefiltert und gelöscht aber keine Info zum Problem) sowie die Kaspersky-Recovery-CD haben bisher tiefere Erkenntnisse gebracht. Selbstverständlich war mein McAfee (gehörte zum Softwarepaket meines Dell) komplett aktiviert und im Auto-Update!

Nun habe ich (mit meinem recht begrenzten Verständnis) versucht nach Euren Angaben vorzugehen:
1. defogger (kein Bericht)
2. OTL (Anhang: Extra/ OTL - hoffe, meine Zipperei hat funktioniert!)
3. Gmer scheidet wegen 64bit-System aus

Denke mal, das Problem sitzt tiefer? Wäre klasse, wenn sich aus meinen Angaben ein sinnvolles weiteres Vorgehen ableiten ließe! Falls ich zu laienhaft unpräzise bin, schieb ich soweit mir möglich gerne Daten nach!

Viele Grüße, Wodit

t'john 15.07.2012 11:20
:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
PRC - [2011.08.23 22:20:18 | 000,887,976 | ---- | M] (Ask) -- C:\Program Files (x86)\Ask.com\Updater\Updater.exe
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE:64bit: - HKLM\..\SearchScopes\{8CB3FABA-6C84-461C-BFD9-D12FF617CD43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{8CB3FABA-6C84-461C-BFD9-D12FF617CD43}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7IRFE_deDE465
IE - HKCU\..\SearchScopes\{9B2D3695-89F8-446A-B833-BF0DBF947544}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=9M&apn_dtid=OSJ000&apn_uid=F600DA1E-650A-4DCB-A226-E360E625D1DF&apn_sauid=0D312FA5-C1A8-41D3-85BD-BF7B265417EB
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

O4:64bit: - HKLM..\Run: [FreeFallProtection] C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe ()
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4:64bit: - HKLM..\Run: [LMPSSDMON] C:\Program Files\Lexmark\Monitor\ACB\LMabMON.exe ()
O4:64bit: - HKLM..\Run: [Stage Remote] C:\Program Files (x86)\Dell\Stage Remote\StageRemote.exe ()
O4:64bit: - HKLM..\Run: [WrtMon.exe] C:\Windows\SysNative\spool\drivers\x64\3\WrtMon.exe ()
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [AccuWeatherWidget] C:\Program Files (x86)\Dell Stage\Dell Stage\AccuWeather\accuweather.exe ()
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [Desktop Disc Tool] C:\Program Files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe ()
O4 - HKLM..\Run: [NeroLauncher] C:\Program Files (x86)\Nero\SyncUP\NeroLauncher.exe ()
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe ()
O4 - HKCU..\Run: [] File not found
O4 - Startup: C:\Users\Carsten\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Überwachungstool für die Intel® Turbo-Boost-Technik 2.0.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{af4120be-b2e7-11e1-91c1-4c80937d7665}\Shell - "" = AutoRun
O33 - MountPoints2\{af4120be-b2e7-11e1-91c1-4c80937d7665}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
[2012.07.14 17:36:01 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.14 17:26:00 | 000,001,112 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.14 10:56:00 | 000,000,506 | ---- | M] () -- C:\Windows\tasks\SystemToolsDailyTest.job
[2012.07.14 10:56:00 | 000,000,506 | ---- | M] () -- C:\Windows\Tasks\SystemToolsDailyTest.job
[2012.07.12 20:36:25 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.06.29 21:57:48 | 000,000,564 | ---- | M] () -- C:\Windows\tasks\PCDoctorBackgroundMonitorTask.job
[2012.06.29 21:57:48 | 000,000,564 | ---- | M] () -- C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job
[2012.07.08 16:07:16 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

wodit 15.07.2012 13:39
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo t'john,
vielen Dank für Dein Engagement!
Habe es genau so gemacht. Unten das File zur Einsicht.

Habe jetzt meine Wetter-Routine (zeigt mir Tageszeit und Wetter in meiner Stadt an - wenn mit Web verbunden) nicht mehr und obwohl nach wie vor WLan "vebunden" sagt, kann Google nicht aufgebaut werden.

Wie muss ich weitermachen?


Grüße, Wodit

P.S.: dachte nicht daran es zu prüfen - aber, Mails kommen rein!
Habe deshalb nochmal ein Bild vom Systemstartfenster gemacht, in dem noch immer die 2 deaktivierten Programme liegen. Hängt's damit zusammen?

t'john 15.07.2012 15:50
Sehr gut! :daumenhoc

Wie laeuft der Rechner?


1. Schritt

Neue Version! Bitte neu runterladen!
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

wodit 15.07.2012 18:45
Hi t'john,
wieder nen Schritt geschafft.

Keine Funde von Mbam.
Adware sagt auch Registry is clean.

Im Anhang beide Ergebnis-Logs.

Brauche jetzt nur noch Freigabe, ob ich gemäß Aufforderung von Adware auch (wasauchimmer...) "deleten" soll. Aber das wirst Du mir sicher noch sagen. ;)

Noch zu Deiner Frage, wie er läuft:
Rechner zeigt keine Auffälligkeiten im Offline-Betrieb. Mal sehen, was nach Deiner Antwort geht ...:rofl:

Herzliche Grüße, Wodit

t'john 15.07.2012 19:04
Sehr gut! :daumenhoc

Jetzt kommts :D

  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



danach:

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

wodit 15.07.2012 19:22
Und wieder hallo,
is' erledigt - unten das File.

Das "danach" wirst Du mir sicher noch weiter erklären? McAfee ist jedenfalls schon abgeschaltet ... ;)

Grüße, Wodit

t'john 15.07.2012 19:40
Gibt es Probleme mit ESET? ;)

wodit 15.07.2012 19:41
äh - was muss ich tun? :confused:

...

t'john 15.07.2012 19:43
Drueck den gruenen Button: ESET Online Scanner :)

wodit 15.07.2012 19:48
... push the button!

Gerne! Aber läuft da der Scan gleich an? Is hier mein 2.-Rechner, der "gesund" is' ...

Grüße, Wodit

t'john 15.07.2012 20:56
Bitte die Anleitung lesen. Wo gibts Unklarheiten?

Den Scan auf dem infizierten Rechner starten.

wodit 15.07.2012 21:00
... kann ja sein, dass ich oberprasslig bin...: Wie soll ich den Online-Scan auf nem Rechner starten, der nicht online geht?

Hilflose Grüße, Wodit

t'john 15.07.2012 22:08
Warum geht er nicht online?

Wie kommst Du sonst ins Internet?

wodit 15.07.2012 22:26
Hi t'john,
leider scheine ich mein Problem nicht richtig deutlich gemacht zu haben. Es geht wahrscheinlich in der Thread-Überschrift etwas unter. Sorry, dass ich da nicht klar genug war!

Um überhaupt Hilfe suchen zu können, habe ich mir meinen alten Rechner genommen. Der steht jetzt neben meinem Kranken und ich transferiere ständig mit Stick hin und her.

Was brauchst Du gegebenenfalls noch für Info, um weiter helfen zu können?

Stand der Dinge bisher:
Seit dem ich Deinen Text mittels OTL durchgejagt habe, ist lediglich mein Uhrzeit/Wetter-Programm wech (schade eigentlich).
In meinem Systemstart finden sich immer noch die deaktivierten Programme, die ich am Anfang genannt hatte - und die im Screenshot unten erscheinen (hätte gedacht, dass die irgendwann mal verschwinden?)
Da ich aus den Logfiles nicht schlau werde, kann ich nicht sagen, was darüber hinaus gelaufen ist.
Nach wie vor kann der IE keine Seite hochfahren.

Viele Grüße, Wodit

t'john 16.07.2012 15:30
Die Frage ist bist Du online?
Der IE spielt dafür eine Rolle.

Wie ist dein Rechner mit dem Internet verbunden?

wodit 16.07.2012 16:56
Hi t'john,
da mein Problem eben genau die nicht herstellbare Online-Verbindung war, hatte ich alles mit dem 2.-Rechner gemacht. Klappte auch, solange es nur Downloads brauchte.
Inzwischen habe ich mir den Feuerfuchs über den 2.-Rechner gezogen und ihn auf Nr. 1 installiert. Ergebnis siehst Du hier: Antwort mit Rechner Nr. 1! :)

Scheinbar hat sich einer der Trojaner (?) so mit dem IE vernetzt, dass bei dessen Deaktivierung im Systemstart auch irgendwas im IE deaktiviert wurde.
Wäre ja mal ganz interessant, zu wissen, wo/wie/was da geschafft hat ... ;)
(bzw. das von mir verdächtigte Programm - das mit der "owvy.exe-Endung - im Systemstart, hat nix mit Trojanern zu tun - wohl aber was mit dem IE ...? :confused:)

Aber:
Jetzt kann ich den Online-Scan machen! ;)

Werde dann nach Vollzug die Logs etc. posten, wie erbeten!

Viele Grüße, Wodit

t'john 16.07.2012 17:09
Gut, ich warte auf das Log :)

wodit 16.07.2012 19:40
... kurze Nachfrage:

Häkchen in "Use custom proxy settings Configure..."

... und wie konfigurieren?

Gruß, Wodit

t'john 16.07.2012 19:58
Nein, keine Proxy-Settings.

wodit 16.07.2012 22:55
Eset Online Scanner sagt mir aber:

Can not get update. Is proxy configured?
Unten kommt dann das Kästchen und der Satz und sowohl mit als auch ohne Häkchen geht's net weiter ...

Klicke ich "Configure" an, geht Fenster auf wo gefragt wird nach
- proxy adress
- port
- username
- password

Was tun?

Grüße, Wodit

t'john 17.07.2012 16:20
Anderen Browser probieren.

wodit 17.07.2012 16:54
... da geht mir langsam das Vorstellungsvermögen aus:
- IE ist kaputt
- auf Firefox geht jetzt Eset net?

Nur zur Info: Habe Eset bereits auf dem Desktop. Will ihn installieren. Dann kommt die Proxy-Eingabeaufforderung.

Was und welcher Browser soll jetzt helfen?


Hilflose Grüße, Wodit

t'john 17.07.2012 19:29
Leider hast du mir immer noch nicht verraten wie du Internet herstellst?

WLAN? Router? Name?

wodit 17.07.2012 22:10
Hi t'john,

ah - jetzt! Die Frage ist nicht mehr bis zu mir durchgedrungen ... :crazy:

Zuhause WLan, Speedport, T-Online - aktuell Lan, Vodaphone-Router bei meinen Eltern. Hier versuche ich auch den Online-Scanner zu installieren.



Erklärt das was?

Grüße, Wodit

t'john 18.07.2012 09:37
mit dem infizierten: mit kabel am Router, ja?

wodit 19.07.2012 15:39
Hi - danke, dass Du dran bleibst!
Also:
Aktuell bin ich mit dem Infizierten per Kabel am Router.

Liegt da der Kern im Pudel? ;)


Grüße, Wodit

t'john 19.07.2012 18:04
Ein anderer Rechner an diesem Kabel funktioniert normal, ja?

wodit 19.07.2012 18:50
Si! :)
Rechner vom Stiefvater läuft!

Gruß, Wodit

t'john 19.07.2012 20:15
Gut!

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.


Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

wodit 19.07.2012 23:57
so... erledigt!

Unten das Logfile.

Gruß, Wodit

t'john 20.07.2012 09:58
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7IRFE_deDE465
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - user.js - File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3662355203-2819803803-985672485-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O32 - HKLM CDRom: AutoRun - 1
MsConfig:64bit - StartUpFolder: C:^Users^Carsten^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ctfmon.lnk - C:\Windows\SysNative\rundll32.exe - (Microsoft Corporation)
MsConfig:64bit - State: "startup" - Reg Error: Key error.

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

wodit 20.07.2012 10:43
guten Morgen,
habe seit dem OTL-Scan gestern nun heute nach dem Hochfahren kein Netz mehr, obwohl alle Kabelverbindungen bestehen. Auf meinem Desktop finden sich zudem 2 "desktop.ini"-Icons.

mit folgenden Inhalten:
Code:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
Code:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183
Irgendeine Bedeutung?

Hole mir jetzt Deine nächsten Schritte per Stick vom anderen Rechner, mit dem ich jetzt kommuniziere.


Gruß, Wodit

...warte jetzt aber lieber erstmal ab, bevor ich weitermache!

Nochmal Grüße, Wodit

t'john 20.07.2012 21:24
Also den Fix hast du noch nicht durchgefuehrt?

wodit 21.07.2012 10:24
Hi t'john,
bin inzwischen wieder zuhause und Rechner hängt am WLan. Hier funzt Firefox wieder und die dokumentierten Desktop-Inis sind wieder wech ...

Da Du nur die Frage gestellt hast, gehe ich davon aus, dass es ungefährlich ist den Fix zu machen.

Werde das jetzt machen.


Gruß, Wodit

... und gefixt:

Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\IntelTBRunOnce not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Carsten\Desktop\cmd.bat deleted successfully.
C:\Users\Carsten\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Carsten
->Temp folder emptied: 1939936 bytes
->Temporary Internet Files folder emptied: 427671 bytes
->Java cache emptied: 20258 bytes
->FireFox cache emptied: 189662169 bytes
->Flash cache emptied: 56814 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4346 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 23717812 bytes

t'john 21.07.2012 17:24
Machen wir mi ESET weiter? ;)

http://www.trojaner-board.de/119505-...tml#post865814

wodit 21.07.2012 17:32
Liste der Anhänge anzeigen (Anzahl: 1)
Hi, ja gerne -hatte schon drauf gewartet! :lach:

Aber leider sagt der mir immer noch folgendes - siehe Grafik unten:

t'john 21.07.2012 20:46
Argh jetzt sehe ich es :)

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll (McAfee, Inc.)
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = socks=127.0.0.1:18604

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

wodit 21.07.2012 21:23
... done!

Hier:
Code:
All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
File move failed. C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll scheduled to be moved on reboot.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
C:\Program Files (x86)\Java\jre6\bin\ssv.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
File move failed. C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll scheduled to be moved on reboot.
HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Carsten\Desktop\cmd.bat deleted successfully.
C:\Users\Carsten\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Carsten
->Temp folder emptied: 10310773 bytes
->Temporary Internet Files folder emptied: 427542 bytes
->Java cache emptied: 39513 bytes
->FireFox cache emptied: 635255766 bytes
->Flash cache emptied: 1323 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9756 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 573164 bytes
 
Total Files Cleaned = 617,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Carsten
->Flash cache emptied: 0 bytes
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.54.0 log created on 07212012_221123

Files\Folders moved on Reboot...
File move failed. C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll scheduled to be moved on reboot.
File move failed. C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll scheduled to be moved on reboot.
C:\Users\Carsten\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
[2012.05.25 17:00:52 | 000,094,720 | ---- | M] (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll : MD5=9901FE4815A3221E2AF8238C205086A6
[2012.05.25 17:09:18 | 000,079,776 | ---- | M] (McAfee, Inc.) C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll : MD5=9E94814109A822D4618E8A0A7BD2F722
File C:\Users\Carsten\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...
...nu bin ich ja mal gespannt...;)

Grüße, Wodit

t'john 21.07.2012 21:26
uuuuuuuund? :)

wodit 21.07.2012 21:28
...kein Raumgewinn... :(
Siehe Grafik - Eingabeaufforderung ...

t'john 21.07.2012 21:31
Falsche Proxy Einstellungen entfernen
  • Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
  • Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
    wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)
http://www.trojaner-board.de/attachm...ntfernen-3.pnghttp://www.trojaner-board.de/attachm...ntfernen-4.jpg

wodit 21.07.2012 21:37
Liste der Anhänge anzeigen (Anzahl: 1)
...schade - das war's net ... :(

siehe unten - so war's.

wodit 21.07.2012 21:39
... aber vielleicht fehlt das Häkchen für "Automatische Suche der Einstellungen"?

Jaaaaaaa! das war's!!!!! :) :) :) :) :) :)

t'john 21.07.2012 21:42
hehe, na das war eine echt schwere Geburt :)

Aber jetzt wissen wir auf welches Haekchen es ankommt ;)

wodit 22.07.2012 00:26
So, wenn das jetzt alles so richtig gelaufen ist...

Code:
ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=611b3fcb1474c84e8381c2ad85c1b580
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-21 11:15:35
# local_time=2012-07-22 01:15:35 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5121 16777213 100 75 3752868 8128814 0 0
# compatibility_mode=5893 16776573 100 94 0 94533168 0 0
# compatibility_mode=8192 67108863 100 0 439556 439556 0 0
# scanned=283041
# found=0
# cleaned=0
# scan_time=9218
...müsste doch auch mal alles wieder gut sein - oder (wie geht's jetzt weiter)?


Grüße, Wodit


P.S.: ...aha: IE geht wieder ...! (Oder war das auch das Häkchen?) ;)

t'john 22.07.2012 00:27
Sehr gut! :daumenhoc

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.

wodit 22.07.2012 00:55
...auch erledigt! :Boogie:

War's das jetzt? Und was ist zu tun, um in Zukunft böse Überraschungen weitestgehend zu vermeiden?


Grüße zur Nacht, Wodit

t'john 22.07.2012 01:01
Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

wodit 22.07.2012 01:15
... dann bleibt mir fast nur noch Danke zu sagen ... :)

Äh, und bekommt man für Unterstützungsleistungen eine Quittung von Dir/ Euch? ;)

Gruß, Wodit


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131