Trojaner-Board - habe gestern 2 Java Viren gefunden und glaube das sich noch irgendwo was versteckt hat

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - habe gestern 2 Java Viren gefunden und glaube das sich noch irgendwo was versteckt hat (https://www.trojaner-board.de/122482-habe-gestern-2-java-viren-gefunden-glaube-noch-irgendwo-versteckt-hat.html)

habe gestern 2 Java Viren gefunden und glaube das sich noch irgendwo was versteckt hat

Hallo gemeinschaft,

habe gestern 2 Java Viren mit avira gefunden seit ungefähr drei wochen habe ich schon das gefühl das ich mir irgendwas eingefangen habe ich habe schon in der registry gesucht dort ist nix dann natürlich im taskmanager und dort viel mir die smss.exe auf ich weis das ich den dienst vorher nie hatte aber auf einmal war er da und das macht mich stutzig habe die exe auch schon mit antimalwarebytes und avira gescannt kein fund aber warum ist der prozess auf einmal da ich gebe täglich schon netstat -n und -a ein aber auch da keine verdächtigen conectionsversuche nach außen naja aber auf der platte war immer irgend wie was los obwohl ich nichts gemacht hatte gestern fand ich nun die 2 java dinger durch antivier das eine ist irgend wie ein exploit und das andere ein Virus ich habe hier mal ein logfile hochgeladen vieleicht könnt ihr mir ja helfen ob sich da noch irgend wo was versteckt hat.

Hier das Logfile
_________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:05:29, on 20.08.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\VMware\USB\vmware-usbarbitrator.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Downloads\Nützliche tools\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 217.237.151.205:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 5353 bytes

:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Wähle Scanne Alle Benuzer

Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe

Unter Extra Registrierung, wähle bitte Benutze SafeList

Klicke nun auf Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt

Poste die Logfiles hier in den Thread.

Ok hab ich gemacht und habe die logs im anhang hochgeladen Antimalwarebytes hat auch 2 sachen gefunden die habe ich entfernt ich hoffe das sich hier nicht noch mehr versteckt hat was ist eigentlich dieser PUP.Blabbers schädling hatte diesen schon mal vor ner ganzen weile drauf gehabt aber das gleich 40 mal :-( damals habe ich diese auch durch antimalwarebytes entfernt wo kommt das blos her ?

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - (WDICA) -- File not found 

DRV - (PDRFRAME) -- File not found 

DRV - (PDRELI) -- File not found 

DRV - (PDFRAME) -- File not found 

DRV - (PDCOMP) -- File not found 

DRV - (PCIDump) -- File not found 

DRV - (lbrtfdc) -- File not found 

DRV - (i2omgmt) -- File not found 

DRV - (hwusbdev) -- system32\DRIVERS\ewusbdev.sys File not found 

DRV - (hwdatacard) -- system32\DRIVERS\ewusbmdm.sys File not found 

DRV - (Changer) -- File not found 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-1659004503-839522115-682003330-1003\..\SearchScopes,DefaultScope = {E91F233F-51F6-40C1-9F8A-BBCD88AA5887} 

IE - HKU\S-1-5-21-1659004503-839522115-682003330-1003\..\SearchScopes\{369A8B8E-28E1-4344-AC43-6EDD91ECD56B}: "URL" = http://www.google.de/search?q={searchTerms} 

IE - HKU\S-1-5-21-1659004503-839522115-682003330-1003\..\SearchScopes\{E91F233F-51F6-40C1-9F8A-BBCD88AA5887}: "URL" = https://ixquick.com/do/metasearch.pl?query={searchTerms}&cat=web&pl=ie&language=deutsch 

IE - HKU\S-1-5-21-1659004503-839522115-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-1659004503-839522115-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 217.237.151.205:80 

FF - prefs.js..browser.search.order.1: "Search Results" 

FF - prefs.js..browser.search.selectedEngine: "Search Results" 

FF - prefs.js..browser.search.suggest.enabled: false 

FF - prefs.js..browser.search.update: false 

FF - prefs.js..browser.search.useDBForOrder: true 

FF - prefs.js..browser.startup.homepage: "https://ixquick.com" 

FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7Baf6daa63-c9e2-4407-9e42-08f09e868f8c%7D&mid=80e9c032affe47d0b82ad15426fa8621-04184dd4daa24c1847631862af8670565259b779&ds=ft011&v=10.2.0.3&lang=en&pr=sa&d=2012-03-29%2023%3A08%3A31&sap=ku&q=" 

FF - prefs.js..network.proxy.backup.ftp: "142.4.48.104" 

FF - prefs.js..network.proxy.backup.ftp_port: 80 

FF - prefs.js..network.proxy.backup.socks: "142.4.48.104" 

FF - prefs.js..network.proxy.backup.socks_port: 80 

FF - prefs.js..network.proxy.backup.ssl: "142.4.48.104" 

FF - prefs.js..network.proxy.backup.ssl_port: 80 

FF - prefs.js..network.proxy.ftp: "89.110.133.89" 

FF - prefs.js..network.proxy.ftp_port: 8080 

FF - prefs.js..network.proxy.http_port: 8080 

FF - prefs.js..network.proxy.share_proxy_settings: true 

FF - prefs.js..network.proxy.socks: "89.110.133.89" 

FF - prefs.js..network.proxy.socks_port: 8080 

FF - prefs.js..network.proxy.socks_version: 4 

FF - prefs.js..network.proxy.ssl: "89.110.133.89" 

FF - prefs.js..network.proxy.ssl_port: 8080 

FF - prefs.js..network.proxy.type: 0 

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found 

O2 - BHO: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found. 

O3 - HKLM\..\Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found. 

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. 

O4 - HKU\.DEFAULT..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 

O4 - HKU\S-1-5-18..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 

O4 - HKU\S-1-5-20..\Run: [ctfmon.EXE] C:\WINDOWS\system32\ctfmon.exe (Gerhard Schlager) 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-1659004503-839522115-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = B1 00 00 00 [binary data] 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Reg Error: Value error.) 

O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) 

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) 

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2012.03.22 23:27:12 | 000,000,130 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ] 

O32 - AutoRun File - [2008.03.28 02:57:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.000 -- [ FAT32 ] 

O33 - MountPoints2\{04d0193a-3807-11dd-ace1-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{04d0193a-3807-11dd-ace1-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{04d0193a-3807-11dd-ace1-001d601e6fd2}\Shell\AutoRun\command - "" = I:\AutoRun.exe 

O33 - MountPoints2\{26899750-0c19-11dd-acdd-001d601e6fd2}\Shell\AutoRun\command - "" = I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe 

O33 - MountPoints2\{27ce465a-6397-11e0-9a56-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{27ce465a-6397-11e0-9a56-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{27ce465a-6397-11e0-9a56-001d601e6fd2}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{a6a18c62-62d7-11df-98f7-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{a6a18c62-62d7-11df-98f7-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{a6a18c62-62d7-11df-98f7-001d601e6fd2}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{aeba6762-62d9-11df-98f9-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{aeba6762-62d9-11df-98f9-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{aeba6762-62d9-11df-98f9-001d601e6fd2}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{b96b9848-1abc-11e0-99f9-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{b96b9848-1abc-11e0-99f9-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{b96b9848-1abc-11e0-99f9-001d601e6fd2}\Shell\AutoRun\command - "" = E:\AutoRun.exe 

O33 - MountPoints2\{e7de50a0-4e11-11dd-95c1-001d601e6fd2}\Shell - "" = AutoRun 

O33 - MountPoints2\{e7de50a0-4e11-11dd-95c1-001d601e6fd2}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{e7de50a0-4e11-11dd-95c1-001d601e6fd2}\Shell\AutoRun\command - "" = I:\AutoRun.exe 

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

 

 

[2012.03.12 10:16:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess 

:Files
 
 

I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ipse32.exe
 

C:\WINDOWS\Tasks\videopadShakeIcon.job

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Ok hab ich gemacht

ich weis leider nicht wie man code tags hier erstellt daher kopier ich den inhalt des logfiles hier in den anhang :-( sorry

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Rechner läuft gut :-)

ja habe beides gemacht und wieder in den Anhang gepackt

ich habe nun von einem Bekanten erfahren das diese PUP.Blabbers sache eine gefährliche Malware ist aber es verschiedene variationen davon geben soll wissen sie etwas über PUP.Blabbers

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Ok hab ich gemacht ich habe es wieder in den anhang gepackt

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.