Bei mir jetzt auch: http://ad.adserverplus.com/ mit Firefox
 

Jetzt hat es mich wohl auch damit erwischt.
Habe jetzt mal OLT durch laufen lassen.
Habe mal die Log`s angehangen

Gruß hacki1

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Du bist seit mindestens Juli mit Malware infiziert!





Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
http://imageshack.us/a/img841/7292/thisisujrt.gif Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

Hallo M-K-D-B

Hatte leider erst gestern Abend spät deine Antwort hier gelesen.
So bin ich erst jetzt dazu gekommen damit anzufangen.
Danke das du mir helfen möchtest.
Anbei das ersten Logs`s:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 3.3.4 (11.19.2012)
OS: Windows 7 Home Premium x64
Ran by HERBERT on 20.11.2012 at 17:37:12,19
Blog: hxxp://thisisudax.blogspot.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\windows nt\currentversion\windows\\AppInit_DLLs



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Users\HERBERT\AppData\Roaming\dvdvideosoft"
Successfully deleted: [Folder] "C:\Users\HERBERT\AppData\Roaming\dvdvideosoftiehelpers"
Successfully deleted: [Folder] "C:\Program Files (x86)\Common Files\dvdvideosoft"
Successfully deleted: [Folder] "C:\Program Files (x86)\dvdvideosoft"



~~~ FireFox

Successfully deleted: [Folder] C:\Users\HERBERT\AppData\Roaming\Mozilla\Firefox\Profiles\ah4im7b7.default\extensions\{acaa314b-eeba-48e4-ad47-84e31c44796c}
Successfully deleted: [Folder] C:\Users\HERBERT\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 20.11.2012 at 17:43:43,00
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



mfg hacki1

Jetzt noch der Rest

gruß hacki1

Servus,




Schritt 1

• Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
• Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
• Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.





Schritt 3
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 4
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von DeFogger,
• die Logdatei von aswMBR.

Hallo M-K-D-B

Spybot Search&Destroy habe ich doch gar nicht installiert.
Ich hatte wohl mit meinem Virenscanner Probleme, der lies
sich nicht beenden. Habe ihn dann deinstalliert damit ich mit
deinen Programmen arbeiten konnte. Was nun?
Weiter mit Schritt 2 deines letzen Post?

Gruß hacki1

Servus,



OTL und ich sehen das anders:
Wir wollen doch immer schön bei der Wahrheit bleiben. :zunge:



Führe alle Schritte wie beschrieben aus und poste die Logdateien.

Hallo

Ich bin immer bei der Wahrheit:-)
Ich hatte das Programm mal drauf.
Ich finde es auch nicht unter Programme oder über Windowssuche
deswegen kann ich es auch nicht starten und so einstellen wie du es möchtest.
Ich werde mich jetzt mal auf die Suche machen....

Gruß hacki1

Servus,


melde dich an einem anderen Benutzerkonto an und versuchs dort.

Solltest du es nicht finden, so fahre mit den anderen Schritten fort. ;)

Hallo

ich hatte jetzt über den Explorer sowie Software deinstallieren sowie
Ordner Programme, Programmdata und ProgrammX86 usw gesucht aber
alles negativ. Einen anderen Benutzer habe ich nicht, soll ich jetzt einen
anlegen oder Schritt 2?

mfg hacki1

Servus,


weiter geht es mit Schritt 2. ;)

Soooooo

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-16 09:21:37
-----------------------------
09:21:37.653 OS Version: Windows x64 6.1.7601 Service Pack 1
09:21:37.653 Number of processors: 4 586 0x2505
09:21:37.653 ComputerName: TOSHIBA UserName: HERBERT
09:21:38.393 Initialize success
09:21:38.533 AVAST engine defs: 12111501
09:21:58.859 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
09:21:58.859 Disk 0 Vendor: TOSHIBA_ GH10 Size: 305245MB BusType: 3
09:21:58.890 Disk 0 MBR read successfully
09:21:58.890 Disk 0 MBR scan
09:21:58.890 Disk 0 Windows 7 default MBR code
09:21:58.906 Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS 400 MB offset 2048
09:21:58.921 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152622 MB offset 821248
09:21:58.952 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 152222 MB offset 313391104
09:21:58.984 Disk 0 scanning C:\Windows\system32\drivers
09:22:09.582 Service scanning
09:22:55.919 Modules scanning
09:22:55.919 Disk 0 trace - called modules:
09:22:55.949 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
09:22:55.949 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80082fa060]
09:22:55.949 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800626c050]
09:22:55.949 Scan finished successfully
09:25:39.371 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
09:25:39.381 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-21 17:04:21
-----------------------------
17:04:21.705 OS Version: Windows x64 6.1.7601 Service Pack 1
17:04:21.705 Number of processors: 4 586 0x2505
17:04:21.706 ComputerName: TOSHIBA UserName: HERBERT
17:04:22.578 Initialize success
17:05:02.174 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:05:02.178 Disk 0 Vendor: TOSHIBA_ GH10 Size: 305245MB BusType: 3
17:05:02.215 Disk 0 MBR read successfully
17:05:02.220 Disk 0 MBR scan
17:05:02.224 Disk 0 Windows 7 default MBR code
17:05:02.235 Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS 400 MB offset 2048
17:05:02.248 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152622 MB offset 821248
17:05:02.276 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 152222 MB offset 313391104
17:05:02.303 Disk 0 scanning C:\Windows\system32\drivers
17:05:11.258 Service scanning
17:05:50.511 Modules scanning
17:05:50.524 Disk 0 trace - called modules:
17:05:50.571 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
17:05:50.579 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800831a060]
17:05:50.589 3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800629b050]
17:05:50.597 Scan finished successfully
17:07:57.327 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:07:57.336 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-21 17:04:21
-----------------------------
17:04:21.705 OS Version: Windows x64 6.1.7601 Service Pack 1
17:04:21.705 Number of processors: 4 586 0x2505
17:04:21.706 ComputerName: TOSHIBA UserName: HERBERT
17:04:22.578 Initialize success
17:05:02.174 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:05:02.178 Disk 0 Vendor: TOSHIBA_ GH10 Size: 305245MB BusType: 3
17:05:02.215 Disk 0 MBR read successfully
17:05:02.220 Disk 0 MBR scan
17:05:02.224 Disk 0 Windows 7 default MBR code
17:05:02.235 Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS 400 MB offset 2048
17:05:02.248 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152622 MB offset 821248
17:05:02.276 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 152222 MB offset 313391104
17:05:02.303 Disk 0 scanning C:\Windows\system32\drivers
17:05:11.258 Service scanning
17:05:50.511 Modules scanning
17:05:50.524 Disk 0 trace - called modules:
17:05:50.571 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
17:05:50.579 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800831a060]
17:05:50.589 3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800629b050]
17:05:50.597 Scan finished successfully
17:07:57.327 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:07:57.336 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"
17:09:19.391 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:09:19.399 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-21 17:04:21
-----------------------------
17:04:21.705 OS Version: Windows x64 6.1.7601 Service Pack 1
17:04:21.705 Number of processors: 4 586 0x2505
17:04:21.706 ComputerName: TOSHIBA UserName: HERBERT
17:04:22.578 Initialize success
17:05:02.174 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:05:02.178 Disk 0 Vendor: TOSHIBA_ GH10 Size: 305245MB BusType: 3
17:05:02.215 Disk 0 MBR read successfully
17:05:02.220 Disk 0 MBR scan
17:05:02.224 Disk 0 Windows 7 default MBR code
17:05:02.235 Disk 0 Partition 1 80 (A) 27 Hidden NTFS WinRE NTFS 400 MB offset 2048
17:05:02.248 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152622 MB offset 821248
17:05:02.276 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 152222 MB offset 313391104
17:05:02.303 Disk 0 scanning C:\Windows\system32\drivers
17:05:11.258 Service scanning
17:05:50.511 Modules scanning
17:05:50.524 Disk 0 trace - called modules:
17:05:50.571 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
17:05:50.579 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800831a060]
17:05:50.589 3 CLASSPNP.SYS[fffff88001a5143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800629b050]
17:05:50.597 Scan finished successfully
17:07:57.327 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:07:57.336 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"
17:09:19.391 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:09:19.399 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"
17:09:35.884 Disk 0 MBR has been saved successfully to "C:\Users\HERBERT\Desktop\MBR.dat"
17:09:35.893 The log file has been saved successfully to "C:\Users\HERBERT\Desktop\aswMBR.txt"##

ich will hoffen ich habe alles richtig gemacht und nichts vergessen.

Gruß hacki1

Servus,



Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Gibt es noch Probleme mit ad.adserverplus.com in Firefox?





Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die Logdatei des neuen OTL-Scans,
• die Beantwortung der gestellten Frage.

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}\ not found.
C:\Users\HERBERT\AppData\Roaming\13001.021\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.021 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\searchplugin folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\META-INF folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\lib folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\defaults folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\chrome folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}\META-INF folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}\defaults\preferences folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}\defaults folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}\chrome folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\ffxtlbr@Facemoods.com\defaults\preferences folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\ffxtlbr@Facemoods.com\defaults folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\ffxtlbr@Facemoods.com\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\mozilla\Firefox\Profiles\k2runx1p.default\extensions\ffxtlbr@Facemoods.com folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ not found.
ADS C:\ProgramData\TEMP:CB0AACC9 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData
->Temp folder emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56478 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Familie
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6002861 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 51361251 bytes
->Flash cache emptied: 58787 bytes

User: HERBERT
->Temp folder emptied: 159191501 bytes
->Temporary Internet Files folder emptied: 6504306 bytes
->Java cache emptied: 2496237 bytes
->FireFox cache emptied: 97898716 bytes
->Google Chrome cache emptied: 101450609 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 144143 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 34444 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes
RecycleBin emptied: 265778 bytes

Total Files Cleaned = 406,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11212012_174945

Files\Folders moved on Reboot...
C:\Users\HERBERT\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\HERBERT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Windows\temp\vmware-SYSTEM-1240572900\vmware-usbarb-SYSTEM-2152.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


weiter gehts................

So nun noch das zweite...
Firefox werde ich jetzt testen..

Gruß hacki1

Hallo

Firefox läuft nicht mehr rund.
Ich bekomme zwar kein adserverplus.com mehr dafür
reagiert er fast nicht mehr. Muss ihn immer wieder beenden.
Bin zZ mit Chrome drinne da habe ich keine Probleme mit.
Wäre aber kein Problem für mich.

Gruß hacki1

Servus,


ich seh da noch Malware. Die löschen wir erst mal:

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Wie läuft Firefox?

OK, mach ich.
Wie gesagt; sche..e
bleibt immer wieder hängen.

gruß hacki1

Bitte schön:

Gruß hacki1

Servus,


lies dir meine letzte Anleitung nochmal durch und führe genau das aus, was ich schreibe.
Von einem Scan habe ich nichts geschrieben... manchmal frage ich mich, ob die Anleitungen auch richitg gelesen werden... :wtf:

Ja ja ich werde langsam alt.....

All processes killed
========== OTL ==========
C:\Users\HERBERT\AppData\Roaming\13001.016\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.016 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.017\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.017 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.018\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.018 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.019\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.019 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.020\components folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\13001.020 folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\kock folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\UAs folder moved successfully.
C:\Users\HERBERT\AppData\Roaming\xmldm folder moved successfully.
C:\Users\HERBERT\AppData\Local\tokensall.dat moved successfully.
C:\Users\HERBERT\AppData\Local\regall.reg moved successfully.
C:\Users\HERBERT\AppData\Local\ospp.vbs moved successfully.
C:\Users\HERBERT\AppData\Local\slerror.xml moved successfully.
C:\Users\HERBERT\AppData\Local\service.inf moved successfully.
C:\Users\HERBERT\AppData\Local\hs_message.vbs moved successfully.
C:\Users\HERBERT\AppData\Local\DisableService.reg moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: AppData
->Temp folder emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Familie
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: HERBERT
->Temp folder emptied: 12764 bytes
->Temporary Internet Files folder emptied: 1020094 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 6495928 bytes
->Google Chrome cache emptied: 38384073 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 857 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13605 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 44,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11222012_183405

Files\Folders moved on Reboot...
C:\Users\HERBERT\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2204.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


mfg hacki1

Servus,


wie läuft Firefox derzeit?
Kommt noch Werbung?

Hallo M-K-D-B

Danke erst mal für deine geduldige Hilfe!
Firefox läuft nicht mehr vernünftig.Keine Ahnung warum.
Spätestens nach 1-2 Min reagiert er nicht mehr und man
kann ihn nur noch beenden. Wie gesagt bin ich zZ mit Chrome
unterwegs.

Gruß hacki1

Hallo M-K-D-B

Bin ich jetzt clean?
Umstieg auf Chrome ist mir egal, ist auch nicht schlecht.
Eventuell liegt es bei Firefox an einer Erweiterung?

Gruß hacki1

Servus,


wir werden jetzt Firefox zurücksetzen:

Starte Firefox
Klicke auf Firefox > Hilfe > Informationen zur Fehlerbehebung
Klicke auf Firefox zurücksetzen
Klicke abschließend auf Fertigstellen
Bebilderte Anleitung


Bitte berichte mir, ob Firefox nun wieder ordnungsgemäß läuft.

Du bist mein Held!
Super, der rennt jetzt schon fast 1 1/2 Stunden
ohne Probleme. Du hast echt was drauf. Danke dir.

Gruß hacki1

Servus,


freut mich, dass ich helfen konnte. :)


Es folgen noch ein paar Kontrollsuchläufe:





Schritt 1

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Hallo M-K-D-B

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.24.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
HERBERT :: TOSHIBA [Administrator]

24.11.2012 16:58:49
mbam-log-2012-11-24 (16-58-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 239881
Laufzeit: 5 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

sieht doch gut aus, mache jetzt weiter

mfg hacki1

Servus,


ok gut. :)

Und weiter gehts. ;)

Ich muss noch wech, bin noch Eingeladen.
Dann muss ich Morgen weiter machen.

Gruß hacki1

Servus,



dann bis morgen. :)

So ich bin zurück, aber das Proggie läuft eh noch.
5:00 ist für mich Tag. Ich melde mich morgen abend.

mfg hacki1

Servus,


alles klar. :)

Hallo

Endlich Feierabend, Rechner ist auch fertig.
Schritt:2

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=05eb77388278364ba6286abfeb53c4ff
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-25 05:52:53
# local_time=2012-11-25 06:52:53 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 342310 342310 0 0
# compatibility_mode=5893 16776574 100 94 351117 105404185 0 0
# compatibility_mode=7937 16777214 0 25 4828753 4828753 0 0
# compatibility_mode=8192 67108863 100 0 4000 4000 0 0
# scanned=271272
# found=13
# cleaned=0
# scan_time=48438
C:\Users\HERBERT\Downloads\Brothersoft_downloader_For_Free_Music_Zilla.exe a variant of Win32/BSDownloader application (unable to clean) 00000000000000000000000000000000 I
C:\Users\HERBERT\Downloads\SoftonicDownloader79531.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\HERBERT\Downloads\SoftonicDownloader_fuer_firefox-preloader.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\HERBERT\Downloads\SoftonicDownloader_fuer_photoscape.exe a variant of Win32/SoftonicDownloader.E application (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\DownloadamsPu\360Amigo System SpeedUp Pro 1.2.1.6600\360amigoprosetup.exe probably a variant of Win32/360Amigo application (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\The Best Ever Collection Hack Tools\Security\PestPatrol v3.2.zip probably unknown NewHeur_PE virus (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\The Best Ever Collection Hack Tools\Toolz\Mail Bomb\MiSoSKiaN's Fake Mail.zip Win32/Spammer.FakeMail virus (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\The Best Ever Collection Hack Tools\Toolz\Ping & Nukes\F-ed Up v2.0.zip Win32/DoS.Fedup.20 trojan (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\The Best Ever Collection Hack Tools\Toolz\Port & IP Scaner\SuperScan v2.06.zip probably a variant of Win32/Agent.GEPBUSC trojan (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\W7_HACKS_2010-11-13-PLZ\BIOS SLIC 2.1\PubKeyCompare 1.0.0.5\PubKeyCompare.exe a variant of Win32/Packed.ExeScript.B trojan (unable to clean) 00000000000000000000000000000000 I
D:\Downloadordner von C\W7_HACKS_2010-11-13-PLZ\Loader\WOAT Tool 2.0 - The Official Windows 7 OEM-KMS Activation Tool by DARKOR04\WOAT v2.0.exe a variant of Win32/HackKMS.A application (unable to clean) 00000000000000000000000000000000 I
D:\grünerStick\SoftonicDownloader_fuer_windows-easytransfer-fur-die-ubertragung-von-windows-vista-nach-windows-7.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
D:\office2013 mit activator\usenet - piraten - Microsoft Office Professional P\KMSmicro.v3.10\KMSmicro v3.10\MDL-forum\Activation Helpers\Emulator KMS\KMS ZWT.exe a variant of Win32/HackKMS.A application (unable to clean) 00000000000000000000000000000000 I

mfg hacki1

Servus,



Aus deinem Logfile:
Bitte lesen: Cracks, Keygens und andere illegale Software

Dateien, wie crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.

Außerdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten.

Damit ist das Thema beendet.

Da hast du recht.
Anderereseits versuche ich zum beispiel zz den laptop
meiner Tochter neu auf zu setzen. Laptop ehmals mit Vista
ausgeliefert und offiziellen Win7 Upgrade war einem Festplattenschaden
zum Opfer gefallen. ok neue Platte, mit Originaler Vista nei installiert, versucht
Win7 update zu machen, fehlermeldung geht nur auf Vista mit SP1, ok gemacht,
danach auf Win7 Update und regristriert alles ok nur es ist nicht möglich das Win7
SP1 aufzuspielen oder ein update zu machen. Und so brauch ich den Rechner nicht
ins Netz zu lassen. Entweder ich muss mir hier ein anders Win7 zu neuinstallation
kaufen oder man wird zur illigalität gezwungen. Die Fehlerhilfen bei Microsoft kann man
knicken habe ich alles schon probiert.
Egal, danke trotzdem für deine hilfe

Gruß hacki1