Firefox lahmt - Malwarebytes hat 'PUP.Adware.InstallCore' gefunden
 

Hallo Trojanerboard Team,

nachdem

mein Laptop: XP --> Firefox 20.0

seit gestern extrem lahmt (CPU Auslastung teilweise bis 98%) habe ich mich auf die Suche gemacht woran's liegen könnte und bin
auf Euer Board gestossen. Nachdem ich 2012 auch schon mal Trojanerstress hatte wende
ich mich von daher gerne wieder an Euch.

Via Malwarebytes hat sich der PUP.Adware.InstallCore gefunden.

Hier die Malwarebytes Logdatei:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.05.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: PC-CD1CD0FB3369 [Administrator]

07.04.2013 16:37:37
MBAM-log-2013-04-07 (19-44-32).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 207608
Laufzeit: 24 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\PC\Eigene Dateien\Downloads\PDFCreatorSetup.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

(Ende)

---

Den Trojaner Fund habe ich nach dem Scan dann gelöscht.

Mache dann jetzt mit defogger etc. weiter und poste dann die nächsten Ergebnisse.

Vielen Dank für Eure Unterstützung schon mal im Voraus.

Viele Grüße
mkdt

Hallo,

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hallo Cosinus,

hier die Ergebnisse der OTL scans:
OTL Logfile:
--- --- ---

---
OTL Extras logfile created on: 09.04.2013 19:21:10 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\PC\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,50 Gb Total Physical Memory | 0,35 Gb Available Physical Memory | 23,41% Memory free
2,32 Gb Paging File | 0,56 Gb Available in Paging File | 24,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,13 Gb Total Space | 55,77 Gb Free Space | 71,38% Space Free | Partition Type: NTFS
Drive D: | 29,29 Gb Total Space | 25,85 Gb Free Space | 88,23% Space Free | Partition Type: NTFS
Drive E: | 41,62 Gb Total Space | 26,69 Gb Free Space | 64,13% Space Free | Partition Type: NTFS

Computer Name: PC-CD1CD0FB3369 | User Name: PC | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\Opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Betrachten mit XnView] -- "D:\XnView\xnview.exe" "%1" (XnView, hxxp://www.xnview.com)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4481:TCP" = 4481:TCP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync data transfer
"4481:UDP" = 4481:UDP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync discovery
"4482:TCP" = 4482:TCP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync data transfer
"4482:UDP" = 4482:UDP:LocalSubNet:Enabled:BlackBerry Desktop Software Wireless Music Sync discovery

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\AVG\AVG2012\avgmfapx.exe" = C:\Programme\AVG\AVG2012\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm
"C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\Programme\Microsoft Office\Office14\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office14\ONENOTE.EXE:*:Enabled:Microsoft OneNote -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office14\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\Programme\Research In Motion\BlackBerry Desktop\Rim.Desktop.exe" = C:\Programme\Research In Motion\BlackBerry Desktop\Rim.Desktop.exe:*:Enabled:BlackBerry Desktop Software -- (Research In Motion)
"C:\Programme\AVG\AVG2013\avgmfapx.exe" = C:\Programme\AVG\AVG2013\avgmfapx.exe:*:Enabled:AVG-Installationsprogramm -- (AVG Technologies CZ, s.r.o.)
"C:\Programme\AVG\AVG2013\avgnsx.exe" = C:\Programme\AVG\AVG2013\avgnsx.exe:*:Enabled:Online Shield -- (AVG Technologies CZ, s.r.o.)
"C:\Programme\AVG\AVG2013\avgdiagex.exe" = C:\Programme\AVG\AVG2013\avgdiagex.exe:*:Enabled:AVG-Diagnose 2013 -- (AVG Technologies CZ, s.r.o.)
"C:\Programme\AVG\AVG2013\avgemcx.exe" = C:\Programme\AVG\AVG2013\avgemcx.exe:*:Enabled:Personal E-Mail-Scanner -- (AVG Technologies CZ, s.r.o.)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{10479E5C-2EC2-4A70-A816-4B0FF3D90FCD}_is1" = 3D Ebook Cover 2.0.0
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{143FB15C-0C48-41E3-9C30-F56FB69BF3D7}" = Canon CanoScan Toolbox 4.5
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'ThinkPad-Tastaturanpassung'
"{230CCBE9-14B0-4008-97AF-30C10F99E42C}" = ArcSoft PhotoStudio 5.5
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83217011FF}" = Java 7 Update 11
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D316CFB-1825-4030-A13A-29D18DC6B177}" = OfficeSharedAddInSetup
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{48A5AB54-6327-43DC-A376-4AC74C5D40B0}" = AVG 2013
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{51C28E71-663C-43D0-ACED-F851DB707BDB}" = BlackBerry App World Browser Plugin
"{67D7BC74-E8DF-4811-9B41-6023A8C9BB3F}" = Intel(R) Sebring API
"{6D12EC75-E7D3-4EAD-AB10-E1F3AFF94AA6}" = AVG 2012
"{7735BD50-87C5-4838-A276-4A3621BBD306}" = AVG 2013
"{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}" = OmniPage SE 2.0
"{7A3E6E1C-CF5A-4CE9-B8D6-A2F9B7BA18FC}" = BlackBerry Desktop Software 7.1
"{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}" = ThinkPad-UltraNav-Assistent
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.03
"{8990CF47-8B04-4CCE-89E2-A9241DB27E3B}" = AVG 2013
"{90140000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 14
"{90140000-0010-0409-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (English) 14
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0C0A-0000-0000000FF1CE}" = Microsoft Office Proof (Spanish) 2010
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0409-0000-0000000FF1CE}" = Microsoft Office Proofing (English) 2010
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0409-0000-0000000FF1CE}" = Microsoft Office Shared MUI (English) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00B4-0409-0000-0000000FF1CE}" = Microsoft Office Project MUI (English) 2010
"{90140000-0115-0409-0000-0000000FF1CE}" = Microsoft Office Shared Setup Metadata MUI (English) 2010
"{91140000-003B-0000-0000-0000000FF1CE}" = Microsoft Office Project Professional 2010
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"7-Zip" = 7-Zip 9.20
"ABC Amber BlackBerry Converter" = ABC Amber BlackBerry Converter
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.17
"ATI Display Driver" = ATI Display Driver
"AVG" = AVG 2013
"AVG Secure Search" = AVG Security Toolbar
"BlackBerry_Desktop" = BlackBerry Desktop Software 7.1
"Box Shot 3D" = Box Shot 3D
"Creative PD0630" = Creative WebCam Live! Driver (1.00.06.0414)
"ElsterFormular 13.1.1.8531p" = ElsterFormular
"ElsterFormular 13.1.1.8531u" = ElsterFormular
"ePub Maker_is1" = ePub Maker version 1.3
"Foxit Reader_is1" = Foxit Reader 5.1
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.16
"FreePDF_XP" = FreePDF (Remove only)
"Get Yahoo! Messenger" = Yahoo! Messenger laden
"GPL Ghostscript 9.04" = GPL Ghostscript
"GPL Ghostscript 9.05" = GPL Ghostscript
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"MiPony" = MiPony 2.0.2
"Mobile Partner" = Mobile Partner
"Mozilla Firefox 20.0 (x86 de)" = Mozilla Firefox 20.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Newsletter Software SuperMailer_is1" = SuperMailer 6.10
"Nvu_is1" = Nvu 1.0
"Office14.PRJPROR" = Microsoft Project Professional 2010
"Office14.SingleImage" = Microsoft Office Home and Student 2010
"Opera 11.62.1347" = Opera 11.62
"Power Management Driver" = IBM ThinkPad Power Management Driver
"PROSet" = Intel(R) PRO Network Connections Drivers
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Scribus 1.4.1" = Scribus 1.4.1
"Smart PDF Converter_is1" = Smart PDF Converter 6.3.0.467
"SynTPDeinstKey" = IBM ThinkPad UltraNav Driver
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"VLC media player" = VLC media player 1.1.11
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"XMind" = XMind
"XnView_is1" = XnView 1.98.8

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"Dropbox" = Dropbox
"DSite" = Update for Mipony Download Manager
"GoToMeeting" = GoToMeeting 5.3.0.1010

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 03.04.2013 04:16:41 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3388) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x02550320 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x0000077C

Error - 04.04.2013 02:40:33 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3776) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x02550320 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000ECC

Error - 05.04.2013 03:24:53 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (2976) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x02550320 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000BA4

Error - 07.04.2013 03:54:25 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3448) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x025503C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000D7C

Error - 07.04.2013 03:55:29 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3448) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x025503C0 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000D7C

Error - 07.04.2013 03:56:56 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3448) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange
andauernde Transaktion: Sitzungs-ID: 0x02550320 Sitzungskontext: 0x00000000 Thread-ID
des Sitzungskontextes: 0x00000D7C

Error - 08.04.2013 01:15:06 | Computer Name = PC-CD1CD0FB3369 | Source = ESENT | ID = 623
Description = wuaueng.dll (3184) SUS20ClientDataStore: Der Versionsspeicher für
Instanz 0 hat seine maximale Größe von 8 MB erreicht. Wahrscheinlich verhindert
eine lange andauernde Transaktion die Bereinigung des Versionsspeichers und vergrößert
ihn. Aktualisierungen werden zurückgewiesen, bis für die betreffende Transaktion
ein vollständiger Commit- oder Rollbackvorgang durchgeführt wurde. Mögliche lange


---
Beste Grüße
mkdt

OTL die 2.te

Hallo Cosinus,

kurz nachdem ich die OTL scans gerade geschickt hatte, habe ich gesehen, dass bei dem OTL Extra Log
wohl irgend etwas am Ende fehlt. Da ich die logs direkt geschlossen hatte, und nicht direkt erkennen kann, wo ich sie finde (Tomaten auf den Augen ??) hab ich den OTL noch mal laufen lassen. Hier die Ergebnisse:OTL Logfile:
--- --- ---
---OTL Logfile:
--- --- ---
---

Beste Grüße
mkdt

Warum hast du eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?

den Laptop habe ich gebraucht gekauft, da war die XP Porfessional SW drauf.
Wäre die Frage damit geklärt?

Beste Grüße

mkdt

Ok, dann sollte auch hoffentlich ein Lizenzaufkleber unten auf dem Notebook angebracht sein. Kannst ja nochmal bei Gelegenheit überprüfen

Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!




Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Cosinus,

wg. Betriebssystem: ja der Aufkleber befindet sich unter dem Notebook.

Gmer:
Gmer.txt ist angehängt.

Malwarebytes:
Habe die Scans laufen lassen. Dazu folgendes:
Malwarebytes wird bei mir in deutscher Sprache angezeigt. Sprich nach dem Scan habe ich
statt dem CleanUp Button: die Möglichkeit 'Entferne Auswahl' zu klicke. Das habe ich gemacht. Auswahl wird entfernt und ein Logfile erstellt. Allerdings wird NICHT zum Neustart aufgefordert. Das habe ich dann händisch gemacht. Zwei erneute Scan Prozesse bringen den gleichen Trojaner wieder als Fund. Was soll ich nun tun?

Hier dazu mal einen snapshot vom letzten Scan als Datei angehängt sowie die erste und letzte Logdatei :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.12.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: PC-CD1CD0FB3369 [Administrator]

12.04.2013 14:18:24
mbam-log-2013-04-12 (14-18-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208194
Laufzeit: 28 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\PC\Eigene Dateien\Downloads\PDFCreatorSetup.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

(Ende)

---

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.12.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: PC-CD1CD0FB3369 [Administrator]

12.04.2013 15:33:12
mbam-log-2013-04-12 (15-33-12).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208157
Laufzeit: 14 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\PC\Eigene Dateien\Downloads\PDFCreatorSetup.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.

(Ende)

---

Beste Grüße
mkdt

... hier noch den snapshot vom letzten Malwarebytes scan wie im vorigen Post erwähnt.

Beste Grüße
mkdt

Hm, bitte lies meinen Beitrag nochmal. Es ging um Malwarebytes-Anti-Rootkit, nicht das MBAM was du gepostet hast :)

... mhhh ... kaum macht man's richtig, schon funktionierts ...

hier also das Logfile vom Malwarebytes-Anti-Rootkit:

---
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.13.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: PC-CD1CD0FB3369 [administrator]

14.04.2013 15:53:20
mbar-log-2013-04-14 (15-53-20).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 25642
Time elapsed: 51 minute(s), 49 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
---

Beste Grüße
mkdt

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Hallo Cosinus,

also die ERgebnisse von aswMBR:

---

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-17 13:41:26
-----------------------------
13:41:26.653 OS Version: Windows 5.1.2600 Service Pack 3
13:41:26.653 Number of processors: 1 586 0x905
13:41:26.653 ComputerName: PC-CD1CD0FB3369 UserName: PC
13:41:28.646 Initialize success
13:49:23.459 AVAST engine defs: 13041700
13:50:16.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
13:50:16.515 Disk 0 Vendor: SAMSUNG_HM160HC LQ100-10 Size: 152627MB BusType: 3
13:50:16.956 Disk 0 MBR read successfully
13:50:16.956 Disk 0 MBR scan
13:50:22.254 Disk 0 Windows XP default MBR code
13:50:22.284 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 80007 MB offset 63
13:50:24.196 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 29996 MB offset 163855440
13:50:24.277 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 42620 MB offset 225288000
13:50:24.377 Disk 0 scanning sectors +312575760
13:50:25.008 Disk 0 scanning C:\WINDOWS\system32\drivers
13:51:10.914 Service scanning
13:52:19.372 Modules scanning
13:52:33.072 Disk 0 trace - called modules:
13:52:33.112 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
13:52:33.112 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x898adab8]
13:52:33.112 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000083[0x8987d190]
13:52:33.112 5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89852940]
13:52:34.023 AVAST engine scan C:\WINDOWS
13:53:04.707 AVAST engine scan C:\WINDOWS\system32
14:02:13.516 AVAST engine scan C:\WINDOWS\system32\drivers
14:02:55.266 AVAST engine scan C:\Dokumente und Einstellungen\PC
14:20:35.150 AVAST engine scan C:\Dokumente und Einstellungen\All Users
14:24:25.582 Scan finished successfully
14:56:56.237 Disk 0 MBR has been saved successfully to "E:\lX. HW SW\Virus etc\MBR.dat"
14:56:56.237 The log file has been saved successfully to "E:\lX. HW SW\Virus etc\aswMBR.txt"

---

und hier die Ergebnisse vom TDSSKiller

---

15:06:33.0707 0644 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
15:06:34.0078 0644 ============================================================
15:06:34.0078 0644 Current date / time: 2013/04/17 15:06:34.0078
15:06:34.0098 0644 SystemInfo:
15:06:34.0098 0644
15:06:34.0098 0644 OS Version: 5.1.2600 ServicePack: 3.0
15:06:34.0098 0644 Product type: Workstation
15:06:34.0098 0644 ComputerName: PC-CD1CD0FB3369
15:06:34.0098 0644 UserName: PC
15:06:34.0118 0644 Windows directory: C:\WINDOWS
15:06:34.0118 0644 System windows directory: C:\WINDOWS
15:06:34.0118 0644 Processor architecture: Intel x86
15:06:34.0118 0644 Number of processors: 1
15:06:34.0118 0644 Page size: 0x1000
15:06:34.0118 0644 Boot type: Normal boot
15:06:34.0138 0644 ============================================================
15:06:37.0923 0644 Drive \Device\Harddisk0\DR0 - Size: 0x25433D6000 (149.05 Gb), SectorSize: 0x200, Cylinders: 0x50C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xF0, Type 'K0', Flags 0x00000054
15:06:37.0923 0644 ============================================================
15:06:37.0923 0644 \Device\Harddisk0\DR0:
15:06:37.0923 0644 MBR partitions:
15:06:37.0923 0644 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x9C43C11
15:06:37.0923 0644 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x9C43C50, BlocksNum 0x3A962F0
15:06:37.0923 0644 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0xD6D9F40, BlocksNum 0x533E7D0
15:06:37.0923 0644 ============================================================
15:06:37.0953 0644 C: <-> \Device\Harddisk0\DR0\Partition1
15:06:38.0003 0644 D: <-> \Device\Harddisk0\DR0\Partition2
15:06:38.0093 0644 E: <-> \Device\Harddisk0\DR0\Partition3
15:06:38.0093 0644 ============================================================
15:06:38.0103 0644 Initialize success
15:06:38.0103 0644 ============================================================
15:06:54.0347 4000 ============================================================
15:06:54.0347 4000 Scan started
15:06:54.0347 4000 Mode: Manual;
15:06:54.0347 4000 ============================================================
15:06:56.0570 4000 ================ Scan system memory ========================
15:06:56.0570 4000 System memory - ok
15:06:56.0580 4000 ================ Scan services =============================
15:06:57.0051 4000 Abiosdsk - ok
15:06:57.0081 4000 abp480n5 - ok
15:06:57.0131 4000 [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:06:57.0171 4000 ACPI - ok
15:06:57.0221 4000 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
15:06:57.0221 4000 ACPIEC - ok
15:06:57.0291 4000 [ EA856F4A46320389D1899B2CAA7BF40F ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
15:06:57.0301 4000 AdobeFlashPlayerUpdateSvc - ok
15:06:57.0311 4000 adpu160m - ok
15:06:57.0371 4000 [ 9F59AE2DE835641FBB0C6AFD80D8FA9B ] aeaudio C:\WINDOWS\system32\drivers\aeaudio.sys
15:06:57.0371 4000 aeaudio - ok
15:06:57.0401 4000 [ 8BED39E3C35D6A489438B8141717A557 ] aec C:\WINDOWS\system32\drivers\aec.sys
15:06:57.0411 4000 aec - ok
15:06:57.0461 4000 [ 2C5C22990156A1063E19AD162191DC1D ] AegisP C:\WINDOWS\system32\DRIVERS\AegisP.sys
15:06:57.0461 4000 AegisP - ok
15:06:57.0511 4000 [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD C:\WINDOWS\System32\drivers\afd.sys
15:06:57.0521 4000 AFD - ok
15:06:57.0581 4000 [ AFF071B6290776E1FA162837C35EAC78 ] AgereSoftModem C:\WINDOWS\system32\DRIVERS\AGRSM.sys
15:06:57.0611 4000 AgereSoftModem - ok
15:06:57.0641 4000 [ 08FD04AA961BDC77FB983F328334E3D7 ] agp440 C:\WINDOWS\system32\DRIVERS\agp440.sys
15:06:57.0641 4000 agp440 - ok
15:06:57.0661 4000 Aha154x - ok
15:06:57.0672 4000 aic78u2 - ok
15:06:57.0692 4000 aic78xx - ok
15:06:57.0732 4000 [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter C:\WINDOWS\system32\alrsvc.dll
15:06:57.0732 4000 Alerter - ok
15:06:57.0772 4000 [ 190CD73D4984F94D823F9444980513E5 ] ALG C:\WINDOWS\System32\alg.exe
15:06:57.0772 4000 ALG - ok
15:06:57.0792 4000 AliIde - ok
15:06:57.0812 4000 amsint - ok
15:06:57.0842 4000 [ D45960BE52C3C610D361977057F98C54 ] AppMgmt C:\WINDOWS\System32\appmgmts.dll
15:06:57.0852 4000 AppMgmt - ok
15:06:57.0862 4000 asc - ok
15:06:57.0882 4000 asc3350p - ok
15:06:57.0892 4000 asc3550 - ok
15:06:58.0002 4000 [ 776ACEFA0CA9DF0FAA51A5FB2F435705 ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
15:06:58.0012 4000 aspnet_state - ok
15:06:58.0052 4000 [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
15:06:58.0052 4000 AsyncMac - ok
15:06:58.0072 4000 [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
15:06:58.0072 4000 atapi - ok
15:06:58.0092 4000 Atdisk - ok
15:06:58.0162 4000 [ 6633CBF0D658440F0962D90E5BD20DDE ] Ati HotKey Poller C:\WINDOWS\system32\Ati2evxx.exe
15:06:58.0172 4000 Ati HotKey Poller - ok
15:06:58.0232 4000 [ 2FBDFEC8CD60CEC3D55E615865333033 ] ati2mtag C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
15:06:58.0262 4000 ati2mtag - ok
15:06:58.0312 4000 [ 9916C1225104BA14794209CFA8012159 ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
15:06:58.0312 4000 Atmarpc - ok
15:06:58.0352 4000 [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
15:06:58.0352 4000 AudioSrv - ok
15:06:58.0403 4000 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
15:06:58.0403 4000 audstub - ok
15:06:58.0703 4000 [ 0D8244A9DB70BC6C36E2FB56F6039AB6 ] AVGIDSAgent C:\Programme\AVG\AVG2013\avgidsagent.exe
15:06:58.0873 4000 AVGIDSAgent - ok
15:06:58.0933 4000 [ 1A2213B7D94944861449CB07BF2D099E ] AVGIDSDriver C:\WINDOWS\system32\DRIVERS\avgidsdriverx.sys
15:06:58.0933 4000 AVGIDSDriver - ok
15:06:58.0963 4000 [ B0DEF92F4E1E6B9242E6C8FAB82703F7 ] AVGIDSHX C:\WINDOWS\system32\DRIVERS\avgidshx.sys
15:06:58.0973 4000 AVGIDSHX - ok
15:06:58.0993 4000 [ A426B2DC795531D99E2EE1952AEC051A ] AVGIDSShim C:\WINDOWS\system32\DRIVERS\avgidsshimx.sys
15:06:59.0013 4000 AVGIDSShim - ok
15:06:59.0053 4000 [ 08FA13787D77A75DC413E27FD92B44E8 ] Avgldx86 C:\WINDOWS\system32\DRIVERS\avgldx86.sys
15:06:59.0064 4000 Avgldx86 - ok
15:06:59.0114 4000 [ 3E587EE55C70E6DB78A98D7121D3052E ] Avglogx C:\WINDOWS\system32\DRIVERS\avglogx.sys
15:06:59.0134 4000 Avglogx - ok
15:06:59.0154 4000 [ 5AC56B2CF8EE751796C5A8FC5C631B66 ] Avgmfx86 C:\WINDOWS\system32\DRIVERS\avgmfx86.sys
15:06:59.0164 4000 Avgmfx86 - ok
15:06:59.0184 4000 [ C29E6070396E437FDE184D739CCBA2C7 ] Avgrkx86 C:\WINDOWS\system32\DRIVERS\avgrkx86.sys
15:06:59.0194 4000 Avgrkx86 - ok
15:06:59.0224 4000 [ 52448A41CF1769CB3627677A0509627B ] Avgtdix C:\WINDOWS\system32\DRIVERS\avgtdix.sys
15:06:59.0234 4000 Avgtdix - ok
15:06:59.0274 4000 [ CAE7B6E4D7EB17829C526153D19B9C95 ] avgtp C:\WINDOWS\system32\drivers\avgtpx86.sys
15:06:59.0284 4000 avgtp - ok
15:06:59.0334 4000 [ DC98337F0D2A9F6C0B6FB682297ECE3B ] avgwd C:\Programme\AVG\AVG2013\avgwdsvc.exe
15:06:59.0344 4000 avgwd - ok
15:06:59.0514 4000 [ D9C373CD4A399D133D7444A7274FD0E9 ] BCM43XX C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
15:06:59.0644 4000 BCM43XX - ok
15:06:59.0714 4000 [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep C:\WINDOWS\system32\drivers\Beep.sys
15:06:59.0895 4000 Beep - ok
15:06:59.0955 4000 [ D6F603772A789BB3228F310D650B8BD1 ] BITS C:\WINDOWS\system32\qmgr.dll
15:06:59.0975 4000 BITS - ok
15:07:00.0025 4000 [ B71549F23736ADF83A571061C47777FD ] Browser C:\WINDOWS\System32\browser.dll
15:07:00.0035 4000 Browser - ok
15:07:00.0085 4000 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
15:07:00.0095 4000 cbidf2k - ok
15:07:00.0135 4000 [ 0BE5AEF125BE881C4F854C554F2B025C ] CCDECODE C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
15:07:00.0135 4000 CCDECODE - ok
15:07:00.0155 4000 cd20xrnt - ok
15:07:00.0185 4000 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
15:07:00.0195 4000 Cdaudio - ok
15:07:00.0245 4000 [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
15:07:00.0245 4000 Cdfs - ok
15:07:00.0305 4000 [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
15:07:00.0315 4000 Cdrom - ok
15:07:00.0335 4000 Changer - ok
15:07:00.0365 4000 [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc C:\WINDOWS\system32\cisvc.exe
15:07:00.0375 4000 CiSvc - ok
15:07:00.0405 4000 [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
15:07:00.0405 4000 ClipSrv - ok
15:07:00.0486 4000 [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
15:07:00.0496 4000 clr_optimization_v2.0.50727_32 - ok
15:07:00.0546 4000 [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
15:07:00.0606 4000 clr_optimization_v4.0.30319_32 - ok
15:07:00.0636 4000 [ 0F6C187D38D98F8DF904589A5F94D411 ] CmBatt C:\WINDOWS\system32\DRIVERS\CmBatt.sys
15:07:00.0646 4000 CmBatt - ok
15:07:00.0656 4000 CmdIde - ok
15:07:00.0676 4000 [ 6E4C9F21F0FAE8940661144F41B13203 ] Compbatt C:\WINDOWS\system32\DRIVERS\compbatt.sys
15:07:00.0676 4000 Compbatt - ok
15:07:00.0696 4000 COMSysApp - ok
15:07:00.0726 4000 Cpqarray - ok
15:07:00.0766 4000 [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
15:07:00.0776 4000 CryptSvc - ok
15:07:00.0786 4000 dac2w2k - ok
15:07:00.0816 4000 dac960nt - ok
15:07:00.0896 4000 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
15:07:00.0906 4000 DcomLaunch - ok
15:07:00.0946 4000 [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
15:07:00.0946 4000 Dhcp - ok
15:07:00.0976 4000 [ 044452051F3E02E7963599FC8F4F3E25 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
15:07:00.0986 4000 Disk - ok
15:07:00.0996 4000 dmadmin - ok
15:07:01.0076 4000 [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
15:07:01.0116 4000 dmboot - ok
15:07:01.0167 4000 [ 53720AB12B48719D00E327DA470A619A ] dmio C:\WINDOWS\system32\drivers\dmio.sys
15:07:01.0177 4000 dmio - ok
15:07:01.0237 4000 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
15:07:01.0237 4000 dmload - ok
15:07:01.0277 4000 [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver C:\WINDOWS\System32\dmserver.dll
15:07:01.0277 4000 dmserver - ok
15:07:01.0327 4000 [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
15:07:01.0347 4000 DMusic - ok
15:07:01.0497 4000 [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
15:07:01.0507 4000 Dnscache - ok
15:07:01.0557 4000 [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc C:\WINDOWS\System32\dot3svc.dll
15:07:01.0567 4000 Dot3svc - ok
15:07:01.0587 4000 dpti2o - ok
15:07:01.0607 4000 [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
15:07:01.0617 4000 drmkaud - ok
15:07:01.0657 4000 [ 4DE4BAE4ACCB5A49FA85801D4F226355 ] E1000 C:\WINDOWS\system32\DRIVERS\e1000325.sys
15:07:01.0667 4000 E1000 - ok
15:07:01.0727 4000 [ AFEE15C5B16317EBF17F79CC1843465A ] E100B C:\WINDOWS\system32\DRIVERS\e100b325.sys
15:07:01.0747 4000 E100B - ok
15:07:01.0777 4000 [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost C:\WINDOWS\System32\eapsvc.dll
15:07:01.0777 4000 EapHost - ok
15:07:01.0817 4000 [ 877C18558D70587AA7823A1A308AC96B ] ERSvc C:\WINDOWS\System32\ersvc.dll
15:07:01.0827 4000 ERSvc - ok
15:07:01.0878 4000 [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog C:\WINDOWS\system32\services.exe
15:07:01.0898 4000 Eventlog - ok
15:07:01.0978 4000 [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem C:\WINDOWS\system32\es.dll
15:07:01.0978 4000 EventSystem - ok
15:07:02.0038 4000 [ FB54F67974D13D73BE3E2F1DF042D295 ] ewusbnet C:\WINDOWS\system32\DRIVERS\ewusbnet.sys
15:07:02.0048 4000 ewusbnet - ok
15:07:02.0068 4000 [ 57C171EA22F0A7F068FCB0CAEDD1E8E7 ] ew_hwusbdev C:\WINDOWS\system32\DRIVERS\ew_hwusbdev.sys
15:07:02.0088 4000 ew_hwusbdev - ok
15:07:02.0128 4000 [ 38D332A6D56AF32635675F132548343E ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
15:07:02.0138 4000 Fastfat - ok
15:07:02.0228 4000 [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
15:07:02.0238 4000 FastUserSwitchingCompatibility - ok
15:07:02.0288 4000 [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc C:\WINDOWS\system32\DRIVERS\fdc.sys
15:07:02.0308 4000 Fdc - ok
15:07:02.0348 4000 [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
15:07:02.0348 4000 Fips - ok
15:07:02.0368 4000 [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk C:\WINDOWS\system32\drivers\Flpydisk.sys
15:07:02.0378 4000 Flpydisk - ok
15:07:02.0458 4000 [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr C:\WINDOWS\system32\DRIVERS\fltMgr.sys
15:07:02.0458 4000 FltMgr - ok
15:07:02.0559 4000 [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
15:07:02.0569 4000 FontCache3.0.0.0 - ok
15:07:02.0589 4000 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec

---

Beste Grüße
mkdt

tdsskiller wurde falsch eingestellt. Bitte die Anleitungen richtig lesen und umsetzen.
Außerdem bat ich darum, die Logs in CODE-Tags zu posten

Hallo Cosinus,

hier der aswMBR log als code tag:

... beim aktualisierten, und der gemäß Beschreibung von TDSSKiller nun gesetzen Optionen,
Scan ergab sich folgendes Ergebnis --> siehe Screenshot mitgeschickte jpg-Datei:

Was wäre der nächste Schritt?

Beste Grüße

mkdt

Alles auf skip lassen und dann unten rechts auf continue klicken
Sagmal, das steht doch auch in der Anleitung oder nicht?

Hallo
hier der TDSSKiller Log

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.

Hallo,

hier der Junkware Removal Log

---
---
Die anderen Log's folgen noch.

Grüße
mkdt

Hallo,

hier nun die noch ausstehenden Logfiles:

---

---
---

Grüße
mkdt

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,
hier schon mal der malwarebytes Log.
Grüße
mkdt

Hallo,
hier der ESET Log:

Grüße
mkdt

Hallo cosinus,

habe jetzt eine Weile nichts gehört. Heisst das, dass inzwischen alles OK ist? Der Rechner hat inzwischen wieder seine normale Performance.

Ggfs. noch mal eine kurze Info, wenn es noch was zu tun gibt.

Ansonsten ein ganz großes Dankeschön für die porfessionelle Unterstützung !!!!

Grüße
mkdt

Da wurden nur Reste gefunden, machen wir weg:

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

hallo Cosinus,

ok, hier also noch der OTL log

Beste Grüße
Mkdt

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,

super! Das ist ja klasse, dass jetzt alles wieder ok ist!!! Vielen Dank nochmals für den tollen Job!!! Glücklicherweise gibt es keine weiteren Funde und Probleme. Vielen Dank auch für die Zusatzinfos noch wie MVPS. Das werde ich mir auf jeden Fall auch noch mal genauer anschauen.

Dass ich Euch weiterempfehle, falls in meinem Umfeld jemand ähnliche Themen haben sollte, keine Frage.

In diesem Sinne nochmals
beste Grüße
http://www.trojaner-board.de/images/...ankeschoen.gif
mkdt

Dann wären wir durch! :daumenhoc


Falls du noch Lob oder Kritik loswerden möchtest => http://www.trojaner-board.de/lob-kritik-wuensche/



Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.