Kannst ja mal im Forum rumschauen. Normalerweise entsperre ich so ein Ding mit einem Post, restlos.

Aber nur, wenn man den entsprechenden Startpunkt im Log sieht. Sehr selten ist das nicht der Fall, er zeigt sich nur nach x Scans, so wie bei Dir. Er ist immer noch nicht zu sehen.

Also wenn Du Zeit/Bock hast probieren wir noch, ansonsten mach Platt und beginn neu :)

Guten Morgen Schrauber,

wenn die Chancen so stehen, sollten wir das weiter versuchen. Kann nur sein, dass ich ab 09:30 für ca 3 Stunden weg bin und nicht antworte. Der Aufwand das Ding platt zu machen ist auch mindestens 1 Tag.

Sag an, welcher Scan?

Gruß und Dank für deine gigantische Unterstützung
Michael

sag mir mal, woran ich den Startpunkt erkennen kann und welchen Scan ich hierfür laufen lassen muss, dann lass ich das Ding solange scannen, bis ich etwas sehe

Naja, es muss ein HKLM oder HK(C)U Startpunkt sein mit der random-Datei drin.

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

ok,
noch eine Frage, da ich mich in den Katakomben der PC nun absolut nicht auskenne, wie kopiere ich eine Datei in der Eingabeaufforderung von C: auf den Stick? Sorry

ok, meine Frage nach dem Kopieren ist beantwortet, der hat ein Xp installiert. Allerdings kam die Frage "Do you wish to load the remote registry" nicht?? wohl aber alle anderen

Eine C:Extras.txt hat er nicht generiert, aber die OTL.Txt, hier ist der inhalt
#OTL Logfile:
--- --- ---

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Die generierte Datei heißt: 07042013_145818.log
und der Inhalt:
#
========== FILES ==========
C:\Users\EUPROCON\AppData\Local\Temp\amwubelyahjmiytos.dll moved successfully.
C:\Users\EUPROCON\AppData\Local\Temp\jre-6u39-windows-i586-iftw.exe moved successfully.
C:\Users\EUPROCON\AppData\Local\Temp\jre-7u15-windows-i586-iftw.exe moved successfully.
C:\Users\EUPROCON\AppData\Local\Temp\Softonic_chr_1-8-8-11.exe moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 07042013_145418

=======

Neustart war nicht erforderlich

Gruß
Michael

Dann bitte neustarten.

Hallo Schrauber,

bingo!! das Baby tut es wieder, dafür dickes Lob und besten Dank. Allerdings erhalte ich die Meldung, dass das Sicherheitcenter ausgeschaltet ist und wenn ich versuche, es einzuschalten kommt eine Fehlermeldung. Ich weiß allerdings nicht, ob ich es brauche, da auf dem Rechner Norton Internet Security installiert ist und somit eigentlich die windowsseitigen Sierheitsvorrichtungen außer Betrieb sind.??

Wenn du jetzt dazu noch einen Kommentar hast

Gruß
Michael

Ja wir sind auch noch nit durch. Ab jetzt alles im normalen WIndows :)

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Scan.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hier kommt schon einmal das Ergenbis von AdwCleaner:
#AdwCleaner Logfile:
--- --- ---


und hier das Ergenis vom JRT:
#
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.9.4 (05.06.2013:1)
OS: Windows Vista (TM) Business x86
Ran by EUPROCON on 04.07.2013 at 16:37:23,90
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CD7ECDF3-9763-4584-B167-C4A61247BCF5}



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 04.07.2013 at 16:39:06,89
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

und hier das Ergebnis vom FSS:
#
Farbar Service Scanner Version: 27-06-2013
Ran by EUPROCON (administrator) on 04-07-2013 at 16:42:19
Running from "C:\Users\EUPROCON\Downloads\Downloads\Programme\Rescue"
Microsoft® Windows Vista™ Business Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-06-13 06:50] - [2013-05-08 06:37] - 0905576 ____A (Microsoft Corporation) 548E198BAE21EFC21F8B5F0C1728AD27

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll
[2013-06-13 06:50] - [2013-04-24 06:00] - 0133120 ____A (Microsoft Corporation) 3EDE4C1F9672C972479201544969ADCB

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****

und hier das Ergebnis vom FRST, für die Addition.txt muss ich aber den entsprechenden Haken setzen!
#
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---

und hier das Ergebnis des 2. Scan mit der Addition.txt
#FRST Additions Logfile:
--- --- ---

Hallo Schrauber,

ich habe den Rechner zwischenzeitlich neu gestartet. Eigentlich macht er (fast) alles, was er soll, allerdinge besteht nach wie vor das Thema, dass der Sicherheitscenterdienst ausgeschaltet ist und sich nicht einschalten lässt. Ein zweites Thema versuche ich auf einem anderen Wege zu lösen.

Gruß
Michael
By the way, ich sehe zwischenzeitlich fast 400 Hits auf dem Thema, heißt das, dass es soviele weiter Problemfälle gibt?

Hallo Schrauber,

mein Virenscanner hat eben einen Vollscann durchgeführt und drei signifikante Bedrohungen erkannt und behoben. Hier die Screenshots:
1.

====================
Dateiname: igjc.class
Bedrohungsname: Trojan.Maljava
Vollständiger Pfad: c:\users\euprocon\appdata\locallow\sun\java\deployment\cache\6.0\44\1000236c-31e6bd23
____________________________
Details
Unbekannte Community-Verbreitung,* Unbekanntes Alter,* Risiko Hoch
Ursprung
Heruntergeladen von*Unbekannt
Aktivität
Ausgeführte Aktionen: Ausgeführte Aktionen: 1
____________________________
Auf Computern ab*04.07.2013 um 20:29:00
Zuletzt verwendet*04.07.2013 um 19:57:29
Start-Element*Nein
Gestarted*Nein
____________________________

Unbekannt
Es ist nicht bekannt, wie viele Benutzer in der Norton Community diese Datei verwendet haben.

Unbekannt
Diese Dateiversion ist nicht bekannt.

Hoch
Das Risiko dieser Datei ist hoch.

Art der Bedrohung: Virus. Programme, die andere Programme, Dateien oder Computerbereiche infizieren, indem sie sich einfügen oder anhängen.
____________________________
Quelle: externe Medien
___________________________
Dateiaktionen

igjc.class[Enthalten in] c:\users\euprocon\appdata\locallow\sun\java\deployment\cache\6.0\44\1000236c-31e6bd23Gelöscht
____________________________
Dateiabdruck - SHA:
21aed8cbc5fbc1231deb17f8dc8638308af6f0f27fe0ba7a59a246304eba4f1b
Dateiabdruck - MD5:
Nicht verfügbar
=====================

2.

=====================
Dateiname: igjc.class
Bedrohungsname: Trojan.Maljava
Vollständiger Pfad: c:\users\euprocon\appdata\locallow\sun\java\deployment\cache\6.0\58\79632ba-57ac9334
____________________________
Details
Unbekannte Community-Verbreitung,* Unbekanntes Alter,* Risiko Hoch

Ursprung
Heruntergeladen von*Unbekannt

Aktivität
Ausgeführte Aktionen: Ausgeführte Aktionen: 1
____________________________
Auf Computern ab*04.07.2013 um 20:31:49
Zuletzt verwendet*04.07.2013 um 19:57:35
Start-Element*Nein
Gestarted*Nein
____________________________
Unbekannt
Es ist nicht bekannt, wie viele Benutzer in der Norton Community diese Datei verwendet haben.

Unbekannt
Diese Dateiversion ist nicht bekannt.

Hoch
Das Risiko dieser Datei ist hoch.

Art der Bedrohung: Virus. Programme, die andere Programme, Dateien oder Computerbereiche infizieren, indem sie sich einfügen oder anhängen.
____________________________
Quelle: externe Medien
____________________________
Dateiaktionen

igjc.class[Enthalten in] c:\users\euprocon\appdata\locallow\sun\java\deployment\cache\6.0\58\79632ba-57ac9334Gelöscht
____________________________
Dateiabdruck - SHA:
21aed8cbc5fbc1231deb17f8dc8638308af6f0f27fe0ba7a59a246304eba4f1b
Dateiabdruck - MD5:
Nicht verfügbar
======================

und 3. (den Anhang habe ich sicherlich nicht geöffnet, wahrscheinlich war der schon rausgeflogen)

======================
Dateiname: pixmania gift voucher.scr
Bedrohungsname: Trojan Horse
Vollständiger Pfad: pixmania gift voucher.zip
____________________________
Details
Unbekannte Community-Verbreitung,* Unbekanntes Alter,* Risiko Hoch

Ursprung
Gesendet von"pixmania.com service" <e-gift@pixmania.com>

Aktivität
Ausgeführte Aktionen: Ausgeführte Aktionen: 1
____________________________
Auf Computern ab*Nicht verfügbar
Zuletzt verwendet*07.06.2013 um 11:13:12
Start-Element*Nein
Gestarted*Nein
____________________________
Unbekannt
Es ist nicht bekannt, wie viele Benutzer in der Norton Community diese Datei verwendet haben.

Unbekannt
Diese Dateiversion ist nicht bekannt.

Hoch
Das Risiko dieser Datei ist hoch.

Art der Bedrohung: Virus. Programme, die andere Programme, Dateien oder Computerbereiche infizieren, indem sie sich einfügen oder anhängen.
____________________________
Quelle: externe Medien

Betreff: Pixmania Gift Voucher (50 EUR) 
Absender: "pixmania.com service" <e-gift@pixmania.com>
Empfänger: "esfb" <diam.Duis@quis.org>
____________________________
Dateiaktionen

pixmania gift voucher.scr[Enthalten in] pixmania gift voucher.zip [in einem E-Mail-Anhang]
____________________________
Dateiabdruck - SHA:
4a6837755926dc26b45677347df673edd0c7168e05995d4a321afc26336e80a5
Dateiabdruck - MD5:
Nicht verfügbar
===========================

http://download.bleepingcomputer.com...sta/wscsvc.reg

auf dem Desktop speichern, ausführen, erlauben. Reboot. Sicherheitscenter? :)

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST Log bitte. Noch Probleme?

und noch was bitte :)

Scan mit SystemLook

Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :reg
HKLM\Software\Classes\*\shellex\ContextMenuHandlers /sub
HKCU\Software\Classes\*\shellex\ContextMenuHandlers /sub

:regfind
amwubelyahjmiytos

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Zwischenmeldung:
Das Thema Sicherheitscenter ist wohl gegessen und der TFC rödelt. Melde mich wenn ESET gelaufen ist.

ok, den SystemLook nach dem frischen FRST oder davor?

Egal, wie Du zeit hast :)

ich habe einiges gelernt die Tage,
1. ein reiner Kommunikations/Internet-PC ist enorm wichtig, nicht auszudenken, wie lange die Scans dauern würden, wenn mein Arbeitstier betroffen wäre
2. runter von dem Rechner, was heruntergeladen, installiert und als sicher empfunden wurde. Der Scant sich einen Wolf mit den gigantischen Programm-Installationsdateien im download-Ordner
3. keinerlei wichtige Daten auf dem Kommunikations-PC, wenn was passiert, dann ist auch das Platt-Machen eine reelle Option.
4. ein noch deutlich besseres Konfigurations- und Dateimanagement. Programmdateien können spätestens nach dem übernächsten Release gelöscht werden

und hier das Ergebnis der ESET Nachtschicht:
#
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=914e0d3f2f3f034fb7aa52848c28b0ef
# engine=14274
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-04 09:51:45
# local_time=2013-07-04 11:51:45 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=3591 16777213 100 93 196157 135571290 0 0
# compatibility_mode=5892 16776574 66 100 16025787 210507407 0 0
# scanned=139396
# found=1
# cleaned=0
# scan_time=4853
sh=4007ADB00DF116FD14156DAEFC82CC515B666D45 ft=1 fh=5bc1c012c75fd4a0 vn="Win32/Medfos.RS trojan" ac=I fn="C:\_OTL\MovedFiles\07042013_145418\C_Users\EUPROCON\AppData\Local\Temp\amwubelyahjmiytos.dll"

ich werde jetzt ESET aufräumen und dann mit SecurityCheck fortfahren

..und hier das Ergebnis vom SecurityCheck:
#
Results of screen317's Security Check version 0.99.68
Windows Vista Service Pack 2 x86 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Norton Internet Security
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Java(TM) 6 Update 39
Java(TM) SE Runtime Environment 6
Java version out of Date!
Adobe Reader 10.1.7 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent````````
Norton ccSvcHst.exe
Microsoft Small Business Business Contact Manager BcmSqlStartupSvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````

Hier das frische FRST log:
#
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

nanu, das mit dem SystemLook ging aber fix:
Ergebnis SystemLook:
#
SystemLook 30.07.11 by jpshortstuff
Log created at 05:33 on 05/07/2013 by EUPROCON
Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
(No values found)

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu]
@="{85BBD920-42A0-1069-A2E4-08002B30309D}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Sharing]
@="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu]
@="{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\{0BCE32B2-DA1B-41D7-A71F-C02A7D633CE5}]
(No values found)

[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Start Menu Pin"


[HKEY_CURRENT_USER\Software\Classes\*\shellex\ContextMenuHandlers]
(No values found)

[HKEY_CURRENT_USER\Software\Classes\*\shellex\ContextMenuHandlers\{66691188-2112-6990-9021-518636446111}]
(No values found)


========== regfind ==========

Searching for "amwubelyahjmiytos"