Trojaner-Board - Mein Rechner hat sich einen Trojaner eingefangen, es erscheint nach dem Start von WinXP eine weiße Bildfläche

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein Rechner hat sich einen Trojaner eingefangen, es erscheint nach dem Start von WinXP eine weiße Bildfläche (https://www.trojaner-board.de/138190-rechner-hat-trojaner-eingefangen-erscheint-start-winxp-weisse-bildflaeche.html)

Mein Rechner hat sich einen Trojaner eingefangen, es erscheint nach dem Start von WinXP eine weiße Bildfläche

Hallo zusammen,

mein Name ist Stefan und ich habe mich aus folgendem Grund im Forum angemeldet:
Habe mir heute morgen offensichtlich einen Trojaner auf meinem XP-Rechner eingefangen.
Schreibe deswegen eben vom Rechner meiner Freundin.

Es erschien plötzlich die Meldung, dass ein neues JAVA-Update verfügbar wäre. Zur Auswahl standen "ja", "nein" und "later". Ich klickte auf "later". Auf einmal kamen einige Meldungen meines Virenscanner Norton, dass diese und jene Anwendungen geblockt wurden. Kurz darauf erschien die Meldung, dass der Rechner gefährdet sei und schon blieb Windows hängen. Nach einem Neustart kommt nun nach dem Hochfahren ein weißer Bildschirm.
Der Start über den abgesicherten Modus klappt nicht, da Windows immer wieder heruntergefahren wird.
Um welchen Schädling es sich handelt, kann ich leider nicht sagen.

Habe nun einige Beitrage im Forum durchgelesen und daraufhin "OTLpe" heruntergeladen und einen Scan durchgeführt.
Ich hänge die Log-Datei an. (Log ist inhaltlich nicht verändert worden)
Könnt ihr mir bitte weiterhelfen?

Vorab schon einmal vielen Dank für eure Mühe.

Gruß
Stefan

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTLpe

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL
 

O4 - HKU\Stefan_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ljhsbsbkotatsiynu.exe (NVIDIA Corporation) 

[2013/07/14 01:11:00 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 

[2013/07/14 00:49:50 | 000,163,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\2433f433 

[2013/07/14 00:49:50 | 000,163,025 | ---- | M] () -- C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\2433f433 

[2013/07/14 00:49:50 | 000,163,017 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

dann normal neustarten, und:

2. Schritt
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t´john,

vielen Dank für deine schnelle Antwort!

Schritt 1 hat halb geklappt. Das Fix ist erfolgreich durchgelaufen, jedoch hängt der Rechner nach dem Neustart in der Eingabeaufforderung und findet eine "ljhsbsbkotatsiynu.exe" nicht.
Die Eingabeaufforderung steht auf:
C:\Dokumente und Einstellungen\Stefan>
Ich sehe im Hintergrund schon mein Desktop-Hintergrundbild, jedoch ohne Icon´s.

Anbei noch das Log nach dem Ausführung des Fix.

Gruß
Stefan

Fixen mit OTLpe

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL
 

O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) 

[2013/07/14 01:11:00 | 000,000,228 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 

O20 - HKU\Stefan_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe_ (Microsoft Corporation) 

[2012/10/14 00:37:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\swljguqdvunlkmq
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\*.tmp

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\*.exe

C:\Dokumente und Einstellungen\Stefan\*.exe

C:\Dokumente und Einstellungen\Stefan\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Hat leider nicht zum gewünschten Erfolg geführt.
Das Fix lief zwar erfolgreich durch, jedoch erscheint nach dem Neustart wieder der weiße Bildschirm.
Anbei das Log nach dem Ausführen des Fix.

Gruß
Stefan

Computer mit Combofix entsperren

http://www.trojaner-board.de/extra/lesestoff.png Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

Combofix kopieren
- Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
Combofix starten
- Tippe explorer (Enter)
- Finde den USB-Stick und starte Combofix mit einem Doppelklick.
- Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
- Übergehe alle anderen Warnungen mit OK.
Logfile posten
- Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
- Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
- Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
- Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

So, Combofix erfolgreich ausgeführt. Internetverbindung war allerdings nicht möglich, somit auch keine Wiederherstellungskonsole installiert.
Rechner befindet sich nun im abgesicherten Modus.

Code:

ComboFix 13-07-14.01 - Administrator 14.07.2013  17:25:17.1.2 - x86 MINIMAL

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1680 [GMT 2:00]

ausgeführt von:: F:\ComboFix.exe

AV: Norton Internet Security *Enabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\SETED.tmp

c:\windows\system32\SETF9.tmp

D:\AUTORUN.INF

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-06-14 bis 2013-07-14  ))))))))))))))))))))))))))))))

.

.

2013-07-14 17:35 . 2013-07-14 17:35        --------        d-----w-        C:\_OTL

2013-07-14 05:31 . 2013-07-14 15:18        --------        d-----w-        c:\dokumente und einstellungen\Administrator

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-06-19 20:38 . 2010-10-31 16:59        142496        ----a-w-        c:\windows\system32\drivers\SYMEVENT.SYS

2013-06-15 18:01 . 2012-05-24 17:45        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-06-15 18:01 . 2011-05-19 18:56        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-06-07 21:55 . 2004-08-04 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2013-06-07 21:48 . 2004-08-04 12:00        920064        ----a-w-        c:\windows\system32\wininet.dll

2013-06-07 21:48 . 2004-08-04 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2013-06-07 21:48 . 2004-08-04 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2013-06-05 09:08 . 2005-10-06 03:08        1876864        ----a-w-        c:\windows\system32\win32k.sys

2013-06-04 07:22 . 2004-08-04 12:00        563712        ----a-w-        c:\windows\system32\qedit.dll

2013-05-23 05:25 . 2013-06-08 18:45        934488        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\symefa.sys

2013-05-21 05:02 . 2013-06-08 18:45        367704        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\symds.sys

2013-05-16 05:02 . 2013-06-08 18:45        603224        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\srtsp.sys

2013-05-08 09:58 . 2006-10-18 19:47        1543680        ------w-        c:\windows\system32\wmvdecod.dll

2013-05-03 05:39 . 2004-08-04 12:00        2152448        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-05-03 05:39 . 2004-08-04 00:50        2031104        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-04-25 00:43 . 2013-06-08 18:45        396760        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\symtdi.sys

2013-04-25 00:43 . 2013-06-08 18:45        352344        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\symtdiv.sys

2013-04-25 00:43 . 2013-06-08 18:45        339544        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\symnets.sys

2013-04-16 02:41 . 2013-06-08 18:45        134744        ----a-w-        c:\windows\system32\drivers\NIS\1404000.028\ccsetx86.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-21 761946]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]

"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]

"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2006-04-19 65536]

"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2006-05-04 86016]

"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]

"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]

"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]

"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]

"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"CloneCDElbyCDFL"="c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 45056]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2010-10-06 155648]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\devolo\\dlan\\devolonetsvc.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

.

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1404000.028\symds.sys [08.06.2013 20:45 367704]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1404000.028\symefa.sys [08.06.2013 20:45 934488]

S1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\Definitions\BASHDefs\20130702.001\BHDrvx86.sys [03.07.2013 21:59 1002072]

S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NIS\1404000.028\ccsetx86.sys [08.06.2013 20:45 134744]

S1 mailKmd;mailKmd; [x]

S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1404000.028\ironx86.sys [08.06.2013 20:45 175264]

S2 DevoloNetworkService;devolo Network Service;c:\programme\devolo\dlan\devolonetsvc.exe [23.12.2010 12:41 3304768]

S2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\20.4.0.40\ccsvchst.exe [08.06.2013 20:45 144368]

S2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [10.06.2010 13:32 35840]

S3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [16.01.2011 17:22 101248]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [23.09.2012 10:15 4352]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [19.06.2013 22:38 106656]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [23.09.2012 10:14 265088]

S3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\Definitions\IPSDefs\20130712.001\IDSXpx86.sys [14.07.2013 06:46 373728]

S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 14:00 14336]

S3 RT-USB;Ross-Tech USB driver;c:\windows\system32\drivers\RT-USB.SYS [16.01.2013 22:54 59464]

S3 scrcap;scrcap;c:\windows\system32\drivers\scrcap.sys [27.12.2006 16:47 9006]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

nosGetPlusHelper        REG_MULTI_SZ           nosGetPlusHelper

.

Inhalt des "geplante Tasks" Ordners

.

2013-07-14 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-24 18:02]

.

2010-10-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

2013-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-07 19:02]

.

2013-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-10-07 19:02]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-LMgrVolOSD - c:\programme\Launch Manager\OSD.exe

HKLM-Run-LMgrOSD - c:\programme\Launch Manager\OSDCtrl.exe

HKLM-Run-CtrlVol - c:\programme\Launch Manager\CtrlVol.exe

HKLM-Run-AVMWlanClient - c:\programme\avmwlanstick\FRITZWLANMini.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-07-14 17:30

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  CtrlVol = c:\programme\Launch Manager\CtrlVol.exe??????c??\??????|x??|????q??|?j?wQj?w????????,??? ???????????????d??????|????????p?????@?????????0y?wh??????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s???????w??@?N'?s?d?? :@??d????????? 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\20.4.0.40\diMaster.dll\" /prefetch:1"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Zeit der Fertigstellung: 2013-07-14  17:32:45

ComboFix-quarantined-files.txt  2013-07-14 15:32

.

Vor Suchlauf: 12 Verzeichnis(se), 44.169.060.352 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 44.429.803.520 Bytes frei

.

- - End Of File - - 81B7FB11499060D738F4FA995F7153FE

72B8CE41AF0DE751C946802B3ED844B4

Normal starten und ab Schritt 2 weitermachen!
http://www.trojaner-board.de/138190-...ml#post1109883

Schritt 2 mit Anti-malware ausgeführt.
Im Anschluss das logfile:

Soll ich morgen mit Schritt 3 AdwCleaner fortfahren?

Code:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.07.15.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Stefan :: AMILOPRO [Administrator]
 

15.07.2013 23:15:11

mbam-log-2013-07-15 (23-15-11).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 329401

Laufzeit: 1 Stunde(n), 33 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 2

HKCR\CLSID\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\*\shellex\ContextMenuHandlers\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ljhsbsbkotatsiynu.dll (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\07142013_133548\C_Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\ljhsbsbkotatsiynu.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Habe Schritt 3 ausgeführt (siehe erstes Post von dir --> "Reinigung in drei Schritten")
AdwCleaner hat nichts mehr gefunden, Rechner scheint clean zu sein.

Vielen Dank für deine Hilfe!!:party:

Abschließend noch zwei Fragen:
- Wie hätte ich mich eigentlich verhalten sollen, als die JAVA-Meldung kam? Explorer über die Taskleiste abwürgen? Meldung war wohl ein Fake! Ich denke egal was ich angeklickt hätte, es hätte der Trojaner zugeschlagen. Hatte bisher nie mit Trojanern und Viren Probleme. Ich dachte mit meinem Norton wäre ich gut bedient.
- Mit welchem der Programme (Anti-Malware, AdwCleaner...) kann ich zukünftig meinen Rechner routinemäßig checken?

Hast du sonst irgendwelche Tipps, wie ich meinen Rechner zukünftig besser schützen kann?

Danke & Gruß
Stefan

Das sollte heissen:
Wo bleibt der Schritt 3??! ;)

Deine Fragen klaeren wir nach der Absicherung!

Hier nochmal das Log von Schritt 3:

Code:

# AdwCleaner v2.305 - Datei am 17/07/2013 um 17:43:35 erstellt

# Aktualisiert am 11/07/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Stefan - AMILOPRO

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Stefan\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gefunden : C:\DOKUME~1\Stefan\LOKALE~1\Temp\boost_interprocess

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask

Ordner Gefunden : C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dvdvideosoftiehelpers

Ordner Gefunden : C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\APN

Ordner Gefunden : C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\AskToolbar

Ordner Gefunden : C:\Programme\Ask.com

Ordner Gefunden : C:\Programme\Gemeinsame Dateien\DVDVideoSoft\TB

Ordner Gefunden : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\APN

Schlüssel Gefunden : HKCU\Software\Ask.com

Schlüssel Gefunden : HKCU\Software\AskToolbar

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}

Schlüssel Gefunden : HKCU\Software\YahooPartnerToolbar

Schlüssel Gefunden : HKLM\Software\APN

Schlüssel Gefunden : HKLM\Software\AskToolbar

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gefunden : HKLM\Software\Informer Technologies, Inc.\OpenCandy

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2BDF3E992C0908741B7C11F4B4E0F775

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6B3BC4CF5ECE1F54BBA174C13A1AB907

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5BAE2ED018083A4C8DA86D6E3F4B024

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BEABAA33A5E68374DBF197F2A00CD011

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CB61AF52AD64B6B45930BE969F316720

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E

Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gefunden : HKU\S-1-5-21-1060284298-1637723038-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

Schlüssel Gefunden : HKU\S-1-5-21-1060284298-1637723038-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}

Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]

Wert Gefunden : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist [1]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [8315 octets] - [16/07/2013 22:19:17]

AdwCleaner[R2].txt - [8407 octets] - [16/07/2013 22:20:26]

AdwCleaner[R3].txt - [8338 octets] - [17/07/2013 17:43:35]
 

########## EOF - C:\AdwCleaner[R3].txt - [8398 octets] ##########

Sehr gut! :daumenhoc

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Code:

Junkware Removal Tool (JRT) by Thisisu

Version: 5.1.6 (07.17.2013:4)

OS: Microsoft Windows XP x86

Ran by Stefan on 19.07.2013 at 18:29:13,01

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
 
 
 

~~~ Services
 
 
 

~~~ Registry Values
 

Successfully deleted: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{82E1477C-B154-48D3-9891-33D83C26BCD3}

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-1060284298-1637723038-725345543-1003\Software\Microsoft\Internet Explorer\Main\\Start Page

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AboutURLs\\Tabs

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} 

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} 
 
 
 

~~~ Registry Keys
 

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\escort.dll

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\escortapp.dll

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\escorteng.dll

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\escortlbr.dll

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\esrv.exe

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\genericasktoolbar.dll

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{09c554c3-109b-483c-a06b-f14172f1a947}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{39cb8175-e224-4446-8746-00566302df8d}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{4e1e9d45-8bf9-4139-915c-9f83cc3d5921}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{b12e99ed-69bd-437c-86be-c862b9e5444d}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{c26644c4-2a12-4ca6-8f2e-0ede6cf018f3}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\appid\{d7ee8177-d51e-4f89-92b6-83ea2ec40800}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\clsid\{261dd098-8a3e-43d4-87aa-63324fa897d8}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\clsid\{4fcb4630-2a1c-4aa1-b422-345e8dc8a6de}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\clsid\{86838207-681d-469d-9511-d0dcc6f19f9b}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\clsid\{c1af5fa5-852c-4c90-812e-a7f75e011d87}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\clsid\{e97a663b-81a6-49c5-a6d3-bcb05ba1de26}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\escort.escortiepane

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\escort.escortiepane.1

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\typelib\{39cb8175-e224-4446-8746-00566302df8d}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\typelib\{4e1e9d45-8bf9-4139-915c-9f83cc3d5921}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\typelib\{d7ee8177-d51e-4f89-92b6-83ea2ec40800}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\babsolution

Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr

Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\datamngr

Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr_toolbar

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\delta

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\delta

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\wajam

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\yahoopartnertoolbar

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\ext\stats\{00000000-6e41-4fd3-8538-502f5495e5fc}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\ext\stats\{c1af5fa5-852c-4c90-812e-a7f75e011d87}

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltaappcore

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltaappcore.1

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltadskbnd

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltadskbnd.1

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltahlpr

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\delta.deltahlpr.1

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\esrv.deltaesrvc

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\esrv.deltaesrvc.1

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\features\a28b4d68debaa244eb686953b7074fef

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\products\a28b4d68debaa244eb686953b7074fef

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\upgradecodes\f928123a039649549966d4c29d35b1c9

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\prod.cap

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BB225E87-5A07-452D-9D24-5B2C1B0B68AA}

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

Successfully deleted: [Registry Key] "hkey_current_user\software\apn"

Successfully deleted: [Registry Key] "hkey_current_user\software\ask.com"

Successfully deleted: [Registry Key] "hkey_current_user\software\asktoolbar"

Successfully deleted: [Registry Key] "hkey_local_machine\software\apn"

Successfully deleted: [Registry Key] "hkey_local_machine\software\asktoolbar"

Successfully deleted: [Registry Key] "hkey_local_machine\software\classes\appid\{9b0cb95c-933a-4b8c-b6d4-edcd19a43874}"

Successfully deleted: [Registry Key] "hkey_local_machine\software\classes\interface\{ac71b60e-94c9-4ede-ba46-e146747bb67e}"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\0cfe535c35f99574e8340bfa75bf92c2"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\0e12f736682067fde4d1158d5940a82e"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\120dfadeb50841f408f04d2a278f9509"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\1a24b5bb8521b03e0c8d908f5abc0ae6"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\261f213d1f55267499b1f87d0cc3bcf7"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\2b0d56c4f4c46d844a57ffed6f0d2852"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\49d4375fe41653242aea4c969e4e65e0"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\6aa0923513360135b272e8289c5f13fa"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\6f7467af8f29c134cbbab394eccfde96"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\741b4adf27276464790022c965ab6da8"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\7de196b10195f5647a2b21b761f3de01"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\922525dcc5199162f8935747ca3d8e59"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\9d4f5849367142e4685ed8c25e44c5ed"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\a5875b04372c19545beb90d4d606c472"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\a876d9e80b896ec44a8620248cc79296"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\b66ffab725b92594c986de826a867888"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\bcda179d619b91648538e3394cac94cc"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\d677b1a9671d4d4004f6f2a4469e86ea"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\dd1402a9dd4215a43abde169a41afa0e"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\e36e114a0ead2ad46b381d23ad69cddf"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\components\ef8e618db3aedfbb384561b5c548f65e"

Successfully deleted: [Registry Key] "hkey_local_machine\software\microsoft\windows\currentversion\installer\userdata\s-1-5-18\products\a28b4d68debaa244eb686953b7074fef"
 
 
 

~~~ Files
 
 
 

~~~ Folders
 

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\babsolution"

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\babylon"

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\delta"

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dsite"

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\dvdvideosoftiehelpers"

Successfully deleted: [Folder] "C:\Programme\delta"

Successfully deleted: [Folder] "C:\Programme\ask.com"

Successfully deleted: [Folder] "C:\WINDOWS\installer\{86d4b82a-abed-442a-be86-96357b70f4fe}"
 
 
 
 
 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 19.07.2013 at 18:33:46,42

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

nächsten Schritt ESET Online Scanner?

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=47e41010c4d71e45b2d32813f2ecd20e

# engine=14470

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-07-20 08:55:26

# local_time=2013-07-20 10:55:26 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=3591 16777213 100 93 666010 136950311 0 0

# scanned=95542

# found=3

# cleaned=0

# scan_time=4526

sh=9D0F96B9329F5D93083E605A276969483092D32C ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2012-1723.KC trojan" ac=I fn="C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\jar_cache1083365542270603340.tmp"

sh=99CEDFA8365F94AF72B01C05B43301218C29F264 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\jar_cache1295406988500323413.tmp"

sh=BBB24C4A2A26E909854BA8686FDF48323901F2E0 ft=0 fh=0000000000000000 vn="HTML/Ransom.B trojan" ac=I fn="C:\_OTL\MovedFiles\07142013_162105\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\swljguqdvunlkmq\main.html"

und nun?

Lade dir

TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

Öffne die TFC.exe.
Vista und Win 7 User mit Rechtsklick "als Administrator starten".
Schließe alle anderen Programme.
Drücke auf den Button Start.
Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

danach:
Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Weitermachen mich SecurityCheck, trotz der 3 Findings?
Oder Onlinescan wiederholen und hier einen Haken setzen? --> "Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist."

TFC killt die Findings.
Der Letzte Fund ist schon in Quarantaene (OTL) ;)

Hier das Ergebnis des Checkup...

Code:

 Results of screen317's Security Check version 0.99.70  

 Windows XP Service Pack 3 x86   

 Internet Explorer 8  
 ``````````````Antivirus/Firewall Check:`````````````` 

Norton Internet Security   

 Antivirus up to date!  
 `````````Anti-malware/Other Utilities Check:````````` 

 Java 7 Update 17  

 Java version out of Date! 

 Adobe Reader 7 Adobe Reader out of Date! 
 ````````Process Check: objlist.exe by Laurent````````  

 Norton ccSvcHst.exe 
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C::  
 ````````````````````End of Log``````````````````````

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 25 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Java Plugin aktiviert:

Code:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.

Überprüft wird: Browser, Flash, Java und Adobe Reader Version.
 
 

Internet Explorer 8.0 ist aktuell

Flash (11,7,700,224) ist aktuell.

Java (1,7,0,25) ist aktuell.

Adobe Reader 11,0,0,0 ist aktuell

Java Plugin deaktiviert:

Code:

Java ist nicht Installiert oder nicht aktiviert.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

So, Bereinigung abgeschlossen, Systemwiederherstellung aus- und wieder eingeschalten.
Werde die Tage noch die Lektüre abarbeiten und mich dann nochmal melden.

Schon mal jetzt herzlichen Dank für Deine Hilfe! :abklatsch:
Bin beeindruckt was ihr im Kampf gegen die digitalen Feinde für einen Haufen Tools auf Lager habt um einen Rechner wieder sauber zu bekommen. :daumenhoc

Gruß
Stefan

:)

wir wuenschen eine virenfreie Zeit :)

Hallo nochmal,

interessant auf was man alles achten muss.
Dass Programme wie Adobe usw. auch Sicherheitslücken verursachen können, wenn diese nicht auf Stand sind, war mir gar nicht bewusst.
Einige Punkte hatte ich bisher schon immer beachtet und umgesetzt, einige waren für mich ganz neu.
Das SecureBanking ist bestimmt ganz hilfreich, habs mal installiert.
Das JAVA-Update hab ich wohl auch immer etwas vernachlässigt.
Bleibt das JAVA-Plugin für immer deaktiviert?

Wie schaut es eigentlich ab 2014 mit WinXP aus, wenn Microsoft den Support einstellt?
Ist es ratsam - sofern es die Hardware zulässt - auf Win7 umzusteigen oder wie sollte man sich als WinXP User da verhalten?

Gruß
Stefan

Zitat:

Bleibt das JAVA-Plugin für immer deaktiviert?

Am besten ja, denn Java im Browser braucht 99% der user nicht.
Das ist was anderes als JavaScript.

Zitat:

Wie schaut es eigentlich ab 2014 mit WinXP aus, wenn Microsoft den Support einstellt?
Ist es ratsam - sofern es die Hardware zulässt - auf Win7 umzusteigen oder wie sollte man sich als WinXP User da verhalten?

Ja unbedingt wechseln.

Windows 7 laeuft auch auf aelteren Rechnern und habe es bis jetzt mit jedem Rechner Problemlos im Einsatz.