Vögel auf dem Desktop
 

Hallo, ich habe ein ernsthaftes Problem mit einem Hacker bekommen zusätzlich habe ich mir gestern riskware runtergeladen. Anfangs fing das ganz "harmlos" an, mit einem von mir nicht erstellten Ordner,den ich natürlich gelöscht habe. Auf dem Desktop befanden sich Vögel, die aber verschwanden, nachdem ich ein Programm gestartet habe? Mein Scan mit Panda fand nichts.
Im Moment ändert er mir meine Passwörter !
Kann mir bitte jemand helfen, den von meinem System zu verdammen,löschen,hm!
Danke, wenn sich einer die logs anschaut und mir helfen könnte.
Die GMER log kann ich nicht hochladen,da zu gross, was nun?

Hallo und :hallo:

Bitte genauer beschreiben.
Was genau hast du dir runtergeladen, von wo zu welchem Zweck?



Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die jemals fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo cosinus, danke für deine schnelle Reaktion.Leider habe ich keine logs von den scans,
die ich durchgeführt habe. Die riskware hat Hitman Pro erkannt aber nicht beseitigt, da die Lizenz abgelaufen ist, der löscht nur noch cookies.Das Paket, das ich mir runtergeladen habe sollte eigentlich ein rootkit scanner gewesen sein, jedoch hatte ich hinterher eine andere Startseite in internet explorer, ein Player und anderes zeug wie Babylon. Ich habe dieses Zeug sofort gelöscht, habe aber die logdatei vom Hitman Pro nicht abgespeichert, so ein.....verdammt. Dieser Hacker schnüffelt halt rum und verändert Dinge wie Uhrzeit, Datum, kennwortgeschützte Dateien konnte ich auch nicht mehr öffnen,leider auch Kennwörter bei meinem Mobilfunkanbieter. Ich habe das gemeldet, habe noch keine Antwort bekommen.
Nachfolgend werde ich die log Datei von GMER in die Code-Box stellen . Hoffentlich klappt das!
Hat nicht geklappt :Dieses Symbol im Editor finde ich nicht,da ist keines, da ist nur die Leiste mit Datei, Bearbeiten,Format, Ansicht. Sorry, habe ich nicht richtig gemacht ;dieses Symbol ist nicht da.
Und jetzt?

Das beantwortet meine Frage nicht wirklich.
Was für eine Riskware war das, woher hast du die?

Hallo cosinus, die riskware habe ich auf ponyfile runtergeladen, eigentlich sollte es der GMER rootkitscanner gewesen sein, aber der hat alles andere als ein Scanner ausgepackt. Hinterher habe ich alles deinstalliert aber eben dieser abgelaufene Hitman hat angeschlagen.
Den GMER wollte ich mir runterladen,was jetzt ja auch geklappt hat, um mir Klarheit zu verschaffen was mit meinem System los ist. Leider kann ich halt mit den Log Dateien nichts anfangen, ich kenne mich nicht aus. Dieses Symbol im Editor ist auch nicht da, welche Möglichkeit gibt es noch, um Dir die Log zu senden. Und die anderen Logs wie sieht es da aus mit meinem System? Bin dankbar um weitere Hilfe und Unterstützung

hallo Cosinus, ich habe die log vom Hitman Pro , hoffe sie kommt an
Bis dann

ponyfile kenn ich nicht. Nur filepony. Wenn du GMER von da hast war das völlig ok.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi cosinus, na toll, wie funktioniert das mit diesen codetags...wie wandele ich die logs in diese tags um? Muss ich die logs einfach nur markieren und dann in diesen code einfügen.Wie oder was?
Bitte beschreibe mir das näher ansonsten kriege ich das nicht geregelt mit diesem irren Zahlenstrudel.Frage:alle logs, die ich gemacht habe plus Farbar scan mit diesen tags in meinen thread posten.
Hoffentlich beschreibst du mir das näher, wie gehe ich mit diesen tags vor, wie mache ich so was??????????????

Nun bleib doch mal ruhig, immer langsam Schritt für Schritt :)

Hi...scan hat was gefunden....das posten mit diesem code funktioniert eventuell nicht, weil ich es nicht kapiere, ausserdem ist dieses Symbol beim editor nicht zu finden ...was ist mit dieser website mit diesen code-tags; was fange ich mit der an??


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

FRST Additions Logfile:
--- --- ---

Hast du das GMER-Log noch? Wenn ja, bitte gezippt in den Anhang. So aber nur verfahren wenn die Logs zu groß sind!

Hallo cosinus, meinst du so.......wenn das jetzt richtig ist, soll ich die anderen logs plus Hitman.log ,ich meine GMer, so in meinen Thread posten..?Soviel Lesestoff?

Nein, nur das GMER-Log bitte in die nächste Antwort, die anderen hast du doch schon alle gepostet!

Super, danke schon gezippt und unterwegs..

Bitte mal ein Log mit CF machen:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo cosinus..combo fix auch mit Hilfe der code tags in den Thread posten????????
Habe noch keinen scan gemacht.....Schönen Abend noch

Wieso sollte es da eine Ausnahme sein? Natürlich sollten alle Logs in CODE-Tags :)

Natürlich nicht,ich will ja auch nicht, dass Du blutende Hände kriegst und Schutzhandschuhe tragen musst...
Irgendwie seltsam, der combo fix funktioniert nicht.Nach dem Downloaden hat er gesagt er sucht Systemwiederherstellungspunkte, er sucht nach giftigen Dateien, dies sollte ein paar min dauern oder auch einige mehr ;dann sah ich nur noch den Balken aber angezeigt was er jetzt da untersucht hat er nicht.....dann habe ich eine Ewigkeit gewartet 2 Stunden 4
8 ,14 Stunden bis ich ihn ausgeknipst habe......wie deprimierend. Und jetzt??
Bitte nicht im Stich lassen..

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Ja danke, probiere ich;hoffentlich kann ich den Fix auch löschen

alles getan fix gelöscht, dann cf erneut und installiert........aber er scant mein System nicht!

Was bitte soll das genau heißen?

dieses verdammte Fix scannt einfach nicht. Fix erstellt zwar Systemwiederherstellungspkt.
Das is aber auch alles, obwohl die internetcaches gelöscht sind.

Wo bitte GENAU ist cf jetzt? Was genau steht da?

auf dem Desktop rechts neben dem OTL.log.
Nach dem Doppelklicken erscheint ein blaues Fenster
1.Satz: Suche nach infizierten Dateien
2.Satz:Suche Systemwiederherstellungspkt.
3.Satz:kann bis 10 min.dauern bei stark infizierten Computern das Doppelte
dann nur noch ein Querbalken

Dann CF biite abbrechen, Rechner neu starten und anschließend MBAR ausführen:


Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

ComboFix Nsis installer
Swearware
Dateiversion 13.7.31.2

MBAR hat keine malware gefunden. Diese log muss ich doch nicht etwa posten??

Was stand in Posting #7? :pfeiff:

;)

Ja klar,

JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit Farbars Tool bitte:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi cosinus,junkware hat tatsächlich gescannt und ein paar Sachen entfernt;die log unter Dir, die anderen logs werden dann auch noch gepostet

Die x-te cleaner log

cosinus, jetzt weiss ich nicht ob das so stimmt,die Hosts sind nicht aufgelistet, weil ich vergessen habe den Haken bei FRST in Addition.txt zu setzen.

Sorry, ich habe mich vertan....addition txt. wird auch noch gepostet

Die Logs bitte in CODE-Tags!

Ja, ich erinnere mich,die FRST logs sind gross,sodann lösche ich die FRST log , die ich schon gepostet habe.Wie lösche ich die vom board?


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

FRST Additions Logfile:
--- --- ---

adwcleaner und JRT bitte auch in CODE-Tags ;)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.3.2 (08.03.2013:1)
OS: Microsoft Windows XP x86
Ran by Susanne on 04.08.2013 at 15:58:44,85
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\*.crossrider.com
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL
Successfully deleted [Registry Value] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\bProtectTabs



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\babsolution
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\crossrider
Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr
Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr_toolbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\delta
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\installcore
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\sweetim
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\yahoopartnertoolbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\datamngr
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\delta
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\sweetim
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\prod.cap
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\babsolution"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\babylon"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\dealply"
Successfully deleted: [Folder] "C:\Programme\crossriderwebapps"





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 04.08.2013 at 16:04:01,35
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

AdwCleaner Logfile:
--- --- ---

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes Anti-Malware (MBAM)

Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mir ist ein Fehler unterlaufen, habe die codetags endlich geschnappt,Nochmal richtig ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.3.2 (08.03.2013:1)
OS: Microsoft Windows XP x86
Ran by Susanne on 04.08.2013 at 15:58:44,85
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\\*.crossrider.com
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL
Successfully deleted [Registry Value] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\bProtectTabs



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\babsolution
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\crossrider
Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr
Failed to delete: [Registry Key] HKEY_CURRENT_USER\Software\datamngr_toolbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\delta
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\installcore
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\sweetim
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\yahoopartnertoolbar
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\datamngr
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\delta
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\sweetim
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\prod.cap
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\babsolution"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\babylon"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Susanne\Anwendungsdaten\dealply"
Successfully deleted: [Folder] "C:\Programme\crossriderwebapps"





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 04.08.2013 at 16:04:01,35
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
posten???

Ist doch jetzt egal. Mach bitte die Kontrollscans....

AdwCleaner Logfile:
--- --- ---


Ja ich halte mich an deinen Rat, aber was ist mit dieser Befehlszeile im geplanten Task,at1(update ).Löschen oder erst mal lassen

Ich warte immer noch auf die Kontrollscans

Diese Datei kannst du löschen

Hi cosinus,ich mache mich erst jetzt über die Kontrollscans her

Ok, aber eine Bitte: lass solche Zwischenrufe, poste nur wenn es Probleme gibt oder wenn du die Logs hast (diese dann auch posten in CODE-Tags)

Malwarebytes Anti-Rootkit BETA 1.06.0.1004
www.malwarebytes.org

Database version: v2013.08.05.03

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Su:: Si [administrator]

05.08.2013 12:43:54
mbar-log-2013-08-05 (12-43-54).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 233718
Time elapsed: 1 hour(s), 7 minute(s), 26 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Nochmal die bitte: die Logs sind in CODE-Tags zu posten
ESET fehlt noch

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=12885887525fe54ba5455be933a08834
# engine=14659
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-08-05 03:32:24
# local_time=2013-08-05 05:32:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1791 16777215 0 0 0 0 0 0
# scanned=84553
# found=0
# cleaned=0
# scan_time=11046

Was hast du eigentlich an den CODE-Tags nicht verstanden?? :wtf:
Ist nun aber egal

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

kann passieren, wenn man in Eile ist. Ne die verfolgenden cookies sind mir überhaupt nicht egal; am liebsten häätte ich ein Spywareprogramm, die diese Wuchtbrummen auch findet und löscht ansonsten war das ganz grosse Klasse von dir und du würdest mir einen großen Gefallen tun, mir bei diesem Schnüffler auch zu helfen;muss ich vielleicht die IP abändern oder wie oder was. In jedem Fall gibt es da einiges zu überprüfen aber was GENAU????
2 Eingänge in Hosts was FRST beschrieben hat ist mir auch unklar..........

IP ändern hilft garnix gegen Cookies. Wie kommst du darauf, ich hab doch zwei Möglichkeiten erwähnt, um unliebsame Cookies nicht mehr dauerhaft auf dem Rechner zu haben.

Ungenau, weiß nicht was du da genau meinst.

Diese zwei Möglichkeiten nutze ich auch..Dankeschön!
Ich meine denjenigen, der einen Computerzorn bekommen hat und meine geschützten worddateien verändert hat, den Hacker. Am 1.August hat er das Datum vorgestellt u.s.w.

Einen was bitte? :wtf:

Hast du dafür handfeste Hinweise, dass wirklich jmd auf deinem Rechner war und Dateien manipuliert hast?

Korrupte Worddateien oder ein verstelltes Datum kann freilich mehr Ursachen haben als ein Hacker (Blackhat)

An meinen Rechner gehe nur ich, aber da war ein neu erstellter Ordner, den ich gelöscht habe. Es war auch kein Ordner von einem Programm oder so ein infizierter auch nicht.

Blackhat was ist denn das?????????

Das ist so nun wahrlich kein handfester Hinweis für einen Blackhat

Kennst du schon Google? :D => http://de.wikipedia.org/wiki/Black_Hat
Außerdem solltest du mal deine Tastatur checken, da scheint die ?-Taste zu klemmen :pfeiff: