HEUR:Trojan.Win32.Generic entfernen
 

Hallo,
der Rechner meiner Freundin hat sich alle Nase lang aufgehängt und das Internet ist eingefroren. Die Deaktivierung des WLAN s ist unverzüglich rückgängig gemacht worden und dann gesperrt gewesen. Nach dem willkürlichen Beenden von "komischen" Prozessen konnte ich wenigstens wieder an dem Rechner arbeiten. Das WLAN am Router ist deaktiviert. Auf dass der Rechner wechseldatenträger akzeptierte war die Beendigung weiterer Processe nötig.
Beim Checken mit Ad-Aware ist der o.g.Trojaner herausgekommen.
Nachdem ich ihn entfernt hatte war er beim nächsten Check wieder da. :headbang:

Beim Googlen dessen bin ich auf euch gestossen und habe einen Hijack-This Scaan durchgeführt und folgenden Log erhalten


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:06, on 15.01.2011
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\acs.exe
C:\WINXP\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\EPSON\EpsonCustomerResearchParticipation\EPCP.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINXP\system32\PSIService.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINXP\system32\SearchIndexer.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINXP\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINXP\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iMesh Applications\MediaBar\DataMngr\DataMngrUI.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
C:\Programme\Atheros WLAN Client\ACU.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINXP\NCLAUNCH.EXe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\WINXP\system32\SearchProtocolHost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
E:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://search.conduit.com?SearchSource=10&ctid=CT2269050
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
R3 - URLSearchHook: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\Programme\iMesh Applications\MediaBar\DataMngr\IEBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: MediaBar - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - C:\Programme\iMesh Applications\MediaBar\ToolBar\iMeshMediaBarDx.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O3 - Toolbar: MediaBar - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - C:\Programme\iMesh Applications\MediaBar\ToolBar\iMeshMediaBarDx.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\tbDVDV.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DataMngr] C:\Programme\iMesh Applications\MediaBar\DataMngr\DataMngrUI.exe
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SearchSettings] "C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros WLAN Client\ACU.exe" -nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINXP\NCLAUNCH.EXe
O4 - HKCU\..\Run: [EPSON Stylus S20 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIEAE.EXE /FU "C:\WINXP\TEMP\E_S4A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ITD7] "C:\Programme\Steganos Internet Trace Destructor 7\itd7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.00\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\IMESHA~1\MediaBar\DataMngr\datamngr.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINXP\system32\acs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EpsonCustomerResearchParticipation - SEIKO EPSON CORPORATION - C:\Programme\EPSON\EpsonCustomerResearchParticipation\EPCP.exe
O23 - Service: Google Update Service (gupdate1ca1af32745745e) (gupdate1ca1af32745745e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINXP\system32\PSIService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 16040 bytes




Da ich leider keinerlei Ahnung davon habe würde ich mich über Hilfe sehr freuen.

Hallo hardy75 und Willkommen am Trojaner Board!




Vorweg ein paar Hinweise (Bitte beachten!):

• Lies meine Anleitung für dich sorgfältig durch, bevor du beginnst. Führe alle Schritte unbedingt der Reihe nach aus, da manchmal der eine Punkt den anderen voraussetzt.
• Wenn dir etwas im Verlauf der Bereinigung unklar ist, frage bitte in deinem Thread nach, bevor du weitermachst.
• Lade alle hier angeordneten Programme nur durch die jeweiligen Links herunter! Wenn ein Link nicht funktionieren sollte, melde dich bitte.
• Installiere während der Bereinigung keine weiteren Programme, ausser denen, die wir dir für die Bereinigung anordnen.
• Berichte zu jedem Schritt, ob Du ihn abgearbeitet hast, bzw. ob und welche Probleme dabei aufgetreten sind.
• Sollten beim Abarbeiten der Anleitung Probleme auftauchen, bitte vorerst nicht weitermachen, sondern stoppen und das Problem hier im Thread schildern.
• Ich bereinige keine Systeme, auf denen ich Keygens, Cracks, oder sonstige illegale Software finde.
• Editiere alle persönlichen Daten wie z.B. vollständige Namen realer und privater Personen aus den geforderten Logfiles, bevor du sie postest.
• Und falls eine Antwort mal länger dauern wird, freu ich mich auch über einen hinweis :)

Ich geb mir Mühe, alles zu finden, was nicht auf dein System gehört, aber muss dich darauf hiweisen, dass Formatieren und Neuaufsetzen in den meisten Fällen die schnellste und sicherste Variante ist ein sauberes System zu bekommen. Wenn du trotzdem bereinigen möchtest, folgt hier die Anleitung:





1.) Systemscan mit OTL
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Was sind Codetags:
Schreibe vor das Log [Code] und hinter das Log [/Code]. Achte auf den "/" !
Fertig gepostet sollte das ganze dann so aussehen:
Bei manchen Logfiles werden die Codetags schon automatisch ohne dein Zutun gesetzt. Das kannst du vorweg mit der Vorschaufunktion überprüfen.





2.) Rootkitscan mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  ---

  WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

  ---

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

So, schritt 1 ist gemacht. alles unproblematisch abgelaufen.
hier erstmal der OTL-Log

OTL Logfile:
--- --- ---

ach so, nochmal ne blöde frage... wie sieht`n das eigentlich mit externen Festplatten aus. Bei AdAware ist dort nichts auffälliges gefunden worden. sollten die trotzdem gleich mit gecheckt werden oder später separat nochmal. oder gibts dafür keinen Anhalt dass da was wäre

Erstmal brauchst du die externe Festplatte nicht anschliessen.



OTL erstellt immer zwei Logfiles, es fehlt noch die extras.txt.

oh, sorry, is mir gar nicht aufgefallen.
kümmer mich sofort drum wenn gmer fertig ist.

jep, habs jetzt alles. hat gut gefunzt, gab keine Auffälligkeiten unterwegs

OTL EXTRAS Logfile:
--- --- ---




[CODE]

GMER Logfile:
--- --- ---

1.) Software deinstallieren
Start -> Systemsteuerung -> Software
Wähle folgende Software aus:
-> Ändern/entfernen
-> Und deinstallieren.

Deinstalliere bitte jede Software aus dieser Liste die noch vorhanden ist.

Deinstalliere außerdem TuneUp Utilities. In einigen Fällen macht es mehr kaputt als dass es nützt.





2.) Fixen mit OTL

Was sind die Laufwerke F:\ und E:\ ? Diese bitte abstöpseln vor dem Fix.

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  Denke daran die xxx wieder in deinen Benutzernamen zu ändern!
  
  
  Code:

  ---

  :OTL
PRC - [2010.10.22 16:47:26 | 000,524,288 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2010.10.22 16:38:46 | 000,386,560 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
SRV - [2010.10.22 16:38:46 | 000,386,560 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - No CLSID value found.
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - No CLSID value found.
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O33 - MountPoints2\{01dde08d-f9f7-11de-b3f5-00137799d64f}\Shell\AutoRun\command - "" = F:\installer.exe
O33 - MountPoints2\{01dde08d-f9f7-11de-b3f5-00137799d64f}\Shell\verb\command - "" = F:\installer.exe
O33 - MountPoints2\{1f63e22c-3f2b-11df-b42a-00137799d64f}\Shell - "" = AutoRun
O33 - MountPoints2\{1f63e22c-3f2b-11df-b42a-00137799d64f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1f63e22c-3f2b-11df-b42a-00137799d64f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{1f63e22d-3f2b-11df-b42a-001b9edf566a}\Shell - "" = AutoRun
O33 - MountPoints2\{1f63e22d-3f2b-11df-b42a-001b9edf566a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1f63e22d-3f2b-11df-b42a-001b9edf566a}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{670e91bb-df56-11df-b4f5-001b9edf566a}\Shell\AutoRun\command - "" = ZALJUBIT///dousiju.exe
O33 - MountPoints2\{670e91bb-df56-11df-b4f5-001b9edf566a}\Shell\explore\command - "" = ZALJUBIT///dousiju.exe
O33 - MountPoints2\{670e91bb-df56-11df-b4f5-001b9edf566a}\Shell\open\command - "" = ZALJUBIT///dousiju.exe
O33 - MountPoints2\{8b1e83f0-bf2a-11df-b4d6-00137799d64f}\Shell\AutoRun\command - "" = E:\pccompanion\Startme.exe
O33 - MountPoints2\{8b1e83f0-bf2a-11df-b4d6-00137799d64f}\Shell\menu1\command - "" = E:\pccompanion\Startme.exe
[2011.01.15 12:11:10 | 000,001,044 | ---- | M] () -- C:\WINXP\tasks\Google Software Updater.job
[2011.01.15 10:48:14 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2011.01.08 14:33:50 | 000,028,160 | ---- | M] () -- C:\WINXP\System32\msacm32d.dll
[2009.09.01 11:30:59 | 000,003,082 | ---- | C] () -- C:\WINXP\System32\affv300053706p4now.sys
[2010.11.16 23:43:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Search Settings
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\iMesh Applications\iMesh\iMesh.exe" =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iMesh Applications\iMesh\iMesh.exe" =-
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.) Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.) Einstellungen prüfen
Stelle sicher, dass bei dir alle Ordner und Dateien angezeigt werden:

• Starte den Windows Explorer (Rechtsklick auf Start -> Explorer)
• => Extras
• => Ordneroptionen
• => Ansicht
• Ändere folgende Einstellungen:
  • Entferne den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden
  • Entferne den Haken bei Geschützte Systemdateien ausblenden
  • Setze den Haken bei Inhalte von Systemordnern anzeigen (Nicht in Vista vorhanden)
  • Unter "Versteckte Dateien und Ordner" setzt du den Punkt bei Alle Dateien und Ordner anzeigen

5.) Dateiüberprüfung auf Virustotal
Besuche Virustotal
Suche dort nacheinander folgende Dateien und lade sie über den Button "Send file" hoch.
Die Überprüfung kann jeweils einige Minuten dauern. Wenn die Datei bereits von anderen Usern geprüft wurde, lasse sie erneut prüfen. Poste mir die Ergebnisse mit Kopf und allem in Codetags hier in den Thread.
Wenn eine Datei nicht zu finden ist, sag mir bitte Bescheid.

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe6C.dll

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpe2C.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\E9B0EA0818.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\778C8C9EFA.sys

__________

Hey hardy,

bei den Dateiüberprüfungen hast du irgendwas falsch gemacht. Ich brauche die Ergebnisse der 41 Virenscanner!

Ach die Tabelle mit Antivir, Version und Result...
kommt unten. Überall `n Strich bei Result. die ersten Beiden hat er als good eingestuft, die letzten beiden als unknown. irritierender weise steht da was von MS Flightsimulator. der war auf dem Rechner aber nie drauf.

1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  Denke daran die xxx wieder in deinen Benutzernamen zu ändern!
  
  
  Code:

  ---

  :OTL
FF – prefs.js..browser.search.defaultenginename: “iMesh Web Search”
FF – prefs.js..browser.search.defaultthis.engineName: “Search”
FF – prefs.js..browser.search.defaulturl: “hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}”
FF – prefs.js..browser.search.order.1: “iMesh Web Search”
FF – prefs.js..browser.search.param.yahoo-fr: “chr-greentree_ff&type=971163″
FF – prefs.js..browser.search.selectedEngine: “Search”
FF – prefs.js..browser.startup.homepage: “hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13″
FF – prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.0.14
FF – prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:2.5.8.6
FF – prefs.js..keyword.URL: “hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=”
[2010.12.13 21:22:16 | 000,000,000 | ---D | M] (Yahoo! Toolbar) — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.06.30 15:29:58 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010.04.24 15:14:09 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2010.01.30 17:19:44 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.06.30 20:17:20 | 000,000,881 | ---- | M] () — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\searchplugins\conduit.xml
[2010.03.28 11:43:30 | 000,002,456 | ---- | M] () — C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\searchplugins\iMeshWebSearch.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2011.01.16 10:32:06 | 000,001,088 | ---- | M] () — C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2011.01.16 10:29:42 | 000,000,490 | ---- | M] () — C:\WINXP\tasks\1-Klick-Wartung.job
[2011.01.16 10:28:39 | 000,001,044 | ---- | M] () — C:\WINXP\tasks\Google Software Updater.job
[2009.01.03 11:27:43 | 000,027,648 | ---- | C] () — C:\WINXP\System32\AVSredirect.dll
[2011.01.04 12:30:36 | 000,000,000 | ---D | M] — C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24138
[2008.06.06 19:01:24 | 000,000,000 | ---D | M] — C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.) Malwarebytes Antimalware
Downloade Malwarebytes Anti-Malware von einem dieser Downloadspiegel:

Malwarebytes - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Win7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista & Win 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierung), wenn das nicht automatisch passiert.
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind.
• Achtung: Bitte alle Funde, die im Ordner "C:\System Volume Information" gemacht werden sollten, vorerst noch nicht markieren sie sollen noch bestehen bleiben und können nichts anrichten.
• Drücke auf "Löschen"
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.

3.) Eset Online Scan
ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Poste bitte in deiner nächsten Antwort:

• Das Logfile vom OTL Fixen (Schritt 1)
• Das Logfile von Malwarebytes Antimalware (Schritt 2)
• Das Logfile vom Eset Onlinescan (Schritt 3)

Berichte außerdem, wie der Rechner nun läuft.

Aufgrund der drohenden Neuinstallation des Systems hat meine Freundin Datensicherung betrieben und das eine und andere gelöscht.
lustigerweise haben wir jetzt trotz mehrerer Scans von Rechner und externer Festplatte keinen Hinweis auf den Trojaner mehr gefunden.
Glück? können wir uns in Sicherheit wiegen oder ist die nur gefühlt und das ding lauert noch irgendwo schlafend?

Was denn für ne drohende Neuinstallation? :wtf:

nun ja, du hattest am Anfang gesagt, das der sicherste Weg das Neuaufsetzen des Systems wäre und dass man das aber auch anders versuchen könnte.
Das heisst für mich, dass es sein kann dass die kiste trotzdem noch platt gemacht werden muss. DAs hab ich ihr natürlich auch so gesagt.
Hat mich ziemlich angekotzt, dass ich 3 Tage in die Kiste investiert hab und sie dann irgenwann mittendrin anfängt an dem Ding rumzufummeln, kanns aber jetzt auch nicht ändern. Fakt ist, dass mittlerweile multipelste Scans ohne Trojanernachweis gelaufen sind.

Wenn wir bereinigen, braucht ihr nicht neu aufzusetzen ;) Das kommt in den seltensten Fällen mal vor, dass trotz Bereinigung neuaufgesetzt werden muss.

Dass ihr keine Trojaner mehr entdecken konntet, hat ja möglicherweise auch damit zu tun, dass wir schon einiges gelöscht haben :rolleyes:

Naja, wenn ihr nicht neuaufsetzt, solltet ihr trotzdem weiter die Anleitung abarbeiten.

alles klar, weiter gehts...

Okay, wie läuft der PC in der Zwischenzeit?



Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

der rechner läuft soweit so gut.
kein einfrieren mehr.
hab den OTL-Scan nochmal wiederholt.

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Hast du vor dem OTL-Fix auch den Benutzernamen wieder mit den *** ausgetauscht? Das ist wichtig, sonst funktioniert der Fix nicht.


1.) Fixen mit OTL

• Starte bitte die OTL.exe.
  Vista-&Win7-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt der folgenden Codebox in die Benutzerdefinierte Scans/Fixes - Textbox.
  
  Denke daran die xxx wieder in deinen Benutzernamen zu ändern!
  
  
  Code:

  ---

  :OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050
FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "iMesh Web Search"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13"
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.6.20090220
FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p="
[2010.12.13 21:22:16 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.06.30 15:29:58 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010.06.30 15:29:58 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.04.24 15:14:09 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2010.01.30 17:19:44 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.06.30 20:17:20 | 000,000,881 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\searchplugins\conduit.xml
[2010.03.28 11:43:30 | 000,002,456 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\juber5bs.default\searchplugins\iMeshWebSearch.xml
[2010.03.28 11:43:30 | 000,002,456 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\iMeshWebSearch.xml
[2010.08.04 08:40:34 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
[2011.01.15 19:47:28 | 000,000,000 | ---D | C] -- C:\Programme\RegCleaner
[2011.01.04 12:30:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24138
[2011.01.15 19:47:30 | 000,000,635 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\RegCleaner.lnk
[2009.01.15 08:55:08 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\E9B0EA0818.sys
[2009.01.03 11:27:43 | 000,027,648 | ---- | C] () -- C:\WINXP\System32\AVSredirect.dll
[2008.10.07 07:36:10 | 000,000,088 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\778C8C9EFA.sys
[2011.01.04 12:30:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\24138
[2008.06.06 19:01:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software
:Commands
[PURITY]
[EMPTYTEMP]
[CREATERESTOREPOINT]

  ---

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf OK.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.) Geplante Tasks löschen
Start -> Alle Programme -> Zubehör -> Systemprogramme -> Geplante Tasks

Lösche dann nacheinander folgende Tasks (Rechtsklick auf den Task und dann Löschen):




3.) Erneuter Scan mit Malwarebytes Antimalware

• Anwendbar auf Windows 2000, XP, Vista und Win7.
• Denke daran, bei Vista & Win 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Aktualisierung), wenn das nicht automatisch passiert.
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan. (Du kannst hier auch zur Prüfung die externe Festplatte anschliessen)
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Versichere Dich, dass alle Funde markiert sind.
• Achtung: Bitte alle Funde, die im Ordner "C:\System Volume Information" gemacht werden sollten, vorerst noch nicht markieren sie sollen noch bestehen bleiben und können nichts anrichten.
• Drücke auf "Löschen"
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.

4.) Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.
Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.





5.) Sicherheitsrisiko Adobe Arcrobat Reader

Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader X herunter und installiere ihn.

Da der Adobe Acrobat Reader immer häufiger für gezielte Verbreitung von Malware genutzt wird, schlage ich vor, stattdessen einen alternativen PDF-Anzeiger zu nutzen, beispielsweise kannst Du den Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Achte bei der Installation unbedingt darauf, dass die Ask-Toolbar und/oder Foxit-Toolbar bzw. Sponsoren nicht mitinstalliert werden (ggfs. sofort über Systemsteuerung => Software wieder deinstallieren).





6.) Mozilla Firefox aktualisieren
Starte Mozilla Firefox -> Hilfe -> Nach Updates suchen -> Anweisungen folgen.





Erstelle nach diesen Schritten zwei frische OTL-Logfiles.

meine wohl die sternchen wieder ersetzt zu haben aber möglich ist es sicher dass ich was übersehen hab.
hab heute nochmal genau drauf geachtet.

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

Gut, der Fix hat diesmal geklappt :)


Kannst du mal nachsehen, wozu dieser neue Ordner auf deinem Desktop gehört?



1.) Einstellungen zurücksetzen

Die Einstellungen aus Post 9 Schritt 4 kannst du nun wieder rückgängig machen.





2.) Windowsupdates

Besuche bitte mit dem Internet Explorer die Microsoftupdate-Seite und lade dir über die Benutzerdefinierte Suche alle angebotenen Updates herunter.

Alternativ kannst du dir die Updates auch mit dem Mozilla Firefox laden, du benötigst dafür aber das AddOn IE View.




Wenn du Interesse daran hast, den PC noch ein bisschen aufzuräumen, zb. dass der Systemstart schneller vonstatten geht, erstelle und poste bitte noch ein Hijachthislog. Dazu musst du aber erst die aktuelle Version installieren.

3.) Hijackthis

Du benutzt eine nicht aktuelle Version, die neueste ist HijackThis 2.0.4.
Deinstalliere Hijackthis und lade dir zb HIER die neueste Version 2.0.4. und installiere es.




4.) CCleaner
Arbeite folgende Anleitung ab (Schritt 1 und 2):
CCleaner

Hallo hardy75,

gehts hier noch weiter? Ich würde so langsam in deinem Fall gerne zum Ende kommen ... ;)