Trojaner-Board - Internet ist viel zu langsam geworden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internet ist viel zu langsam geworden (https://www.trojaner-board.de/100073-internet-viel-langsam-geworden.html)

Internet ist viel zu langsam geworden

Hallo Team!

Ich habe folgendes Problem: Mein Internet ist seit ein paar Tagen extrem langsam geworden. Ich bin wie die meisten hier kein Profi und hab versucht mich über google schlau zu machen. Hab einiges gefunden, viel geholfen hat es nicht. Heute hab ich beim Download von OTL (~500KB) über 3min gebraucht..

Anfänglich hab ich folgendes gemacht:
1. AdWare ausgeschalten.
2. Cache erhöht und geleert
3. Defragmentiert
4. Antivir Systemcheck gemacht. Dabei kamen 3 Warnungen, die ich in die Quarantäne verschoben hab und mittlerweile gelöscht..
Keine Ahnung ob davon überhaupt irgendwas sinnvoll war, außer der Systemcheck.
Jetzt bin ich mit meinem Latein am Ende.

defogger hab ich gemacht. Es kam das finished- allerdings fordert er kein Neustart. Der Logfile kam trotzdem.
Da kam das:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:26 on 07/06/2011 (x)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-

Beim OTL kam das raus, vielleicht hilft das ja..?!OTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 07.06.2011 22:08:20 - Run 1

OTL by OldTimer - Version 3.2.23.0 Folder = C:\Dokumente und Einstellungen\x\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,50 Gb Total Physical Memory | 2,90 Gb Available Physical Memory | 82,85% Memory free

5,34 Gb Paging File | 4,83 Gb Available in Paging File | 90,41% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 97,65 Gb Total Space | 78,01 Gb Free Space | 79,89% Space Free | Partition Type: NTFS

Drive D: | 7,80 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Drive E: | 195,31 Gb Total Space | 96,80 Gb Free Space | 49,56% Space Free | Partition Type: NTFS

Drive F: | 303,20 Gb Total Space | 222,55 Gb Free Space | 73,40% Space Free | Partition Type: NTFS

 

Computer Name: x | User Name: x | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [open] -- Reg Error: Value error.

htmlfile [opennew] -- Reg Error: Key error.

http [open] -- Reg Error: Key error.

https [open] -- Reg Error: Key error.

InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 0

"DoNotAllowExceptions" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"E:\Spiele\Steam\Steam.exe" = E:\Spiele\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)

"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)

"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam

"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center

"{0893078B-8A9A-84D6-D393-119B9B0B033A}" = CCC Help French

"{0E2A60F7-2907-5718-FF16-7D8FAF70051E}" = CCC Help Chinese Standard

"{14FAE013-AE19-4FC9-B5BF-E56ADC01ECE6}" = CCC Help Turkish

"{17BB2784-6EE4-D7FF-FE63-58A3AD2B3708}" = CCC Help Russian

"{233588CF-96D5-46AF-EF74-7EC382662791}" = Catalyst Control Center Graphics Full Existing

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11

"{3260ECBC-9DDF-E7A3-0863-449473BC7BD5}" = CCC Help Chinese Traditional

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{39C6C229-CFFD-639E-229A-E463FCD87478}" = CCC Help German

"{3F5C371F-8EA2-4F25-9D3D-D0B4526E3AEA}" = NVIDIA PhysX

"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Premium

"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU

"{4F11FC80-CE8C-1BD4-5C39-EBE5744E5135}" = CCC Help Portuguese

"{4FAB2BA7-E16C-95D2-F326-60A68409373F}" = Catalyst Control Center HydraVision Full

"{529AA9A8-5020-6CFB-A809-BC5943C87077}" = CCC Help Thai

"{53604297-26FD-516D-6FF7-1063BA64A0A4}" = Catalyst Control Center Graphics Light

"{55BD3B0B-F054-9341-514F-295A5F7EA450}" = CCC Help Spanish

"{5A4FA9C8-ED56-08C3-153B-FC5C19256290}" = CCC Help Dutch

"{5B363E1D-8C36-4458-BAE4-D5081999E094}" = Browser Configuration Utility

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{6C390D51-E5F0-4FCD-24C4-731ACAF34571}" = CCC Help Japanese

"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2

"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2

"{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution

"{7AA8FA9A-1656-7DBD-633B-FE7A62BBED0C}" = CCC Help Czech

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{8C22131B-8634-CECF-F0D1-A2ECC160B450}" = CCC Help Norwegian

"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System

"{90FBE4D0-2ACA-A8A8-2CC4-CFFBAE528504}" = CCC Help Finnish

"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)

"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9D74375E-3012-E7D2-9229-B220C91F326A}" = Catalyst Control Center Core Implementation

"{9EE8BDCA-7505-4895-D91E-8108DD16292E}" = CCC Help English

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A8AF8BD3-61B5-7945-4D1B-217421F604FC}" = CCC Help Hungarian

"{AA46E1C5-A709-6D9B-D99D-92E4C6E042A9}" = CCC Help Korean

"{AA62A33C-9E5E-3913-7D88-7E58A8CB1493}" = CCC Help Greek

"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch

"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86

"{B45FABE7-D101-4D99-A671-E16DA40AF7F0}" = Microsoft Games for Windows - LIVE

"{B578C85A-A84C-4230-A177-C5B2AF565B8C}" = Microsoft Games for Windows - LIVE Redistributable

"{B653F643-A1B4-9936-2DB6-FEA9A3110D8D}" = ccc-core-preinstall

"{B71C4637-0247-78CE-6A3D-D61645CB8921}" = ccc-utility

"{B9C9DB4C-6D77-4AE9-AD1C-C708C23239A0}" = Nokia Connectivity Cable Driver

"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation

"{BC2E7C0B-1AC6-5F6C-F31D-E1E72D8E0B5C}" = CCC Help Danish

"{BF8C7DA7-2DE6-ED67-6C82-6BE82F8BA8D3}" = Catalyst Control Center Graphics Full New

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C409F338-BB20-6C4A-F40D-20CA07AF714C}" = CCC Help Polish

"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"{D4B7B2DC-E688-A9D6-6EC0-56AE540E074C}" = Catalyst Control Center Localization All

"{D9CD701B-3F04-FC69-D974-F3A7F5E9BA30}" = CCC Help Swedish

"{D9D93D74-107D-4BD3-87D0-AABCF7C98BD5}" = Catalyst Control Center - Branding

"{DA6FAB8D-E87A-4E8E-A3D3-B7B9F479C725}" = forteManager

"{E213321B-1E88-B38D-DAB2-D8CB9355984A}" = Skins

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack

"{F4148D8F-ED3A-3097-509C-04D5560220F9}" = ccc-core-static

"{F7E68997-E626-952B-A7BF-F72066CD5D77}" = Catalyst Control Center Graphics Previews Common

"{FA36C82B-464D-51F2-A6A1-0BC9140BE067}" = CCC Help Italian

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"DivX Setup.divx.com" = DivX-Setup

"EXPERTool_is1" = EXPERTool 7.6

"Explorer Suite_is1" = Explorer Suite III

"ie8" = Windows Internet Explorer 8

"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU

"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)

"NVIDIA Display Control Panel" = NVIDIA Display Control Panel

"NVIDIA Drivers" = NVIDIA Drivers

"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager

"RealPlayer 6.0" = RealPlayer

"Sound Blaster 16" = Sound Blaster 16

"Uninstall_is1" = Uninstall 1.0.0.1

"VLC media player" = VLC media player 1.1.7

"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7

"Winamp" = Winamp

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 ========== Last 10 Event Log Errors ==========

[ Application Events ]

Error - 22.05.2011 13:38:24 | Computer Name = x | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul

unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 22.05.2011 13:38:56 | Computer Name = x | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes

Modul unknown, Version 0.0.0.0, Fehleradresse 0x01134dc9.

Error - 22.05.2011 13:39:50 | Computer Name = x | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung firefox.exe, Version 2.0.1.4120, fehlgeschlagenes

Modul unknown, Version 0.0.0.0, Fehleradresse 0x016e4dc9.

Error - 22.05.2011 13:39:54 | Computer Name = x | Source = Application Error | ID = 1001

Description = Fehlerhafter Speicherbereich 1945983727.

Error - 23.05.2011 13:10:32 | Computer Name = x | Source = Avira AntiVir | ID = 4122

Description = Die Datei <AVEvtLog> konnte nicht geladen werden. Fehlercode: 

Error - 05.06.2011 15:08:20 | Computer Name = x | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung firefox.exe, Version 2.0.1.4120, Stillstandmodul

hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.06.2011 15:08:53 | Computer Name = x | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung firefox.exe, Version 2.0.1.4120, Stillstandmodul

hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 07.06.2011 03:40:49 | Computer Name = x | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung firefox.exe, Version 2.0.1.4120, fehlgeschlagenes

Modul unknown, Version 0.0.0.0, Fehleradresse 0x016e4dc9.

Error - 07.06.2011 03:41:04 | Computer Name = x | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung firefox.exe, Version 2.0.1.4120, Stillstandmodul

hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 07.06.2011 03:43:16 | Computer Name = x | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung firefox.exe, Version 2.0.1.4120, fehlgeschlagenes

Modul unknown, Version 0.0.0.0, Fehleradresse 0x016e4dc9.

[ System Events ]

Error - 01.06.2011 13:13:28 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 03.06.2011 13:22:12 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 04.06.2011 05:22:36 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 05.06.2011 05:34:13 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 05.06.2011 14:31:45 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 06.06.2011 02:01:24 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 06.06.2011 12:35:22 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 06.06.2011 16:02:43 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 07.06.2011 03:22:13 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

Error - 07.06.2011 14:36:05 | Computer Name = x | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Cardex" wurde aufgrund folgenden Fehlers nicht gestartet:

%%183

< End of report >

--- --- ---

Wenn ihr noch mehr braucht, sagt bescheid.
Ich hoffe ihr könnt mir helfen..!

Gruß
Franz

Hier ist noch die Gmer.txt im Anhang..! Grade fertig geworden..

Nachtrag:

Ich hab jetzt nochmal mit AntiVir nen Systemcheck gemacht. Da hat es plötzlich keine Warnungen mehr gegeben. Vorher hab ich wie gesagt den Quarantäneordner gelöscht.

Das Internet ist jetzt auch wieder viel schneller, als vorher. Kp ob es sich damit erledigt hat, vielleicht findet ja der ein oder andere noch was in den Files die ich bereits online gebracht hab, damit das ganze nicht morgen wieder losgeht..!? :)

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.

Hallo Franz,

Schritt # 1: Wichtige Hinweise
Du bist u.a. mit einem Trojaner infiziert, der Passwörter ausspioniert. Daher bitte bis auf weiteres kein Online-Banking und keine Online-Einkäufe, etc. vornehmen!

Schritt # 2: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 3: Fix mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

:files

C:\Recycle.Bin\config.bin

C:\Recycle.Bin

C:\rgotgktjgbt\config.bin

C:\rgotgktjgbt\rgotgktjgbt.exe

C:\rgotgktjgbt

C:\syufahusjif\config.bin

C:\syufahusjif
 

:Commands

[purity]

[emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 4: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 6: Berichte von AntiVir nachreichen

Du hast folgendes geschrieben:

Zitat:

Antivir Systemcheck gemacht. Dabei kamen 3 Warnungen, die ich in die Quarantäne verschoben hab und mittlerweile gelöscht..
Keine Ahnung ob davon überhaupt irgendwas sinnvoll war, außer der Systemcheck.

Öffne das Control Center von Avira
Klicke links auf Ereignisse
Suche nach den entsprechenden Meldungen von AntiVir
Mit einem Doppelklick auf das jeweilige Ereignis werden dir genauere Informationen angezeigt; diese Zeilen kannst du kopieren und hier ins Forum einfügen.
Poste mir alle Berichte von Avira, bei denen Malware gefunden wurde.

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des TDSS Killers,
das Logfile des OTL-Fix,
das Logfile von MBAM,
das Logfile von ComboFix und
die Berichte von AntiVir.

Hallo M-K-D-B!

Danke erstmal für deine Hilfe! Sorry, dass ich mich jetzt erst melde, bin jetzt voll da um das durchzuziehen. Ich hab alles soweit gemacht, wie du gesagt hast und hänge die Logs bzw. Ereignisse von AntiVir hinten dran..!

Diese Meldungen kamen am 03.06. und 04.06 insgesamt 11x. Ich hab alle verglichen, es waren die hier die vorkamen:

8x das hier:
In der Datei 'C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0099055.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Jorik.SpyEyes.nm' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Die Datei 'C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0098940.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/VBKrypt.decp' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f60504c.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0098878.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/VBKrypt.dbcl' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e192563.qua' verschoben!

Die Datei 'C:\Recycle.Bin\Recycle.Bin.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Jorik.SpyEyes.nm' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e4c2598.qua' verschoben!

Scanner danach fand das:

Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 314274
Anzahl Verzeichnisse: 12007
Anzahl Malware: 0
Anzahl Fehler: 2

der letzte Scanner ist vom 09.6 und fand ebenfalls nur das:

Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 317878
Anzahl Verzeichnisse: 14091
Anzahl Malware: 0
Anzahl Fehler: 2

Meldungen kamen keine mehr.

Wie du schon festgestellt hast, wollte es anscheinend Passwörter vom Onlinebanking ziehen. Zum Glück ist mein Firefox immer abgestürtzt, wenn ich bei der Sparkasse anmelden wollte..

Wenn irgendwas fehlt, einfach schreiben, an sonsten warte ich auf weitere Schritte.
Danke für die Hilfe!!

Gruß
Franz

Hallo zwergi,

Schritt # 1: Wichtige Hinweise
Bitte beachte folgende Hinweise:

Ich denke, dass mein Einführunspost eindeutig war: Während der Bereinigung keine Software installieren oder deinstallieren außer ich bitte dich darum. Ich spreche von Spybot.
Bitte befolge genau die Anweisungen, andernfalls dauert die Bereinigung länger.
Ich hätte noch folgende Frage an dich:
Hattest du einmal TuneUp Utilities oder ähnliches installiert? Gehe ich richtig in der Annahme, dass du diese Software bereits deinstalliert hast?

Schritt # 2: Störende Programme

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt # 3: FileSharing Programme
Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall eMule.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.

Schritt # 4: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

FireFox::

FF - ProfilePath - %appdata%\Mozilla\Firefox\Profiles\rhwwfkmm.default\

FF - prefs.js: browser.search.defaulturl - http://search.conduit.com/ResultsExt.aspx?ctid=CT2682599&SearchSource=3&q={searchTerms}
 

File::

%appdata%\Mozilla\Firefox\Profiles\rhwwfkmm.default\searchplugins\conduit.xml

%appdata%\Mozilla\Firefox\Profiles\rhwwfkmm.default\searchplugins\web-search.xml
 

Folder::

%appdata%\Mozilla\Firefox\Profiles\rhwwfkmm.default\extensions\engine@conduit.com

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt # 5: GMER Rootkitscan
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt # 6: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%PROGRAMFILES%\*.

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

explorer.exe

regedit.exe 

winlogon.exe

wininit.exe

userinit.exe

svchost.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

eine Rückmeldung zur Deinstallation von eMule,
das neue Logfile von ComboFix,
das Logfile von GMER und
das neue Logfile von OTL (OTL.txt).

Hallo!

zu Schritt # 1: Sorry, war mir nicht bewusst, dass Spybot auch so läuft, ohne das ich es starte. War keine Absicht.
Ja, ich hatte TuneUp Utilities drauf, ist aber seit nem Monat oder so runter.

Schritt # 2: Erledigt.
Schritt # 3: Deinstalliert. Lief aber sicher nen Viertel Jahr nicht. Aber wer weiß, schon möglich, dass mir da einer was mitgeschickt hat.

Rest hängt dran..!

Gruß

Hallo Zwergi,

Schritt # 1: Fix mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2682599&SearchSource=3&q={searchTerms}"

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

[2011.03.13 19:45:18 | 000,000,000 | ---D | M] --  %ALLUSERSPROFILE%\Anwendungsdaten\TuneUp Software

[2011.03.13 19:43:46 | 000,000,000 | -HSD | M] --  %ALLUSERSPROFILE%\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}

[2011.06.11 23:50:10 | 000,000,000 | ---D | M] --  %APPDATA%\eMule

[2010.02.07 16:54:30 | 000,000,000 | ---D | M] --  %APPDATA%\TuneUp Software
 

:commands

[Purity]

[Emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 3: Scan mit SuperAntiSpyware (SAS)
Downloade Dir bitte SUPERAntiSpyware FREE Edition

Installiere das Programm und lasse das Programm die neuesten Definition und Updates laden.
Schließe alle Anwendungen inkl. Browser.
Öffne SUPERAntiSpyware und klicke auf Ihren Computer durchsuchen.
Setze ein Häkchen bei Kompletter Scan und klicke auf Weiter.
Wenn der Suchlauf beendet ist, wird Dir eine Übersicht mit den Funden angezeigt, die Du mit OK zur Kenntnis nimmst.
Achte darauf, dass bei allen Funden ein Häkchen steht, klicke dann auf Weiter und OK.
Klicke auf Fertig stellen, was Dich ins Hauptfenster bringt.
Es kann sein, dass Dein Rechner neu gestartet werden muss, um Malware mit dem Neustart vom System zu entfernen.
Um das Logfile zu erhalten, musst du erst auf Präferenzen und dann auf den Statistiken und Protokolle klicken.
Klicke auf das datierte Logfile, drücke auf Protokoll anzeigen. Nun erscheint ein Textfenster.
Bitte kopiere diesen Bericht hier in den Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des OTL-Fix,
das Logfile von MBAM und
das Logfile von SAS.

Hallo M-K-D-B!

Das Logfile von SAS kann ich irgendwie nicht anhängen. Darum häng ich es an.
Unter Schritt 2 hat es nix gefunden. Daher konnte ich nix entfernen. Bin dann normal weiter gegangen..

Hier das Protokoll von SAS:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/12/2011 at 03:36 PM

Application Version : 4.54.1000

Core Rules Database Version : 7254
Trace Rules Database Version: 5066

Scan type : Complete Scan
Total Scan Time : 00:18:38

Memory items scanned : 447
Memory threats detected : 0
Registry items scanned : 7093
Registry threats detected : 0
File items scanned : 17913
File threats detected : 126

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\x\Cookies\x@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@pointroll[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adfarm1.adition[5].txt
C:\Dokumente und Einstellungen\x\Cookies\x@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@bwincom.122.2o7[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tele2de.112.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@atdmt[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@traffictrack[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.usenext[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tradedoubler[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.adc-serv[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@track.adform[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@shop.zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@questionmarket[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.masterweb.mach3[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adserver.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@vodafonegroup.122.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.sportwerk[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@media.gan-online[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.zanox[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@doubleclick[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@serving-sys[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@a9.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@revsci[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.ad-srv[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@msnportal.112.2o7[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@youporn[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adtech[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adinterax[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@advertising[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@smartadserver[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zieltrack[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adnet[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@go.dynamic-tracking[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tacoda.at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tracking.mindshare[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.pornhub[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.windowsmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tacoda[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@track.adform[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@hasenet.122.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@search.windowsmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adxpose[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@unitymedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.adnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads-dev.youporn[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@webmasterplan[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@oberon-media[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@cdn5.specificclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@mediagenerate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@specificclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.active-tracking[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@gamecenter.oberon-media[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@guj.122.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@media6degrees[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@de.sitestat[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.heias[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.creative-serving[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yn-ads[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.performance-netzwerk[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@kupona.122.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tracking.3gnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@track.effiliation[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@pornhub[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@de.sitestat[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@tracking.hannoversche[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@de.sitestat[4].txt
C:\Dokumente und Einstellungen\x\Cookies\x@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@collective-media[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@de.at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@komtrack[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.etracker[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@stats.betradar[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad1.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@imrworldwide[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@im.banner.t-online[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad2.adfarm1.adition[4].txt
C:\Dokumente und Einstellungen\x\Cookies\x@track.effiliation[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad4.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adfarm1.adition[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adfarm1.adition[4].txt
C:\Dokumente und Einstellungen\x\Cookies\x@adserver.traffictrack[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@fastclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yieldmanager[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yieldmanager[4].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad.yieldmanager[5].txt
C:\Dokumente und Einstellungen\x\Cookies\x@www.googleadservices[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@webmasterplan[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zanox[3].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@traffictrack[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\x\Cookies\ix@ar.atwola[2].txt
C:\Dokumente und Einstellungen\x\Cookies\x@ad2.adfarm1.adition[3].txt
.divx.112.2o7.net [ C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cookies ]

Hallo zwergi,

da du eine ziemlich heftige Infektion auf deinem Rechner hattest, müssen wir noch folgende Punkte abarbeiten:

Schritt # 1: Java deinstallieren/neu installieren

Schließe alle Internet Browser.
Folge dem Pfad: Start -> Systemsteuerung -> Software
Deinstalliere bitte Java(TM) 6 Update 11
Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 2: Wichtige Updates

Deinstalliere bitte deine aktuelle Version von Adobe Reader:
Start --> Systemsteuerung --> Software --> Adobe Reader
und lade dir die neue Version von Hier herunter.
Entferne den Hacken für den McAfee SecurityScan.

Schritt # 3: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Schritt # 4: Systemscan mit OTL

Starte bitte OTL.exe.
Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
Poste den Inhalt bitte hier.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des ESET Online Scanners,
die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt) und
das Logfile von SecurityCheck.

Schritt 1+2 erledigt.

Rest im Anhang.

Danke :)

Hallo zwergi,

Zitat:

C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0098991.exe a variant of Win32/Injector.GPF trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0098999.exe Win32/Spy.SpyEye.CA trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP339\A0099051.exe Win32/Spy.SpyEye.CA trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP340\A0099101.exe a variant of Win32/Injector.GTR trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP341\A0099166.exe a variant of Win32/Injector.GTR trojan (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CFC8204C-2EA6-4379-90A6-D2E484678D10}\RP343\A0099417.exe a variant of Win32/Injector.GUS trojan (unable to clean) 00000000000000000000000000000000 I

Um diese Einträge kümmert sich ComboFix automatisch bei der Deinstallation.

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Bereinigung.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

Deinstalliere/Lösche alle Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
Möchtest Du ESET denoch deinstallieren:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
Drücke OK.

Schritt # 5: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken.
Kopiere nun folgenden Text in die Kommandozeile:

Code:

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
Klicke auf Ok.
Stelle sicher, dass die automatischen Updates aktiviert sind.
Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 6: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
- Malwarebytes' Anti-Malware
- SuperAntiSpyware
- Emsisoft AntiMalware
SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Eine Einführung findest du hier
Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
Verwende keine Keygens, Cracks, Cheats, etc.!
Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 7: Passwörter ändern

Du warst mit einem Trojaner infiziert, der Passwörter ausspäht.
Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Hallo M-K-D-B!

Ich hab alles gemacht, was du gesagt hast..!

AntiVir lasse ich drauf, Wirewall natürlich an. Außerdem hab ich SuperAntiSpyware drauf gelassen. Passwörter änder ich noch ab..!

An sonsten hab ich vorerst keine weiteren Fragen.

Ich danke dir nochmal sehr doll für deine Hilfe!! Hast das echt klasse gemacht

Gruß
Franz

Zitat:

Zitat von zwergi (Beitrag 671231)

An sonsten hab ich vorerst keine weiteren Fragen.

Ich danke dir nochmal sehr doll für deine Hilfe!! Hast das echt klasse gemacht

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.