Trojaner-Board - BKA Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BKA Trojaner (https://www.trojaner-board.de/102225-bka-trojaner.html)

Hey!
Ich habe mir auch den BKA Trojaner eingefangen..
Soeben habe ich es geschafft auf mein System zuzugreifen und OTL runterzuladen.
Dann habe ich, wie bereits in anderen Beiträgen beschrieben, einen "Quick Scan" durchgeführt. Die beiden .txt Dateien sind angehängt.
Was muss ich jetzt noch tun damit mein Laptop wieder sauber ist ?

Vielen Dank & Gruß
Ensiferum23

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Ask.com"

FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q="

[2011/08/01 14:36:30 | 000,000,000 | ---D | M] ("Sopcast Ask Toolbar") -- C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com

[2011/08/08 14:18:10 | 000,002,396 | ---- | M] () -- C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml

O4 - HKCU..\Run: [avupdate] C:\Users\Can\AppData\Roaming\jashla.exe (Riviera Knoxville Rowland Dominican Tarbell Byrd)

O2 - BHO: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

[2011/08/06 19:50:24 | 000,134,144 | ---- | C] (Riviera Knoxville Rowland Dominican Tarbell Byrd) -- C:\Users\Can\AppData\Roaming\jashla.exe

[2011/08/06 19:50:24 | 000,134,144 | ---- | M] (Riviera Knoxville Rowland Dominican Tarbell Byrd) -- C:\Users\Can\AppData\Roaming\jashla.exe

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Vielen Dank!
Hier die Log File von OTL:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.

C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.

Prefs.js: "Ask.com" removed from browser.search.defaultengine

Prefs.js: "Ask.com" removed from browser.search.defaultenginename

Prefs.js: "Ask.com" removed from browser.search.order.1

Prefs.js: "Ask.com" removed from browser.search.selectedEngine

Prefs.js: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q=" removed from keyword.URL

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\searchplugins folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\logs folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\defaults\preferences folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\defaults folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\datastore folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-26-May-2011-13-42-36-GMT folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-09-Jun-2011-17-43-43-GMT folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-02-Jun-2011-00-54-05-GMT folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sat-30-Apr-2011-21-59-50-GMT folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Mon-01-Aug-2011-12-19-45-GMT folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\temp folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\skin folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome\content folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\chrome folder moved successfully.

C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com folder moved successfully.

C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\avupdate not found.

File C:\Users\Can\AppData\Roaming\jashla.exe not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

File C:\Users\Can\AppData\Roaming\jashla.exe not found.

File C:\Users\Can\AppData\Roaming\jashla.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Can

->Temp folder emptied: 127934743 bytes

->Temporary Internet Files folder emptied: 168777420 bytes

->Java cache emptied: 5720844 bytes

->FireFox cache emptied: 50317887 bytes

->Opera cache emptied: 23784645 bytes

->Flash cache emptied: 60100 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 40926598 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 398.00 mb

 

 

OTL by OldTimer - Version 3.2.26.1 log created on 08092011_171115
 

Files\Folders moved on Reboot...

C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2612.log moved successfully.
 

Registry entries deleted on Reboot...

Dann ist mir eingefallen, dass ich die jashla.exe in der Quarantäne hatte.
Deshalb habe ich diese wiederhergestellt und noch mal gefixt.
Die dazugehörige Log File:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Prefs.js: "Ask.com" removed from browser.search.defaultengine

Prefs.js: "Ask.com" removed from browser.search.defaultenginename

Prefs.js: "Ask.com" removed from browser.search.order.1

Prefs.js: "Ask.com" removed from browser.search.selectedEngine

Prefs.js: "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=de_DE&apn_uid=1109C20D-51AC-4B9C-9E2E-0ED11DF9365B&apn_ptnrs=PV&apn_sauid=CAAFAD9A-5BCE-4392-A4D4-7A73CD853AE5&apn_dtid=YYYYYYYYDE&q=" removed from keyword.URL

Folder C:\Users\Can\AppData\Roaming\mozilla\Firefox\Profiles\bdlnguou.default\extensions\toolbar@ask.com\ not found.

File C:\Users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\searchplugins\askcom.xml not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\avupdate not found.

C:\Users\Can\AppData\Roaming\jashla.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

File C:\Users\Can\AppData\Roaming\jashla.exe not found.

File C:\Users\Can\AppData\Roaming\jashla.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Can

->Temp folder emptied: 1017 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 6409202 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 6039 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 6.00 mb

 

 

OTL by OldTimer - Version 3.2.26.1 log created on 08092011_172134
 

Files\Folders moved on Reboot...

C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2288.log moved successfully.
 

Registry entries deleted on Reboot...

Und schließlich hatte Malwarebytes 3 Funde, die ich dann entfernt habe.
Log File:

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7416
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421
 

09.08.2011 17:45:52

mbam-log-2011-08-09 (17-45-52).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 179805

Laufzeit: 3 Minute(n), 56 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 1

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Nochmals vielen Dank und Gruß
Ensiferum23

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Code:

ComboFix 11-08-09.02 - Can 09.08.2011  17:49:37.1.4 - x86

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3253.1802 [GMT 2:00]

ausgeführt von:: c:\users\Can\Downloads\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\SystemData

c:\systemdata\2FB71FB2AACDE4A

c:\users\Can\AppData\Roaming\Local

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\1.ddi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\2.ddi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\3.ddi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\7df5fafb57d2075018daa4a9f2d94134.avi.ddr

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\8786526ca5bd07311333bcadbf03f635.avi.ddr

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\DBZ13.divx(2).ddr

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\DBZ13.divx.ddr

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\7df5fafb57d2075018daa4a9f2d94134.avi.ddp

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\8786526ca5bd07311333bcadbf03f635.avi

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\DBZ13(2).divx

c:\users\Can\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\DBZ13.divx

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-09 bis 2011-08-09  ))))))))))))))))))))))))))))))

.

.

2074-05-18 15:44 . 2008-03-21 12:46        607296        ------w-        c:\program files\Microsoft Games\Age of Empires III\deformerdllyD.dll

2074-05-07 17:38 . 2006-11-21 19:48        203576        ------w-        c:\program files\Microsoft Games\Age of Empires III\autopatcher2.exe

2011-08-09 15:39 . 2011-08-09 15:39        --------        d-----w-        c:\users\Can\AppData\Roaming\Malwarebytes

2011-08-09 15:39 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-09 15:39 . 2011-08-09 15:39        --------        d-----w-        c:\programdata\Malwarebytes

2011-08-09 15:39 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-09 15:39 . 2011-08-09 15:39        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-08-09 15:11 . 2011-07-13 03:39        6881616        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{30D2F1EC-77A7-4946-94E0-2F66847ECE4E}\mpengine.dll

2011-08-08 13:55 . 2011-08-08 13:55        --------        d-----w-        C:\_OTL

2011-08-08 11:56 . 2011-08-08 11:56        --------        d-----w-        c:\program files\LogMeIn Hamachi

2011-08-08 09:34 . 2011-08-08 09:34        --------        d-----w-        c:\users\Can\AppData\Local\ElevatedDiagnostics

2011-08-06 20:32 . 2011-08-06 20:32        --------        d-----w-        c:\program files\7-Zip

2011-07-20 14:57 . 2011-07-20 14:57        --------        dc-h--w-        c:\programdata\{47960B9E-9E4E-438D-AA0C-2F495913AD7E}

2011-07-20 14:51 . 2011-07-20 14:51        --------        d-----w-        c:\users\Can\AppData\Local\Native Instruments

2011-07-20 14:51 . 2011-07-20 14:51        --------        dc-h--w-        c:\programdata\{5E4CAE11-3142-4132-BACC-8515F1910998}

2011-07-20 14:50 . 2011-07-20 14:56        --------        d-----w-        c:\program files\Common Files\Native Instruments

2011-07-20 14:50 . 2011-07-20 14:50        --------        d-----w-        c:\program files\Common Files\Digidesign

2011-07-20 14:49 . 2011-07-20 14:49        --------        dc-h--w-        c:\programdata\{C78336EC-F2EB-4640-99A4-DFE96581B90B}

2011-07-20 14:49 . 2011-07-20 14:50        --------        d-----w-        c:\program files\Native Instruments

2011-07-20 14:49 . 2011-07-20 14:49        --------        d-----w-        c:\programdata\Native Instruments

2011-07-13 19:13 . 2011-06-03 06:01        169984        ----a-w-        c:\windows\system32\winsrv.dll

2011-07-13 19:13 . 2011-06-03 05:56        271872        ----a-w-        c:\windows\system32\conhost.exe

2011-07-13 19:13 . 2011-06-11 02:29        2334208        ----a-w-        c:\windows\system32\win32k.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-08-08 16:53 . 2010-10-29 12:14        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll

2011-08-08 16:52 . 2010-10-29 12:14        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll

2011-08-08 16:52 . 2010-10-29 12:14        1166144        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2011-07-16 13:18 . 2011-05-18 21:57        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-01 11:40 . 2010-10-29 16:53        66616        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-07-01 11:40 . 2010-10-29 16:53        138192        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-06-30 09:42 . 2011-01-06 17:41        101720        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2011-06-29 11:01 . 2010-11-01 14:32        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll

2011-06-29 11:01 . 2010-11-01 14:32        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll

2011-06-29 11:01 . 2010-11-01 14:32        1166144        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll

2011-06-22 14:35 . 2009-07-14 02:05        152576        ----a-w-        c:\windows\system32\msclmd.dll

2011-05-24 17:14 . 2010-07-06 21:02        222080        ------w-        c:\windows\system32\MpSigStub.exe

2011-05-24 10:44 . 2011-06-29 11:34        293376        ----a-w-        c:\windows\system32\umpnpmgr.dll

2011-07-06 15:08 . 2011-04-30 13:18        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 09:06        163328        --sh--r-        c:\windows\System32\flvDX.dll

2007-02-21 10:47        31232        --sh--r-        c:\windows\System32\msfDX.dll

2008-03-16 12:30        216064        --sh--r-        c:\windows\System32\nbDX.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-06-02 9222760]

"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-06-02 1481320]

"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]

"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]

"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-06-21 436264]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-10 1594664]

"NUSB3MON"="c:\program files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-04-27 113288]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-07-06 1047656]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\System32\nvinit.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]

2011-05-17 11:29        395144        ----a-w-        c:\program files\Ask.com\Updater\Updater.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AshSnap]

2010-03-19 22:24        1167360        ----a-w-        c:\program files\Medion MediaPack\Ashampoo Snap\ashsnap.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2010-04-01 09:16        357696        ----a-w-        c:\program files\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]

2011-08-04 12:34        1955208        ----a-w-        c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

2010-11-10 00:54        4240760        ----a-w-        c:\program files\Windows Live\Messenger\msnmsgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]

2009-06-17 11:44        85160        ----a-w-        c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vmware-tray]

2010-01-22 21:13        129584        ----a-w-        c:\program files\VMware\VMware Workstation\vmware-tray.exe

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-06-28 2151640]

R3 dc3d;Microsoft-Hardware – Geräteerkennungstreiber;c:\windows\system32\DRIVERS\dc3d.sys [2010-07-01 44432]

R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2010-03-04 67624]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-07-06 41272]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2010-05-24 193056]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

R3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [2002-11-25 16896]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-11-06 1343400]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-12-03 64288]

S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-07-26 19656]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-03-21 691696]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-30 136360]

S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]

S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2011-08-04 1361288]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]

S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2010-07-27 1620584]

S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-04-23 483688]

S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-05-10 2320920]

S2 vmci;VMware vmci;c:\windows\system32\Drivers\vmci.sys [2010-01-22 70704]

S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-01-22 563760]

S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 132480]

S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-06-21 246272]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]

S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-04-27 64904]

S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-04-27 146568]

S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-03-02 1006624]

S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-04-23 550760]

S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-04-23 195944]

S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-04-23 21864]

S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-04-23 19304]

S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-23 209768]

S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-23 118560]

S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]

.

.

Inhalt des "geplante Tasks" Ordners

.

2011-07-15 c:\windows\Tasks\1-Klick-Wartung.job

- c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-09-07 22:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://medion.msn.com

IE: Free YouTube to MP3 Converter - c:\users\Can\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4

IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe

LSP: c:\program files\VMware\VMware Workstation\vsocklib.dll

FF - ProfilePath - c:\users\Can\AppData\Roaming\Mozilla\Firefox\Profiles\bdlnguou.default\

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

SafeBoot-BsScanner

MSConfigStartUp-avupdate - c:\users\Can\AppData\Roaming\jashla.exe

MSConfigStartUp-DivX Download Manager - c:\program files\DivX\DivX Plus Web Player\DDmService.exe

MSConfigStartUp-DivXUpdate - c:\program files\DivX\DivX Update\DivXUpdate.exe

MSConfigStartUp-Fjuduzixuqot - c:\users\Can\AppData\Local\mapuaus.dll

MSConfigStartUp-ManyCam - c:\program files\ManyCam\Bin\ManyCam.exe

MSConfigStartUp-xawxg43 - c:\users\Can\AppData\Roaming\xawxg43.exe

MSConfigStartUp-Xxohiz - c:\users\Can\AppData\Local\axuziyequkive.dll

MSConfigStartUp-{F55E66B2-64AA-41E1-A054-BCA0F2618CC0} - c:\users\Can\AppData\Roaming\Xouha\onni.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-4196186309-1099370238-293027307-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="WindowsLiveMail.Email.1"

.

[HKEY_USERS\S-1-5-21-4196186309-1099370238-293027307-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="WindowsLiveMail.VCard.1"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-08-09  18:12:21

ComboFix-quarantined-files.txt  2011-08-09 16:12

.

Vor Suchlauf: 7 Verzeichnis(se), 288.428.969.984 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 288.321.646.592 Bytes frei

.

- - End Of File - - B5F5FB9115010342C5488FA7156613FF

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=9621967855244a438ed731097583e5e4

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-08-10 03:55:59

# local_time=2011-08-10 05:55:59 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 316992 49519873 123787 0

# compatibility_mode=5893 16776573 100 94 80355 64614208 0 0

# compatibility_mode=8192 67108863 100 0 129 129 0 0

# scanned=292508

# found=3

# cleaned=0

# scan_time=8742

C:\Users\Can\Desktop\Festplatte\My Book\Eigene Dateien\Setup Dateien\Setup19_FreeConverter.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

C:\Users\Can\Desktop\Festplatte\My Book\Eigene Dateien\Spiele\Sims 3\rzr-sim3.www.elitecrackers.com\rzr-sim3.iso        probably a variant of Win32/Hupigon.CJKIBCX trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\08092011_172134\C_Users\Can\AppData\Roaming\jashla.exe        a variant of Win32/Injector.ILV trojan (unable to clean)        00000000000000000000000000000000        I

Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Falls du Sims 3 meinst, das befindet sich schon seit fast einem halben Jahr in der Quarantäne..
Was muss ich denn noch machen damit der Laptop wieder sauber ist?
Jashla.exe scheint ja immernoch zu existieren..

Zitat:

Jashla.exe scheint ja immernoch zu existieren..

Ja in der Quarantäne von OTL :) Die bereinigne wir am Schluss.

Bestehen dann noch Probleme?

Ich gehe davon aus, dass ich die "Moved Files" nicht einfach löschen kann oder? Wie gehe ich denn weiter vor?

Ich hab doch geschrieben dass wir das am Schluss noch machen!!

Und dann habe ich folgendes geschrieben:

Zitat:

Bestehen dann noch Probleme?

LESEN und dann SCHREIBEN

Tut mir Leid, das habe ich missverstanden.
Es sind keine Probleme mehr aufgetreten.

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.

Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.

Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

SpywareBlaster
Eine kurze Einführung findest du Hier
MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
Hinweis: MBAM ersetzt keine Anti- Viren- Software.
Temp File Cleaner
TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
Ausserdem hilft es Deinen Computer zu beschleunigen.
Du kannst Dir TFC ( by OldTimer ) hier downloaden.
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
Halte Dein System aktuell
Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
Halte Deine Software aktuell
Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

NoScript
Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
AdblockPlus
Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
Es spart ausserdem Downloadkapazität.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Alles bestens!
Vielen Dank!