Trojaner-Board - Bundespolizei-Trojaner wohl doch noch aktiv....?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei-Trojaner wohl doch noch aktiv....? (https://www.trojaner-board.de/120884-bundespolizei-trojaner-wohl-noch-aktiv.html)

Bundespolizei-Trojaner wohl doch noch aktiv....?

Hallo Forum,
ich hatte ja letztes mal (1-2 Jahre her) schon geschrieben, hoffentlich nicht "Auf Wiedersehen...." ...leider aber wohl jetzt dann doch ...;-(

Erwischt hat meinen Video-Bearbeitungs-PC der Bundespolizei-Trojaner (Win7 Pro, Avira Virenschutz). Durch Netz-Recherche und die Seite bka-trojaner/de habe ich diesen dann mittels einer Start-CD (DE-CLEANER von Avira) angeblich entfernt gehabt.
Da ich auf diesem PC wirklich nichts gravierendes im Netz mache oder öffne, und ich mir nicht erklären kann, wie trotz Firewall (Windows) und Virenscanner hier der Trojaner Einzug erhalten könnte, habe ich mir dann den Virenscanner von Norton geholt - noch war es die 30 Tage Testversion. Dieser hat sich dann aber als nicht sonderlich praktikabel erwiesen und schien für mich einfach zu Ressourcen fressend, was aber im nachhinein wohl nicht das Programm, sonder wohl der PC insgesamt war. Nachdem NORTON einige Funde hatte und diese immer meldete, hat in einem letzten Norton Pop-Up, was ich leider nicht genau gelesen habe, und ich mich dann auch noch verklickt hatte, dieser irgendwas geämdert und dann den PC neu gestartet und seitdem waren meine gesamten Desktop Icons und nicht mehr sortierbar.
Alle Versuche, diese wiederum neu zuordnen, schlugen fehl, da nach jedem Neustart (oder Aktualisieren) diese wieder wie nach "Symbole am Raster ausrichten" sortiert waren. Bis jetzt ging ich noch immer von einem Programmfehler aus, und habe dann auch NORTON komplett deinstalliert, aber alle Versuche schlugen fehl. Ich habe wirklich alle Sachen probiert, mit "NoSave..." usw. und, und, und - alle ohne Ergebnis.

Die Suche nach den nicht mehr sortierbaren Desktopsymbolen brachte mich dann auch hierher, und nach einigem Lesen kam mir dann doch einiges wie bei mir vor....und ich gehe jetzt davon aus, dass der Trojaner immer noch drauf ist:
- System ist sehr langsam und träge
- Desktopsymbole nicht sortierbar
- Internetgeschwindgkeit bei nur noch ca. 10% der Normalgeschwindigkeit
- zuletzt auffällig, dass bei fast jedem Programmstart die Benutzerkontensteierung erscheint und nachfragt, ob ich zulassen möchte, dass das Programm Änderungen an diesen PC vornimmt....? Nach meiner Erinnerung war das früher nur ganz vereinzelt.....??!

Aus der Anleitung und einem vergl. Threat habe ich alle Virenscanner nun deinstalliert und füge hier nun an:

- Vollscan mit Malwarebytes Anti-Malware
- Systemscan mit OTL

Vielen Dank!

PS: Was mich am meisten interessieren würde: wie konnte mein System angegriffen werden???

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 

FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.4 

FF - prefs.js..extensions.enabledItems: langpack-de@venkman.mozilla.org:0.9.87.4 

FF - prefs.js..extensions.enabledItems: {f13b157f-b174-47e7-a34d-4815ddfdfeb8}:0.9.87.4 

FF - prefs.js..extensions.enabledItems: modern@themes.mozilla.org:1.0 

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - No CLSID value found. 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found 

O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found 

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 

O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] 

O34 - HKLM BootExecute: (autocheck autochk *) - File not found 

O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found 
 

[2012.07.28 21:54:53 | 000,002,054 | ---- | M] () -- C:\Users\win7\Desktop\shutdown.exe.lnk 

[2012.07.22 14:14:32 | 000,156,672 | ---- | M] (Radioactive) -- C:\Windows\System32\rmc_fixasf.exe 

[2012.07.26 08:52:18 | 000,000,000 | ---D | C] -- C:\Users\win7\AppData\Roaming\hellomoto 
 

:Files

C:\Users\win7\temp\*

C:\Users\win7\AppData\Local\temp\*

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

gemacht wie angegeben:

Code:

All processes killed

========== OTL ==========

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C424171E-592A-415A-9EB1-DFD6D95D3530} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\ not found.

Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}

C:\Windows\Downloaded Program Files\gp.inf not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\autoexec.bat moved successfully.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Classes\.exe\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Classes\exefile\ not found.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

C:\Users\win7\Desktop\shutdown.exe.lnk moved successfully.

C:\Windows\System32\rmc_fixasf.exe moved successfully.

C:\Users\win7\AppData\Roaming\hellomoto folder moved successfully.

========== FILES ==========

File\Folder C:\Users\win7\temp\* not found.

C:\Users\win7\AppData\Local\temp\50483281.Uninstall folder moved successfully.

C:\Users\win7\AppData\Local\temp\ASPNETSetup_00000.log moved successfully.

C:\Users\win7\AppData\Local\temp\ASPNETSetup_00001.log moved successfully.

C:\Users\win7\AppData\Local\temp\bch2072.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\bch371B.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\bchC866.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\bchF7F6.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\Cookies folder moved successfully.

C:\Users\win7\AppData\Local\temp\dd_dotNetFx40LP_Full_x86de_decompression_log.txt moved successfully.

C:\Users\win7\AppData\Local\temp\dd_dotNetFx40_Full_setup_decompression_log.txt moved successfully.

C:\Users\win7\AppData\Local\temp\dd_SetupUtility.txt moved successfully.

C:\Users\win7\AppData\Local\temp\dd_TMPF6FA.tmp_decompression_log.txt moved successfully.

C:\Users\win7\AppData\Local\temp\dd_wcf_CA_smci_20120614_073144_738.txt moved successfully.

C:\Users\win7\AppData\Local\temp\div1A80.tmp folder moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_1XGOkfVFxjmBzTw30EUq moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_3UOsYpt1CVz89ZvDmIVR moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_8qH56KUJOaEBVXimLLBh moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_940pWUq5TwQuf3Wedh2V moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_a8hLNgmCsVeaMYYMckFS moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_AgPys3PYbnFwuoOMec2C moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_aU5YYag7LvoBWaeg9vAI moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_ckAJvRWrSRv5jnftPQ9C moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_cQgVMBlNdA8CqxtwByEM moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_epWE9wAobAOQtBpoyqMd moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_gIr7r5UJQa8fH288nhcp moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_HfV4jvT42AMWm1ovuyKs moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_HqJBUNyf9r3j0brUJCg9 moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_JSClHaN923Fywn66dw7E moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_Ki89mU9Osr7IdAnmWZV1 moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_LNmE7KZk4zDuOYFTg83C moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_lyrC4VhJi3TvK4674b1H moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_MbA7a4Qpe5tXZMavONAz moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_MEDlAyfKUejWKuDmVJLq moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_mi9CdHM98FAd4LdQ1ukv moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_MTPQe8sABjvddrLcjlxX moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_mVVcldJQmlrCXshyCC8U moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_nm9Jbu3dJamO32gNCG6l moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_NMtEWU70VdbJxCmcRTkR moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_OeO7rts7yg4s81VpJOjX moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_ogMMF5jkFsaY9kkQrlB7 moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_p2pZJb2pNMNZBzt9lfEp moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_PmJbwaJeL6ffMfuPEbeK moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_prKGvVRfZblUOvCOHc9D moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_ruWpRLRukp7vSOMqt936 moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_siRNS3RpKhcHCDYcCxzT moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_tHX82jF4KesG9OdReHfz moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_UjVBNy5lSlDdwMj3ebMs moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_usxVKYSfSEp2pqickoM8 moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_vP4xCKXWecEe6Ri6N24P moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_wEj5gv21AUFLu7wdwn3l moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_Xadeno4BkDS2pNVRWNXh moved successfully.

C:\Users\win7\AppData\Local\temp\etilqs_xnMVVjgydbX4cjyaXBll moved successfully.

C:\Users\win7\AppData\Local\temp\flaA2D.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\flaD9B8.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\FXSAPIDebugLogFile.txt moved successfully.

C:\Users\win7\AppData\Local\temp\History\History.IE5 folder moved successfully.

C:\Users\win7\AppData\Local\temp\History folder moved successfully.

C:\Users\win7\AppData\Local\temp\hsperfdata_win7 folder moved successfully.

C:\Users\win7\AppData\Local\temp\intel_media.log moved successfully.

C:\Users\win7\AppData\Local\temp\is1590112554 folder moved successfully.

C:\Users\win7\AppData\Local\temp\jar_cache3203119583184762841.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\Low folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_20120614_093025079-MSI_netfx_Extended_x86.msi.txt moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_20120614_093025079.html moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Graphics folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Extended folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\Client folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\3082 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\3076 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\2070 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\2052 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1055 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1053 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1049 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1046 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1045 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1044 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1043 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1042 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1041 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1040 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1038 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1037 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1036 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1035 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1033 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1032 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1031 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1030 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1029 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1028 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319\1025 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework 4 Setup_4.0.30319 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_20120614_093249674-MSI_netfx_ExtendedLP_x86.msi.txt moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_20120614_093249674.html moved successfully.

C:\Users\win7\AppData\Local\temp\Microsoft .NET Framework Language Pack Setup_4.0.30319 folder moved successfully.

C:\Users\win7\AppData\Local\temp\MMBPlayer folder moved successfully.

C:\Users\win7\AppData\Local\temp\msdtadmin folder moved successfully.

C:\Users\win7\AppData\Local\temp\msimg32.dll moved successfully.

C:\Users\win7\AppData\Local\temp\OICE_11FD0D6A-8198-4E55-91AE-CC64F80BF216.0 folder moved successfully.

C:\Users\win7\AppData\Local\temp\perplex.dll moved successfully.

C:\Users\win7\AppData\Local\temp\PSQuar\QBackup folder moved successfully.

C:\Users\win7\AppData\Local\temp\PSQuar folder moved successfully.

C:\Users\win7\AppData\Local\temp\RGIF258.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\RGIF258.tmp-tmp moved successfully.

C:\Users\win7\AppData\Local\temp\RGIFA3D.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\RGIFA3D.tmp-tmp moved successfully.

C:\Users\win7\AppData\Local\temp\sdhttt.exe.vir moved successfully.

C:\Users\win7\AppData\Local\temp\Setup.log moved successfully.

C:\Users\win7\AppData\Local\temp\SYMEVENT.LOG moved successfully.

C:\Users\win7\AppData\Local\temp\TeamViewer\Version7 folder moved successfully.

C:\Users\win7\AppData\Local\temp\TeamViewer folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\KPIXR9SC folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\IHCUXX9D folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\ESHMTX92 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5\3QIRV3AC folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files\Content.IE5 folder moved successfully.

C:\Users\win7\AppData\Local\temp\Temporary Internet Files folder moved successfully.

C:\Users\win7\AppData\Local\temp\tmpTujP.dat moved successfully.

C:\Users\win7\AppData\Local\temp\VBE folder moved successfully.

C:\Users\win7\AppData\Local\temp\wmsetup.log moved successfully.

C:\Users\win7\AppData\Local\temp\WPDNSE folder moved successfully.

C:\Users\win7\AppData\Local\temp\xmr folder moved successfully.

C:\Users\win7\AppData\Local\temp\xmr.1172 folder moved successfully.

C:\Users\win7\AppData\Local\temp\xmr.2220 folder moved successfully.

C:\Users\win7\AppData\Local\temp\xmr.5496 folder moved successfully.

C:\Users\win7\AppData\Local\temp\_iu14D2N.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\~!#280B.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\~!#2C32.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\~!#3115.tmp moved successfully.

C:\Users\win7\AppData\Local\temp\~DFB69336BE8ED5D7B1.TMP moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\win7\Desktop\cmd.bat deleted successfully.

C:\Users\win7\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: ANJA

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: master II

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 38443 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

User: win7

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 3101146 bytes

->Java cache emptied: 0 bytes

->Flash cache emptied: 213108 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 2051608 bytes

RecycleBin emptied: 631014857 bytes

 

Total Files Cleaned = 607,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: ANJA

 

User: Default

 

User: Default User

 

User: master II

 

User: Public

 

User: win7

->Flash cache emptied: 0 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.20.5 log created on 08012012_221936
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

rechner ist in der tat etwas besser wieder, ich habe aber das gefühl, dass er je länger er an ist, immer langsamer wird. langfristig komme ich wohl um ein neuaufsetzen nicht herum, bzw. gleich dann ein neues system, ich wollte aber hier evtl. noch win8 abwarten....

kann man das TB eigentlich irgendwie unterstützen? ***EDIT*** -> schon gefunden!

alles gemacht, die funde sollte ich NICHT löschen? habe diese jetzt gelassen, obwohl adwcleaner gemeckert hatte...;-)

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.31.06
 

Windows 7 x86 NTFS

Internet Explorer 8.0.7600.16385

win7 :: WIN7-PC [Administrator]
 

02.08.2012 07:34:11

mbam-log-2012-08-02 (15-55-59).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 346522

Laufzeit: 56 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Keine Aktion durchgeführt.
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\win7\AppData\Local\{3ecfa08a-ba2c-3ada-e99b-c1e2f054475e}\n. -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 9

C:\Users\win7\AppData\Local\Microsoft\Windows\190\sdiagnhost.exe (Trojan.Agent.2D) -> Keine Aktion durchgeführt.

C:\Users\win7\Downloads\FLVConverterSetup.exe (Adware.Agent) -> Keine Aktion durchgeführt.

C:\Users\win7\Downloads\SoftonicDownloader_fuer_microsoft-image-composite-editor.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\msimg32.dll (RootKit.0Access) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\sdhttt.exe.vir (Spyware.Zbot) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#280B.tmp (RootKit.0Access) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#2C32.tmp (Trojan.LameShield) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\~!#3115.tmp (Trojan.Delf) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\08012012_221936\C_Users\win7\AppData\Local\temp\is1590112554\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
 

(Ende)

Code:

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 12:23:39

# Updated 01/08/2012 by Xplode

# Operating system : Windows 7 Ultimate  (32 bits)

# User : win7 - WIN7-PC

# Running from : C:\Users\win7\Desktop\adwcleaner.exe

# Option [Search]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 
 

***** [Registry] *****
 

Key Found : HKCU\Software\Conduit

Key Found : HKLM\SOFTWARE\DT Soft
 

***** [Registre - GUID] *****
 

Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v8.0.7600.16385
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [661 octets] - [02/08/2012 12:23:39]
 

########## EOF - C:\AdwCleaner[R1].txt - [788 octets] ##########

Schlechte Nachrichten.
Du hast mindestens ein Rootkit an Board!
Alleine wegen dem: Trojan.Zaccess musst du schon neuaufsetzen!

http://www.trojaner-board.de/51262-a...sicherung.html

Melde dich danach wieder, dann sichern wir ab.

oh neeeeiiinnnn.... das hatte ich befürchtet....... ;-(

kann ich ihn wenigstens offline noch etwas beutzen? wie gesagt, es ist eigentlich ein reiner arbeits PC.... oder ich mache eben eine nachtschicht..... ?!

Mach lieber ne Nachtschicht, Neuaufsetzen geht schneller als man denkt ;)

so, ich denke, ich bin fertig, es fehlt noch der eine oder andere treiber, aber system läuft erstmal so..... habe malewarebyte log erstellt und angehängt.... ich sollte ja jetzt dann sauber sein, vielen dank an t'john .... wieder einmal!
alex

oh..... mist, wo ist das jetzt? erst vergessen, anzufügen, und jetzt??????? komisch, weg.....? ich mache ein neues.... malewarbyte log, richtig? richtig!

Reiter: Scan Berichte :)

Waren weg....? Komisch ist: PC wieder super langsam..... alle Software wieder drauf zum Videobearbeiten, und es laggt ohne Ende... ;-(

Ich teste mal den Arbeitsspeicher....

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.06.11
 

Windows 7 x86 NTFS

Internet Explorer 8.0.7600.16385

win7 :: WIN7-PC [Administrator]
 

07.08.2012 20:36:44

mbam-log-2012-08-07 (20-36-44).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 49216

Laufzeit: 1 Stunde(n), 11 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Zitat:

alle Software wieder drauf zum Videobearbeiten, und es laggt ohne Ende

Was genau hast du installiert?

Meine ganze Video-Converter, -Postprozessing, -Bearbeitungssoftware, dazu einige Standarddinge wie Browser, Word, usw. Alles aber aus entweder CD, DVD, oder sauberer quelle direkt vom Hersteller. Ich denke einfach, das System ist mit über 5 Jahren jetzt einfach zu alt, ich werde das dann im Winter auswechseln. Es ist ja wirklich nur ein 2. System, auf dem ich zeit intensive Arbeiten durchführen lasse.
Ich bedanke mich ganz herzlich, ich habe Euch auch mit einer kleinen Spende bedacht (nunja, so klein auch wiede rnicht) ;-).
Das System ist ja wohl jetzt Virenfrei? Was mich immer noch wundert: wie kamen diese Mengen - und vor allem die Art der Viren - auf das System? Ich habe weder irgendwelche gecrackte Software, noch Spiele, noch andere Daten aus unsicherer Quelle geöffnet. Zumal ich dachte, mit den Standard-Mitteln wie Firewall und Virenscanner ganz gut abgedeckt gewesen zu sein....?? Evtl. sollte ich auch mal mein Laptop durchschauen, mit dem ich wesentlich gefährlichere Sachen mache....???
Danke, t'john und ans Froum!