Trojaner-Board - Ungewollte Weiterleitung beim anklicken von google-Ergebnissen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ungewollte Weiterleitung beim anklicken von google-Ergebnissen (https://www.trojaner-board.de/130304-ungewollte-weiterleitung-beim-anklicken-google-ergebnissen.html)

Ungewollte Weiterleitung beim anklicken von google-Ergebnissen

Guten abend Zusammen,

habe seit einiger Zeit, ehrlich gesagt seit Monaten, oben genanntes Problem. Glücklicherweise arbeite ich meisstens auf einem anderen Laptop. Nun wird es aber schlimmer und ist nicht mehr tolerierbar. Die ungewollte Weiterleitung erfolgt in 90% aller Fälle und gleichzeitig sind die Reaktionszeiten (Browser Firefox) deutlich angestiegen.

Folgende Schritte habe ich durchgeführt:

Scann mit defogger --> Ergebnis folgender Log:
--------------------------------------------------------------------------
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:05 on 29/01/2013 (djurczik)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-
--------------------------------------------------------------------------

Scann mit OLT --> Ergebnis siehe anhängende Log-Datei für Extras.Txt
--> Ergebnis siehe anhängende Log-Datei für OTL.txt
--------------------------------------------------------------------------

.... und jetzt mache ich mich an Gmer etc.

Gruss

Dieter

..... und hier jetzt das GMER Log nachdem GMER im ersten Scan-Versuch abgebrochen hat.
---------------------------------------------------

GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-01-30 00:20:10
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541060G9AT00 rev.MB3OA61A 55,89GB
Running: gmer_2.0.18454.exe; Driver: C:\DOKUME~1\djurczik\LOKALE~1\Temp\pxloquow.sys

---- System - GMER 2.0 ----

SSDT 85E8E19C ZwCreateKey
SSDT 86C94C94 ZwCreateMutant
SSDT 86ADBAEC ZwCreateProcess
SSDT 86ABC6C4 ZwCreateProcessEx
SSDT 86C94C24 ZwCreateSymbolicLinkObject
SSDT 85ECB96C ZwCreateThread
SSDT 85F3619C ZwDeleteKey
SSDT 86C7790C ZwDeleteValueKey
SSDT 86C88434 ZwDuplicateObject
SSDT 85ECB934 ZwLoadDriver
SSDT 86C94434 ZwOpenProcess
SSDT 86CBA264 ZwOpenSection
SSDT 86C1CE14 ZwOpenThread
SSDT 86ABBE14 ZwRenameKey
SSDT 86C9AE14 ZwRestoreKey
SSDT 86C94C5C ZwSetSystemInformation
SSDT 86AA9E14 ZwSetValueKey
SSDT 869E6954 ZwTerminateProcess
SSDT 86B8A21C ZwTerminateThread
SSDT 86CBA22C ZwWriteVirtualMemory

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c6c2ee70
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c6c2ee70@0012d1cd81e4 0x1A 0x21 0x17 0xBB ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c6c2ee70@001cef2d5bc5 0x89 0xA1 0xD2 0xE1 ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c6c2ee70 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c6c2ee70@0012d1cd81e4 0x1A 0x21 0x17 0xBB ...
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c6c2ee70@001cef2d5bc5 0x89 0xA1 0xD2 0xE1 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da21691-e39d-4da6-8a4b-b43877bcb1b7@FlushCacheFiles ????0???? ????????????????????????????????Fi?????b??TabDlg.SSTab.1?N????????????????????????????????????????? ??????????????????????????????B?ec?????????N??C:\WINDOWS\system32\MSCOMCTL.OCX?N??? ??????????????????????????????B?DO?????????3??C:\WINDOWS\system32\MSCOMCTL.OCX?e????f??????a??????????????????? ????????????????????(??????C??? ???????????????????K????????????Fi??????????????????B?????????Sollen alle Programmeinstellungen gel?scht werden???????C:\WINDOWS\system32\MSCOMCTL.OCX? ??? ?????????????????????????????????????????????F{0??? ??????????????????????????????R??????????n????????????????????????FoxitReader.FDFDoc????????N?????????????????TabDlg.SSTab?t????.????????????????????? ????? ??????????????????????????????B?ra????????????? ??????????????????????????????(? O??????????????R?????????????????C:\WINDOWS\system32\comdlg32.ocx????? ??????????????????????????????t???????????????C:\WINDOWS\system32\comdlg32.ocx?s????B?????????????Microsoft Tabbed Dialog Control 6.0 (SP6)?????N??????s??????????C:\Prog

---- EOF - GMER 2.0 ----

--------------------------------------------------------------------------

Vielen Dank im Voraus für die Unterstützung

Gruss

djurczik

:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:

Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo t'John,

habe die verschiedenen Schritte nun ausgeführt mit folgenden Ergebnissen:

LOG-File Malwarebytes:
----------------------------------------------
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.30.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
djurczik :: LAP-DIETER [Administrator]

30.01.2013 10:09:20
MBAM-log-2013-01-30 (12-33-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 326037
Laufzeit: 1 Stunde(n), 34 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
-------------------------------------------------------------------

Dann "Entfernen" durchgeführt und weiter mit adwCleaner.

LOG-File adwCleaner nach dem Scan
Filename: AdwCleaner[R1]
--------------------------------------------------------------------
# AdwCleaner v2.109 - Datei am 30/01/2013 um 12:43:33 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : ***** - LAP-DIETER
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\*****\Desktop\adwcleaner_2.1.0.9.exe
# Option [Suche]

**** [Dienste] ****

Gefunden : Application Updater

***** [Dateien / Ordner] *****

Datei Gefunden : C:\Programme\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com
Datei Gefunden : C:\Programme\Mozilla Firefox\extensions\wtxpcom@mybrowserbar.com
Ordner Gefunden : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\OpenCandy
Ordner Gefunden : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pdfforge
Ordner Gefunden : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Search Settings
Ordner Gefunden : C:\Programme\Application Updater
Ordner Gefunden : C:\Programme\Gemeinsame Dateien\spigot
Ordner Gefunden : C:\Programme\pdfforge Toolbar
Ordner Gefunden : C:\WINDOWS\Installer\{638482BC-3092-42DC-AEA1-735264911A77}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\pdfforge
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Search Settings
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gefunden : HKCU\Software\Softonic
Schlüssel Gefunden : HKLM\Software\Application Updater
Schlüssel Gefunden : HKLM\Software\AskBarDis
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{0702A2B6-13AA-4090-9E01-BCDC85DD933F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{622FD888-4E91-4D68-84D4-7262FD0811BF}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{B0DE3308-5D5A-470D-81B9-634FC078393B}
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Features\CB2848362903CD24EA1A37254619A177
Schlüssel Gefunden : HKLM\Software\Classes\Installer\Products\CB2848362903CD24EA1A37254619A177
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{638482BC-3092-42DC-AEA1-735264911A77}
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED1CAE30F47D14B41B5FC8FA53658044
Schlüssel Gefunden : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\CB2848362903CD24EA1A37254619A177
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{638482BC-3092-42DC-AEA1-735264911A77}
Schlüssel Gefunden : HKLM\Software\Search Settings
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v18.0.1 (de)

Datei : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\9e6cohto.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [4740 octets] - [30/01/2013 12:43:33]

########## EOF - C:\AdwCleaner[R1].txt - [4800 octets] ##########

------------------------------------------------------------------------

LOG-File adwCleaner nach dem Löschen und wieder hochfahren des Rechners.
Filename: AdwCleaner[S1]
------------------------------------------------------------------------
# AdwCleaner v2.109 - Datei am 30/01/2013 um 12:45:37 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : ***** - LAP-DIETER
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\*****\Desktop\adwcleaner_2.1.0.9.exe
# Option [Löschen]

**** [Dienste] ****

Gestoppt & Gelöscht : Application Updater

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Programme\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com
Datei Gelöscht : C:\Programme\Mozilla Firefox\extensions\wtxpcom@mybrowserbar.com
Ordner Gelöscht : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\OpenCandy
Ordner Gelöscht : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\pdfforge
Ordner Gelöscht : C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Search Settings
Ordner Gelöscht : C:\Programme\Application Updater
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\spigot
Ordner Gelöscht : C:\Programme\pdfforge Toolbar
Ordner Gelöscht : C:\WINDOWS\Installer\{638482BC-3092-42DC-AEA1-735264911A77}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\pdfforge
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Application Updater
Schlüssel Gelöscht : HKLM\Software\AskBarDis
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{0702A2B6-13AA-4090-9E01-BCDC85DD933F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{622FD888-4E91-4D68-84D4-7262FD0811BF}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B0DE3308-5D5A-470D-81B9-634FC078393B}
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\CB2848362903CD24EA1A37254619A177
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\CB2848362903CD24EA1A37254619A177
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{638482BC-3092-42DC-AEA1-735264911A77}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED1CAE30F47D14B41B5FC8FA53658044
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\CB2848362903CD24EA1A37254619A177
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{638482BC-3092-42DC-AEA1-735264911A77}
Schlüssel Gelöscht : HKLM\Software\Search Settings
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v18.0.1 (de)

Datei : C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\9e6cohto.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [4869 octets] - [30/01/2013 12:43:33]
AdwCleaner[S1].txt - [4813 octets] - [30/01/2013 12:45:37]

########## EOF - C:\AdwCleaner[S1].txt - [4873 octets] ##########

--------------------------------------------------------------------------

und nun noch den Inhalt von des LOG-Files von checkup.txt
--------------------------------------------------------------------------
Results of screen317's Security Check version 0.99.57
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
Smart Internet Protection 2011
Trend Micro Security Agent
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
Java(TM) 6 Update 37
Java version out of Date!
Adobe Flash Player 11.5.502.146
Mozilla Firefox (18.0.1)
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
Trend Micro AMSP coreServiceShell.exe
Trend Micro UniClient UiFrmWrk uiWatchDog.exe
Trend Micro AMSP coreFrameworkHost.exe
Trend Micro Client Server Security Agent tmlisten.exe
Trend Micro UniClient UiFrmWrk uiSeAgnt.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

-------------------------------------------------------------------------

So das wärs an Infos die ich jetzt zusammengetragen habe.

Vielen Dank schon mal.

Grüsse

Dieter

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

danach:

Windows Repair Tool (AIO)

Downloade Windows repair tool
Entpacke das Zip und starte Repair_Windows.exe
Klicke auf Start repairs Tab dann: Start

folgende Punkte auswählen

Register System Files
Repair WMI
Repair Windows Firewall
Repair Proxy Settings
Set Windows Services To Default Startup

Auswählen: Restart System When Finished
Dann Start Button klicken.

Kommen wir zur nächsten Runde.

Hier das LOG-File von malwarebytes-anti-rootkit.
Filename: mbar-log-2013-01-30 (18-41-04).txt

-------------------------------------------------------------------------------------------------------------------------
Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.01.30.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
djurczik :: LAP-DIETER [administrator]

30.01.2013 18:41:04
mbar-log-2013-01-30 (18-41-04).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27245
Time elapsed: 24 minute(s), 50 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
--------------------------------------------------------------------------------------------------------------------------------------------

dann plugincheck mit folgendem Ergebnis:

---------------------------------------------------------------------------------------------------------------------------------------------
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 18.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java (1,7,0,11) ist aktuell.

Adobe Reader ist nicht installiert oder aktiviert.

------------------------------------------------------------------------------------------------------------------------------------------------

Java deaktiviert
plugincheck mit folgendem Ergebnis:
----------------------------------------------------------------------------------------------------------------------------------------------
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 18.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java ist Installiert aber nicht aktiviert.

Adobe Reader ist nicht installiert oder aktiviert.
---------------------------------------------------------------------------------------------------------------------------------------
Lasse jetzt noch das Windows Repair Tool laufen.

---------------------------------------------------------------------------------------------------------------------------------------

..... und dann schau'n wer mal wie's weiter geht.

Erstmal vielen Dank

Dieter

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL
 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found 

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\djurczik\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\*.tmp

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Temp\*.exe

C:\Dokumente und Einstellungen\djurczik\*.exe

C:\Dokumente und Einstellungen\djurczik\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Gibt es noch Probleme mit dem Rechner?

Hallo t'john,

habe OLT laufen lassen mit Neustart etc. LOG-file ist auch da. Leider weiss ich nicht genau was Du unter Code-Tags verstehst, versuche aber mal etwas.

-----------------------------------------------------------------------------------------------------------------------------------------------------------

Code:

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.

File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\djurczik\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\*.exe not found.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\d3d9caps.tmp moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Temp\hpzmsi01.exe moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Temp\hpzscr01.EXE moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Temp\wusetup.exE moved successfully.

File\Folder C:\Dokumente und Einstellungen\djurczik\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\djurczik\Startmenü\Programme\Autostart\ctfmon.lnk not found.

File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\djurczik\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\djurczik\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: 1

->Temp folder emptied: 31760757 bytes

->Temporary Internet Files folder emptied: 57238280 bytes

->Java cache emptied: 2085 bytes

->Flash cache emptied: 954 bytes

 

User: Administrator

->Temp folder emptied: 3356193 bytes

->Temporary Internet Files folder emptied: 6329573 bytes

->Flash cache emptied: 405 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33173 bytes

->Flash cache emptied: 41 bytes

 

User: djurczik

->Temp folder emptied: 16864134 bytes

->Temporary Internet Files folder emptied: 885591819 bytes

->Java cache emptied: 7552564 bytes

->FireFox cache emptied: 69908892 bytes

->Google Chrome cache emptied: 6098411 bytes

->Apple Safari cache emptied: 183729152 bytes

->Flash cache emptied: 3638 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 1393901 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352202 bytes

%systemroot%\System32 .tmp files removed: 3048839 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 2001658 bytes

RecycleBin emptied: 77577330 bytes

 

Total Files Cleaned = 1.292,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 01312013_193409
 

Files\Folders moved on Reboot...

C:\Dokumente und Einstellungen\djurczik\Lokale Einstellungen\Temp\WCESLog.log moved successfully.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

--------------------------------------------------------------------------------------------------------------------------------------------------
War es das was Du mit Code-Tags gemeint hast?

Zu bestehenden Problemen noch zwei Punkte:

1. Irgendwer/irgendetwas platziert mir ein durchsichtiges Fenster auf den Bildschirm, von dem man nur in der üblichen Ecke (oben rechts) ein kleines X - ja, das zum schliessen eines Fensters - erkennt. Das nervt. Ich kann das einblenden nicht provozieren, aber habe den Eindruck als on sich jedes mal wenn das Fenster auftaucht oben die Einblendung zeigt von wegen .... versucht auf eine andere Webseite umzuleiten. Kann man daran noch etwas machen?

2. Im Firefox-Fenster wird unten links in der Ecke bei Suchvorgängen eine Zeile eingeblendet die zeigt womit der Browser sich gerade beschäftigt (Warten auf ......). Dort erkenne man, das immer wieder versucht wird - auch jetzt noch, nach den ganzen Bereinigungen - auf google.ro (Google Rumänien) umzuleiten. .... und häufig klappt das dann auch - bei www.google.de z.B. immer.

Gruss und danke erst mal.

Dieter

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Guten Morgen t'john,

Du schreibst das ich alle Antivirenprogramm etc. deaktivieren soll ich Combofix starte.

Da stellt sich ein Problem mit der Windows Firewall. Alle Einstellmöglichkeiten auf dem Reiter "Allgemein" sind ausgegraut - also keine Einstellungen möglich - und dann gibt es da noch den Hinweis "Einige Einstellungen werden durch eine Gruppenrichtline gesteuert".

Was tun?

Gruss

Dieter

Ist das ein dienstlicher PC?

Fuehre Combofix trotzdem aus.

Dienstlich, nein, nicht mehr. Hatbe ihn vor ca. 'nem Jahr übernommen.

Jetzt aber Combofix.

Gruss

Jur

Hallo t'john,

habe Combofix laufen lassen bzw. ist planmässig angelaufen - mit Konsoleninstallation - bis zur Meldung "...... 10 Minuten .... leicht verdoppeln."

Dort verweilt Combofix seit über einer Stunde. Das Zeitformat ist auch noch nicht geändert worden.

Lasse es mal unangetatstet bis Rückmeldung von dir da ist.
Gut das man ja noch einen 2. Rechner hat.

Gruss Dieter

Zitat:

Dienstlich, nein, nicht mehr. Hatbe ihn vor ca. 'nem Jahr übernommen.

Warum hast du ihn nicht neu aufgesetzt?

Neustarten, nochmal versuchen.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.