|
Google Ergebnisse werden umgeleitet zu anderen Seiten Hallo liebe Trojaner-Spezialisten, mich hat es also auch mal erwischt und bitte Euch um Hilfe. Das Problem : Vorgestern Abend fiel mir zunächst mal auf, daß der PC unheimlich langsam war. Lt. Taskmanager benutzte eine apache.exe dauernd viel CPU Leistung aus, ging weg, kam wieder, jedenfalls war in der Prozessliste ordentlich Bewegung. Gestern Vormittag das gleiche wieder. Am Nachmittag war aber Schluß damit und ist bis heute nicht wieder aufgetaucht. Aber... seit gestern Vormittag kann ich mich auch nicht mehr in AOL Webmail einloggen. Beim ersten Versuch kommt die Log In Seite nochmal, Anmeldename steht drin, Passwort nicht. Dann nochmal probiert und dann kommt die Website mit dem hübschen Männchen von AOL und dem Ausspruch "Blerk". Von einem anderem PC aus aber ist es kein Problem. Und gestern Abend fiel mir auf, daß manchmal die Suchergebnisse von Google.mehrfach umleitet werden z.B. von Chip. Hier nun die ganzen Logfiles, ich hoffe ich habe alles richtig gemacht und es fehlt nichts : OTL logfile created on: 09.02.2013 08:44:00 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Test2\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,50 Gb Total Physical Memory | 0,98 Gb Available Physical Memory | 65,30% Memory free 2,85 Gb Paging File | 2,49 Gb Available in Paging File | 87,26% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,06 Gb Total Space | 10,00 Gb Free Space | 25,61% Space Free | Partition Type: NTFS Computer Name: HEIMPC | User Name: Test2 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2013.02.09 08:08:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Test2\Eigene Dateien\Downloads\OTL.exe PRC - [2013.01.08 11:27:24 | 000,026,600 | ---- | M] (Uniblue Systems Ltd) -- C:\Programme\Uniblue\SpeedUpMyPC\spmonitor.exe PRC - [2012.12.03 08:35:28 | 000,946,352 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe PRC - [2012.10.26 19:16:12 | 000,271,808 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\3.0.313\SSScheduler.exe PRC - [2012.01.18 13:02:04 | 000,508,136 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe PRC - [2012.01.18 13:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2011.11.17 18:29:26 | 000,901,800 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe PRC - [2010.05.20 23:59:30 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin PRC - [2010.05.20 23:59:28 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.02.02 17:26:44 | 000,283,136 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\FRITZWLANMini.exe PRC - [2005.11.11 15:30:32 | 000,270,336 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe PRC - [2005.11.11 15:29:18 | 000,139,264 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe PRC - [2005.11.11 15:26:24 | 000,118,843 | ---- | M] (NVIDIA) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe PRC - [2005.11.11 15:26:08 | 000,061,503 | ---- | M] (NVIDIA) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe PRC - [2002.01.29 13:33:14 | 000,077,824 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe PRC - [1998.07.30 13:55:24 | 000,022,528 | ---- | M] (Ulead Systems, Inc.) -- C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE ========== Modules (No Company Name) ========== MOD - [2010.05.04 15:36:28 | 000,970,752 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\.\globalroot\systemroot\system32\mswsock.dll MOD - [2005.11.11 15:29:18 | 000,139,264 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe MOD - [2002.04.04 23:07:00 | 000,286,720 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBNWDev.dll MOD - [2002.01.29 13:33:14 | 000,077,824 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe MOD - [1999.02.12 15:23:52 | 000,045,568 | ---- | M] () -- C:\Program Files\WS_FTP Pro\nsftpch.dll ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.12.17 20:33:23 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.10.26 19:15:26 | 000,234,776 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\3.0.313\McCHSvc.exe -- (McComponentHostService) SRV - [2012.04.05 17:03:00 | 003,969,336 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\system32\GameMon.des -- (npggsvc) SRV - [2005.11.11 15:29:18 | 000,139,264 | ---- | M] () [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe -- (ForceWare Intelligent Application Manager (IAM) SRV - [2005.11.11 15:26:24 | 000,118,843 | ---- | M] (NVIDIA) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp) SRV - [2005.11.11 15:26:08 | 000,061,503 | ---- | M] (NVIDIA) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog) SRV - [2005.09.30 18:34:58 | 000,020,543 | ---- | M] (Apache Software Foundation) [Auto | Stopped] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe -- (ForcewareWebInterface) SRV - [2002.01.29 13:33:14 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe -- (EpsonBidirectionalService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [File_System | Auto | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2009.09.28 09:55:38 | 000,052,656 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\OXSDIDRV_x32.sys -- (OXSDIDRV_x32) DRV - [2007.01.26 01:00:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB) DRV - [2007.01.26 01:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject) DRV - [2005.11.11 14:19:04 | 000,012,928 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus) DRV - [2005.11.11 14:19:02 | 000,034,048 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD) DRV - [2005.08.10 20:49:28 | 000,393,088 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService) DRV - [2005.02.11 09:24:24 | 000,079,488 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex) DRV - [2005.02.11 09:22:48 | 000,081,728 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt) DRV - [2005.02.11 09:19:20 | 000,055,216 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D8 19 07 9D 5C 93 CD 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{B942219B-E9A1-4ECC-8191-A67ED598E7D9}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=NDV&o=15765&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=NY&apn_dtid=YYYYYYYYDE&apn_uid=488E09D6-0857-4EE8-BD5E-1A67896F8747&apn_sauid=94B904BF-02E9-4049-AB07-C304ACA6B50C& IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://de.ask.com/?l=dis&o=15768" FF - prefs.js..extensions.enabledAddons: ich@maltegoetz.de:1.4.3 FF - prefs.js..extensions.enabledAddons: stealthyextension@gmail.com:2.4 FF - prefs.js..extensions.enabledAddons: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.13 FF - prefs.js..extensions.enabledAddons: {271A3CF5-5A54-447B-A08F-BE805F0DA60A}:3.3.23.0 FF - prefs.js..network.proxy.http: "proxyus2.stealthy.co" FF - prefs.js..network.proxy.http_port: 3128 FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co" FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.type: 0 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_278.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Programme\McAfee Security Scan\3.0.313\npMcAfeeMss.dll (McAfee, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.0: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.09.15 06:39:16 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.05.17 11:37:19 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.12.17 20:33:25 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2012.08.12 22:21:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Extensions [2013.02.04 19:44:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions [2013.02.04 19:44:14 | 000,000,000 | ---D | M] (DDBAC Plug-In) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions\{271A3CF5-5A54-447B-A08F-BE805F0DA60A} [2013.01.11 07:30:32 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2013.01.30 09:07:58 | 000,000,000 | ---D | M] (Wörterbuch Deutsch (de-DE), Hunspell-unterstützt) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions\de_DE@dicts.j3e.de [2012.10.12 20:37:32 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions\ich@maltegoetz.de [2012.10.26 06:29:45 | 000,183,174 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Mozilla\Firefox\Profiles\yedkzo8x.default\extensions\stealthyextension@gmail.com.xpi [2012.05.17 11:37:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.09.15 06:39:16 | 000,266,720 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.24 16:08:07 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.05.17 11:37:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.15 06:39:14 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.05.17 11:37:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.05.17 11:37:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.05.17 11:37:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.05.17 11:37:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Programme\McAfee Security Scan\3.0.313\McAfeeMSS_IE.dll (McAfee, Inc.) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin) O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe (NVIDIA Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [USSShReg] C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\SSaver\USSSHREG.EXE () O4 - HKCU..\Run: [eType Setup403515.exe] "C:\DOKUME~1\Test2\LOKALE~1\Temp\eType Setup403515.exe" /XML="C:\DOKUME~1\Test2\LOKALE~1\Temp\1E.tmp" /STP=0:1 File not found O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil32_11_4_402_278_Plugin.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE (Ulead Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE (SEIKO EPSON CORPORATION) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\3.0.313\SSScheduler.exe (McAfee, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Test2\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA) O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} https://www.olb.de/olb_fb3_1867b/plugin/AXFOAM.CAB (B+S Banksysteme AG DDBAC Plug-In) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{14354AB3-71EA-4FB1-8DA6-54282306736D}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{578986FC-7AAC-4EA5-A02F-94B2C19AE01C}: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.11.22 22:26:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.02.08 19:50:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Uniblue [2013.02.08 19:50:15 | 000,000,000 | ---D | C] -- C:\Programme\Uniblue [2013.02.08 19:50:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Uniblue [2013.02.08 18:57:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\vlc [2013.02.07 16:11:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\WINDOWS [2013.02.07 14:22:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Nvu [2013.02.07 12:30:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun [2013.02.07 07:41:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2013.02.07 07:40:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2013.02.06 09:49:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2013.02.06 09:48:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2013.01.31 07:56:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee Security Scan Plus [2013.01.29 17:36:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Lokale Einstellungen\Anwendungsdaten\.elfohilfe [2013.01.29 14:10:18 | 000,000,000 | ---D | C] -- C:\temp [2013.01.19 07:52:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Lokale Einstellungen\Anwendungsdaten\Google [2013.01.19 07:52:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Google [2013.01.14 19:46:17 | 000,000,000 | ---D | C] -- C:\Programme\PLX Technology [2013.01.14 19:46:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE [2013.01.14 19:45:58 | 000,000,000 | ---D | C] -- C:\Programme\Iomega [2013.01.14 19:45:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Iomega [2013.01.14 19:45:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Test2\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2013.02.09 08:42:40 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Test2\defogger_reenable [2013.02.09 08:11:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2013.02.09 08:10:13 | 000,000,992 | ---- | M] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit gmer_2.0.18454.lnk [2013.02.09 08:10:03 | 000,000,931 | ---- | M] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit OTL.lnk [2013.02.09 08:08:19 | 000,000,962 | ---- | M] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit Defogger.lnk [2013.02.09 08:02:00 | 000,000,222 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2013.02.09 07:39:24 | 000,000,238 | ---- | M] () -- C:\WINDOWS\tasks\SpeedUpMyPC.job [2013.02.09 07:38:43 | 000,004,458 | ---- | M] () -- C:\WINDOWS\ULEAD32.INI [2013.02.09 07:38:42 | 000,033,801 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2013.02.09 07:38:41 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2013.02.09 07:38:37 | 000,000,248 | ---- | M] () -- C:\WINDOWS\tasks\spmonitor.job [2013.02.09 07:13:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2013.02.08 23:23:48 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2013.02.07 07:32:33 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2013.02.04 10:29:20 | 000,002,358 | ---- | M] () -- C:\28020050.rdh [2013.01.31 07:56:36 | 000,001,751 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk [2013.01.31 07:56:36 | 000,001,745 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2013.02.09 08:42:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\defogger_reenable [2013.02.09 08:10:13 | 000,000,992 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit gmer_2.0.18454.lnk [2013.02.09 08:10:03 | 000,000,931 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit OTL.lnk [2013.02.09 08:08:19 | 000,000,962 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Desktop\Verknüpfung mit Defogger.lnk [2013.02.08 19:50:24 | 000,000,248 | ---- | C] () -- C:\WINDOWS\tasks\spmonitor.job [2013.02.08 19:50:22 | 000,000,238 | ---- | C] () -- C:\WINDOWS\tasks\SpeedUpMyPC.job [2013.01.14 19:45:59 | 000,024,880 | ---- | C] () -- C:\WINDOWS\System32\drivers\OXUDIDRV_x32.sys [2012.12.01 17:42:09 | 000,006,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.09.29 17:33:30 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\0.18307953366374974.exe [2012.09.29 17:33:30 | 000,000,170 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rhkxjptiycoxlpw [2012.09.16 23:10:18 | 000,012,804 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Tabs Boom boom.odt [2012.09.03 09:57:01 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Test2\Stenaline [2012.08.29 09:21:00 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.08.17 06:32:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.07.02 10:02:33 | 000,004,140 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe [2012.02.17 15:43:11 | 000,000,022 | ---- | C] () -- C:\WINDOWS\System32\systeminfo3.dll [2012.02.17 15:37:33 | 000,000,085 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2012.02.15 21:49:20 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT [2012.01.11 20:24:00 | 000,000,132 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2012.01.07 07:44:55 | 000,112,688 | ---- | C] () -- C:\WINDOWS\System32\shw32.dll [2012.01.07 07:44:55 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat [2012.01.03 15:36:10 | 000,004,458 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI [2012.01.01 11:09:25 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EEBAPI.dll [2012.01.01 11:09:25 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\EEBDSCVR.dll [2012.01.01 11:09:25 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\EBAPI.dll [2012.01.01 11:08:56 | 000,000,182 | ---- | C] () -- C:\WINDOWS\System32\EBPPORT.DAT [2011.12.31 21:38:43 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI ========== ZeroAccess Check ========== [2012.01.01 21:07:20 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini [2013.02.09 07:13:21 | 000,005,120 | -HS- | M] () -- C:\WINDOWS\assembly\GAC\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] "ThreadingModel" = Both "" = C:\RECYCLER\S-1-5-21-1214440339-1770027372-725345543-1005\$49f76bafa92d47ed6009822d4aff5802\n. -- File not found [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 06:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = C:\RECYCLER\S-1-5-18\$49f76bafa92d47ed6009822d4aff5802\n. -- File not found "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.02.17 14:38:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo [2012.02.17 15:30:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2012.04.24 17:47:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2012.02.15 21:49:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EnterNHelp [2012.03.17 19:40:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsolatedStorage [2012.06.24 09:59:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogSys [2012.02.15 21:19:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nikon [2012.05.19 13:02:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2012.02.15 21:49:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ultima_T15 [2012.01.31 23:46:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip [2012.08.27 16:16:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Blueberry [2012.08.13 09:39:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\DataDesign [2012.08.13 23:04:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\elsterformular [2012.11.05 08:44:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Foxit Software [2012.08.27 16:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\LogSys [2012.11.03 21:27:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Nikon [2013.02.07 14:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Nvu [2012.08.15 08:07:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\OpenOffice.org [2012.10.04 23:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Steganos [2012.08.12 22:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Thunderbird [2013.02.08 19:50:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\Uniblue [2013.01.05 16:41:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Test2\Anwendungsdaten\XnView ========== Purity Check ========== < End of report > ____________________________________- OTL Extras logfile created on: 09.02.2013 08:44:00 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Test2\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,50 Gb Total Physical Memory | 0,98 Gb Available Physical Memory | 65,30% Memory free 2,85 Gb Paging File | 2,49 Gb Available in Paging File | 87,26% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,06 Gb Total Space | 10,00 Gb Free Space | 25,61% Space Free | Partition Type: NTFS Computer Name: HEIMPC | User Name: Test2 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Betrachten mit XnView] -- "C:\Programme\XnView\xnview.exe" "%1" (XnView, hxxp://www.xnview.com) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{{B221BE73-4FC9-4B6A-AF4C-1AC94233710C}}" = Steganos Online-Banking portable 2011 "{04FCD5DE-1662-4F99-BDA9-C57212113EF2}" = RemoteComms External Disk Access "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 "{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31 "{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2 "{33286280-8617-11E1-8FF6-B8AC6F97B88E}" = Google Earth Plug-in "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK "{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}" = Windows Messenger 5.1 "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar "{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2 "{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.0 - Deutsch "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{CD95F661-A5C4-44F5-A6AA-ECDD91C240C1}" = WinZip 15.0 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}" = Nikon Message Center "{DF02A1B9-B4FB-4873-98A4-0793AF76557F}" = PDF Form Filler 2 "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series "{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1" = SpeedUpMyPC "{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX "{F161B4FF-3976-4917-BD27-CA28C95A13AE}" = DDBAC "{F803D042-5A46-42E8-86CA-C8A0A5C63518}" = Iomega Encryption "{F9336255-6BBB-4B38-9F98-E85988BF99CA}" = DDBAC "{FF3999BE-1A7B-4738-88AA-97BF14094A4A}" = PictureProject "76322c23820ae7473cdebbff3eceb262" = Cars "7-Zip" = 7-Zip 9.20 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "ANNO 1602 Königs-Edition" = ANNO 1602 Königs-Edition "Ashampoo Burning Studio 6 FREE_is1" = Ashampoo Burning Studio 6 FREE v.6.80 "CCleaner" = CCleaner "Corel Applications" = Corel Applications "DesktopIconAmazon" = Desktop Icon für Amazon "ElsterFormular 13.2.0.8623k" = ElsterFormular "EPSON Printer and Utilities" = EPSON-Drucker-Software "Foxit Reader_is1" = Foxit Reader 5.1 "ie8" = Windows Internet Explorer 8 "InstallShield_{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager "IrfanView" = IrfanView (remove only) "McAfee Security Scan" = McAfee Security Scan Plus "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de) "Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "Nikon FotoShare" = Nikon FotoShare "NVIDIA Drivers" = NVIDIA Drivers "Nvu_is1" = Nvu 1.0 "ShotOnline" = ShotOnline "Ulead PhotoImpact 4.2" = Ulead PhotoImpact 4.2 "VLC media player" = VLC media player 2.0.0 "WIC" = Windows Imaging Component "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "WS_FTPPro" = Ipswitch WS_FTP Pro Uninstall "XnView_is1" = XnView 1.99.5 "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 07.06.2012 04:41:20 | Computer Name = HEIMPC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes Modul flash10b.ocx, Version 10.0.22.87, Fehleradresse 0x000a97c8. Error - 07.06.2012 04:41:30 | Computer Name = HEIMPC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes Modul flash10b.ocx, Version 10.0.22.87, Fehleradresse 0x000a97c8. Error - 07.06.2012 04:41:41 | Computer Name = HEIMPC | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes Modul flash10b.ocx, Version 10.0.22.87, Fehleradresse 0x000a97c8. Error - 24.06.2012 04:59:34 | Computer Name = HEIMPC | Source = MsiInstaller | ID = 11931 Description = Product: PDF Form Filler 2 -- Error 1931. The Windows Installer service cannot update the system file C:\WINDOWS\system32\msiexec.exe because the file is protected by Windows. You may need to update your operating system for this program to work correctly. Package version: 3.1.4001.5512, OS Protected version: 3.1.4000.1823 Error - 24.06.2012 04:59:57 | Computer Name = HEIMPC | Source = LogSys.Client | ID = 3 Description = Error - 24.06.2012 18:33:55 | Computer Name = HEIMPC | Source = MsiInstaller | ID = 11316 Description = Produkt: MSXML 4.0 SP2 (KB954430) -- Fehler 1316. Beim Versuch, die Datei c:\710bfd96a3b0cdfd7f81\msxml4.msi zu lesen, ist ein Netzwerkfehler aufgetreten. Error - 21.08.2012 11:07:22 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 21.08.2012 11:07:24 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 03.09.2012 04:48:50 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 14.0.1.4577, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 12.09.2012 12:12:04 | Computer Name = HEIMPC | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 07.02.2013 02:34:14 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 07.02.2013 02:34:14 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 07.02.2013 13:42:27 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Forceware Web Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 08.02.2013 02:21:14 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 08.02.2013 02:21:14 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 08.02.2013 02:43:25 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7034 Description = Dienst "Forceware Web Interface" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 08.02.2013 02:58:44 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 08.02.2013 02:58:44 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 Error - 09.02.2013 02:14:41 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7000 Description = Der Dienst "StarOpen" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 09.02.2013 02:14:41 | Computer Name = HEIMPC | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1060 < End of report > ________________ GMER 2.0.18454 - hxxp://www.gmer.net Rootkit scan 2013-02-09 08:55:41 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e SAMSUNG_HD502HJ rev.1AJ10001 128,00GB Running: gmer_2.0.18454.exe; Driver: C:\DOKUME~1\Test2\LOKALE~1\Temp\pwtdipob.sys ---- Kernel code sections - GMER 2.0 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB97DA360, 0x200AED, 0xE8000020] init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB6E3AA80] ---- User code sections - GMER 2.0 ---- .text C:\WINDOWS\System32\svchost.exe[2076] USER32.dll!DialogBoxIndirectParamAorW 7E3749D0 5 Bytes JMP 008E000A .text C:\WINDOWS\System32\svchost.exe[2076] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 008D000A .text C:\WINDOWS\System32\svchost.exe[2076] ole32.dll!CoCreateInstance 774CF1BC 5 Bytes JMP 008C000A ---- Processes - GMER 2.0 ---- Library c:\windows\system32\y (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1060] 0x45670000 Library c:\windows\system32\y (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2228] 0x45670000 ---- Registry - GMER 2.0 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketHandleAdd 3260 Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketProcessIDAdd 1060 Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketRemoteIPAdd 79.49.0.137 Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketRemotePortAdd 16471 Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketLocalPortAdd 1030 Reg HKLM\SYSTEM\CurrentControlSet\Services\nvnetbus\SNPU@FwlSocketProtocolAdd 1 ---- EOF - GMER 2.0 ---- Ja, ich denke das war es. Wäre schön, wenn mir jemand helfen könnte. Grüße und schönes Wochenende Tom |
:hallo: Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld. :) |
Hallo Leo, und ich möchte mich dafür bedanken, daß Du dich meinem Problem annimmst. Bis demnächst dann Grüße Tom |
Hallo Tom und :hallo: Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten. Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich. Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist. Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.  Hinweise zum Ablauf
Treten diese Probleme denn mit beiden Browsern (Internet Explorer, Firefox) auf oder nur mit einem davon? Wir machen noch einen Scan. Hinweis: Kein AntivirenprogrammIch sehe in deinen Logfiles kein laufendes Antivirenprogramm mit Hintergrundwächter. Das ist gefährlich. Auch wenn so ein Wächter niemals alle Bedrohungen abwehren kann, ist er doch ein wichtiger Bestandteil, um den Rechner sauber zu halten. Downloade und installiere bitte ein Antivirenprogramm mit Hintergrundwächter. Hier sind zwei mögliche Vorschläge: Schritt 1 Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.
Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, da bist Du ja schon wieder. :) Ich habe es eben mal mit dem Internet Explorer probiert, da komme ich gar nicht mehr ins Internet. Ja, ich weiß, es ist nur eine Firewall installiert. Ein Antivirenprogramm ist sicher wichtig und richtig. Bisher macht eich durch die Bank weg schlechte Erfahrungen, was die Geschwindigkeit des Rechner angeht beim Starten. Bei allen alten Rechner verlangsamte sich das erheblich, man konnte einiges unternehmen, bis man endlich mal arbeiten konnte. Der hier fährt so schnell hoch, das ist ein Traum. Deswegen habe ich bisher gezögert mir etwas zu installieren. Hier aber das von Dir angeforderte Logfile : Code: 15:36:02.0671 1032 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35Grüße Tom |
Hallo Tom, Zitat:
Zitat:
Versuchen wir ihn loszuwerden: Schritt 1 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 2 Warnung für Mitleser: Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, sooo, das lief dann bisher problemlos. Ich merke aber schon Veränderungen. Firefox Startbildschirm hat sich verändert, dort hatte ich sonst noch eine Startseite von Ask aber die ist dann wohl mit einem der ersten Programme gelöscht worden, soll mir auch recht sein. Hier wieder die Log Files : AdwCleaner Logfile: Code: # AdwCleaner v2.111 - Datei am 09/02/2013 um 16:23:51 erstelltund [code] Combofix Logfile: Code: ComboFix 13-02-07.02 - Test2 09.02.2013 16:45:56.1.1 - x86Die Websites werden nicht mehr umgeleitet wie es scheint, aber mit dem IE komme ich immer noch nicht ins Internet. Aber das nur mal als Zwischenmeldung. Grüße Tom Ich habe mit dem IE mal die Verbindungsdiagnose laufen lassen, da sagt er mir das : Code: Letzte Ausführungszeit der Diagnose: 02/09/13 18:50:50 WinSock-Diagnose Das noch ergänzend. Grüße Tom |
Hallo Tom, Combofix hat da unter anderem zwei Dateien gelöscht, von welchen ich nicht denke, dass sie Malware sind: Zitat:
Wir schauen noch, ob das ganze Rootkit erwischt wurde, und kümmern uns dann um den Rest: Schritt 1 Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers. Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, also zunächst zu den zwei Dateien, die könnten erstellt worden sein, als ich das Telefon eines Freundes angeschlossen habe um die Speicherinhalte auf meinen PC zu kopieren. Ähnlich muß es mit der 2. Datei auch sein. Die Daten sind zumindest noch da. Was mir aber heute aufgefallen ist : Wenn ich jetzt eine Kamera oder USB Stick anschließe, öffnet sich nicht mehr das Fenster, wo gefragt wird was als nächstes passieren soll z.B. Ordner öffnen oder Diashow abspielen. Mbar fand glaube ich 6 Einträge die mit einmaliger Aktion gelöscht wurden, 2. Reinigung war nicht notwendig und hier der Log dazu : Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1020Grüße Tom |
Bevor wir weitermachen: Zitat:
|
Ist das dieses : ? Code: --------------------------------------- |
Hallo Tom, ok, ich hab in diesem Log gesehen, was ich sehen wollte. Zitat:
Ohne dieses Autorun muss man die gewünschte Aktion manuell starten - weniger komfortabel, aber sicherer. Falls du es wünschst, kann ich das Deaktivieren dieser Funktion dann aber auch wieder rückgängig machen. Schritt 1 Zu deinem Problem mit der Internetverbindung: Öffne bitte den erstellten Ordner von Malwarebytes Anti-Rootkit. Starte die fixdamage.exe und beantworte die Frage mit Yes. Wenn das Tool fertig ist, starte den Rechner neu auf. Funktioniert der Internet Explorer jetzt wieder, wie er sollte? Schritt 2 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, also das ist nicht unbedingt notwendig, daß es automatisch läuft mit den angeschlossenen Geräten. Ist ja kein Ding den Arbeitsplatz manuell zu öffnen und wenn es sicherer ist, warum nicht. Ja, jetzt scheint der IE wieder normal zu laufen. Mal sehen ob später auch noch das Onlinebanking funktioniert, das geht nur per HBCI über den IE. Und hier der Log von OTL OTL Logfile: Code: OTL logfile created on: 11.02.2013 14:39:59 - Run 2Grüße Tom |
Hallo Tom, Zitat:
Kannst du bitte, falls das zutrifft, dich in diesem Konto "xxx" (oder wie es richtig heisst) einloggen und dort nochmals einen OTL-Scan machen: Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
|
Hallo Leo, ja, das ist richtig. Ich bin immer jetzt auf Benutzer "Test2", das andere mit xxx ( heißt Uwe, kann ich auch lassen..., so geheim ist das nicht. ) hatte ich zunächst als einziges Konto. Es gab aber mal Probleme mit Thunderbird. Stürzte beim Starten immer ab, darauf erstellte ich Test2, muß ich mal umbennen. Ich gehe in das andere rein und mache den Scan. Bis gleich Tom Und los geht es : OTL Logfile: Code: OTL logfile created on: 11.02.2013 21:07:50 - Run 3 |
Hallo, in diesem Konto war auch noch etwas. Führe die folgenden Schritte bitte im Konto "Uwe" durch: Schritt 1
Code: :OTL
Schritt 2 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 3 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, das habe ich jetzt irgendwie nicht verstanden : Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig. Grüße Tom |
Das ist nur ein Standardtext, der für dich aber nicht relevant ist. Es geht darum, dass man in die Pfadangaben im Fix wieder den Original Benutzernamen einsetzen soll, wenn man ihn im Log anonymisiert hat (so wie du vorhin "xxx" eingesetzt hattest). Sonst funktioniert der Fix nicht, da natürlich die Files nicht gefunden werden können ohne korrekte Pfadangabe. Aber wie gesagt, das trifft hier für dich nicht zu. Einfach den Text so einfügen, wie er ist. |
Hallo Leo, hatte gestern gar nicht realisiert, daß ich das einfügen muß bei OTL. War wohl schon zu spät am Abend. Ja, ist klar, habe ich jetzt verstanden. Also hier die Logs : Code: All processes killedAdwCleaner Logfile: Code: # AdwCleaner v2.112 - Datei am 12/02/2013 um 08:41:51 erstelltOTL Logfile: Code: OTL logfile created on: 12.02.2013 08:45:26 - Run 4Grüße Tom Ach ja, es gibt da noch ein 3. Benutzerkonto unter dem Namen "Test". Das habe ich aber soweit ich mich erinnere gar nicht weiter benutzt. Warum ich das Test 2 noch erstellte, weiß ich nicht mehr. Das nur als Ergänzung Grüße Tom |
Hallo Tom, ok, das hat geklappt, wie es sollte. Du kannst jetzt wieder in deinem Hauptkonto weitermachen. Läuft der Rechner jetzt ohne Probleme? Wir sollten bald durch sein. Kontrollieren wir noch alles gründlich, bevor dann noch ein paar Sicherheitslücken geschlossen werden müssen: Schritt 1 Downloade Dir bitte  Malwarebytes Anti-Malware
Schritt 2 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 3 Downloade dir bitte Farbars Service Scanner und speichere es auf den Desktop.
Schritt 4 Downloade dir bitte SecurityCheck (Link 1, Link 2).
Bitte poste in deiner nächsten Antwort:
|
Hallo Leo, Junge, Junge, da hat man ganz schön was mit zu tun. Sowohl als Helfender als auch Betroffener. Man sollte diesen Verursachern ne Rechnung über die Zeit schicken können. Nochmals Danke für Deinen Einsatz. Ja, also bisher habe ich keine weiteren Auffälligkeiten registriert. Hier die Logs : Code: Malwarebytes Anti-Malware (Test) 1.70.0.1100Code: C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Test2\0.18307953366374974.exe.vir Win32/Weelsof.B trojanCode: Farbar Service Scanner Version: 10-02-2013Code: Results of screen317's Security Check version 0.99.57 Tom |
Hallo Tom, Zitat:
Jetzt hab ich aber nur noch eine letzte Liste für dich zum Abarbeiten, danach sind wir fertig. Nebst Aufräumarbeiten beinhalten diese Schritte auch noch das Updaten von sicherheitsrelevanter Software. Durch veraltete Versionen, von denen du doch einige hast, können sich die Schädlinge in vielen Fällen überhaupt erst installieren. Achte auch in Zukunft darauf, immer die aktuellen Versionen zu verwenden. Und auch ein Antivirenprogramm würd ich dir weiterhin nahelegen.. Hinweis: Registry CleanerIch sehe, dass du sogenannte Registry Cleaner installiert hast. In deinem Fall CCleaner und SpeedUpMyPC. Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler. Zerstörst du die Registry, zerstörst du Windows. Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich. Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über Start --> Systemsteuerung --> Software (bei Windows XP)zu deinstallieren. Schritt 1 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 13.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 2 Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
Schritt 3 Dein Firefox ist nicht mehr aktuell. Starte deinen Firefox als Administrator, klicke Hilfe --> Über Firefox und führe das angebotene Update durch. Wiederhole diesen Schritt, bis Firefox als aktuell angezeigt wird. Überprüfe dann mit diesem Plugin-Check, ob nun deine verwendeten Versionen aktuell sind. Schritt 4 Deine Version des VLC Media Players weist eine Schwachstelle auf, welche Angreifern das Einschleusen von Schadcode auf deinen Rechner ermöglicht. Downloade deshalb die neuste Version des VLC Players von videolan.org und installiere sie. Dann räumen wir noch alles auf: Schritt 5 Starte defogger und drücke den Button Re-enable. Schritt 6 Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme. Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster Code: Combofix /UninstallDu kannst die eben deaktivierten Programme nun wieder einschalten. Schritt 7 Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen. Falls du ESET aber deinstallieren möchtest, dann: Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster Code: "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"Schritt 8 Downloade dir bitte delfix auf deinen Desktop.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Leo, ich bin gerade dabei die einzelnen Schritte abzuarbeiten. Zunächst CC Cleaner und Speed me up zu deinstallieren. Das habe ich jetzt auch gemacht. Dazu musste ich "Uwe" abmelden. Als ich auf Uwe wechselte wurde mir das angezeigt was im Screenshot zu sehen ist. Was sagt uns das? Siehe Dir das bitte mal an bevor ich weiter mache. CC und Speed me habe ich übrigens noch nie benutzt. Hatte ich auch eigentlich nicht vor, nun sind sie weg. Grüße Tom |
Hm, hast du alle deine wichtigen Daten irgendwo extern gesichert? Mach das sonst noch. Könnte auch ein Hardwareproblem sein. Drücke dann bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe cmd in das Ausführen Fenster. Gib dann folgenden Befehl in die Kommandozeile ein: Code: chkdsk /fDas sollte dann während des Aufstartens nach Fehlern suchen. Was zeigt es an? Versuche danach wieder weiterzuarbeiten. |
Hallo Leo, ich habe das mal gemacht, er suchte aber ehrlich gesagt, ob er was gefunden hat, konnte ich so schnell nicht sehen wie die Schrift weg wahr. Es wurde dann weiter gestartet, dann Fehlermeldung : 3rd Master Hard Disk SMART command Failed. Press F1 to resume. Das tat ich dann. Zwischendurch sah ich ab und an mal weiße Schrift auf blauem Grund aber nur ganz kurz, konnte da auch nichts lesen, so kurz war es. Dann weiße Schrift auf schwarzem Grund, daß Windows nicht gestartet werden konnte mit Auswahlmöglichkeiten wie abgesicherter Modus, letzte funktionierende Version und normal starten. Ich habe normal starten lassen, der Schirm kam wo ich die Konten auswählen konnte, wählte Test2 und es dauerte relativ lange bis der Desktop kam ( 30 sek bis 60 ) und dann nochmal ungefähr ebenso lange bis die Desktopsymbole kamen. :daumenrunter: Muß ich mir Sorgen machen? Habe jetzt noch nichts weiter gemacht. Grüße Tom Habe eben nochmal neu gestartet, das lief jetzt wieder normal. Auch der Wechsel zwischen den Konten scheint ok zu sein. |
Ich kann dir leider nicht recht sagen, was das genau war. Wenn jetzt alles wieder normal läuft, dann arbeite noch die obige Liste ab (und gib mir bitte eine kurze Rückmeldung, wenn alles erledigt ist, damit ich das Thema abschliessen kann.) Ich würd das aber im Auge behalten und vielleicht danach auch mal im Hardware-Forum nachfragen, ob möglicherweise deine Festplatte sich ihrem Ende nähert. Das ist nicht unbedingt mein Spezialgebiet, da verweis ich dich lieber an die Experten. |
OK, dann mache ich mal weiter. Das wäre aber übel, die Festplatte ist mal gerade ein gutes Jahr im Betrieb. Wenn ich da an meinen alten Aldi Rechner aus 1999 denke, der läuft heute noch. Ich melde mich, wenn alles fertig ist. Grüße Tom Hallo Leo, soweit alles erledigt und Avast installiert. Bisher läuft es reibungslos und ich hoffe, das bleibt so. Bleibt mir nur noch Dir herzlichst für Deine Mühe und Deinen Einsatz zu danken. Ohne Dich bzw. dieses Board wäre ich aufgeschmissen gewesen. Das wird hier alles sehr professionell gemacht, ich finde es auch sehr gut, daß sich bloß einer um den jeweiligen Fall kümmert und Besucher nicht auch noch ihren Senf dazu geben können. Die Beschreibungen sind einleuchtend und leicht nachvollziehbar. Besser geht es nicht. Nochmals : Tausend Dank! :) Grüße Tom Ach, noch was, als Hinweis : Es war mir nicht möglich mit dem Firefox den Adobe Reader und Flashplayer runter zu laden. Es tat sich einfach nichts. Musste es dann mit dem IE machen. Grüße Tom |
Hallo Tom, danke für die Rückmeldung. :) Freut mich, dass wir helfen konnten. :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board