weisser Bildschirm beim starten von Windows 7 (64 bit)
 

Hallo.

Ich habe seit gestern einen weissen Bildschirm beim starten von Windows 7 (64 bit).
Habe danach gegoogelt und bin nun bei euch gelandet, in der Hoffnung ihr könnt mir weiterhelfen.

Besitze ein hp dv7-6010eg laptop. Habe auch versucht über die F8 Taste in den abgesicherten Modus zu gelangen, wie es hier beschrieben wurde. Leider vergeblich!

Viele Grüsse

Heiko

Hallo Heiko und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.




Sehen wir mal nach, wo dieses Ding sitzt:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Hallo Leo.

Vielen Dank erstmal für Deine schnelle Hilfe!

Variante 1: Mehrere Versuche scheiterten, da bei wiederholten drücken der F8 Taste bis auf ein Piepton nichts passiert. Was mache ich falsch?

Variante 2: Ich besitze leider keine Windows 7 CD, war beim Kauf nicht dabei. CD's brennen kann ich leider auch nicht, da das CD-Laufwerk meines älteren Laptops (mit dem ich hier in Kontakt stehe) defekt ist.

Besteht die Möglichkeit über einen USB-Stick zu booten? Wenn ja woher bekomme ich eine bootfähige Windows 7 (64 bit) Version zum downloaden?

Viele Grüsse

Heiko

Hallo Heiko,

Das kann ich aus der Ferne nicht beurteilen, warum das nicht klappt.
Dann versuchen wir mal eine andere Variante:



Schritt 1

Versuchen wir, den Sperrbildschirm mit HitmanPro.Kickstart zu entfernen.
Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen! Sichere sie zuvor an einen anderen Ort, wenn du sie noch brauchst.

• Bereite deinen USB-Stick vor wie in dieser Anleitung beschrieben: Anleitung: HitmanPro.Kickstart
• Schliesse dann diesen Stick an den infizierten Rechner an und boote ihn vom USB-Stick. (Anleitung: Starten vom USB-Stick)
• Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
• Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint, warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
• Klicke jetzt: Weiter -> "Nein, ich möchte nur einen Einmalscan ..." -> Weiter
• Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
• Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
• Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
• Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Bitte poste in deiner nächsten Antwort:

• Log von HitmanPro

Da dürfte es das nächste Problem geben. :(

Der infizierte PC läuft mit einem 64 bit System, der PC mit dem hier schreibe allerdings 32 bit!

Was nun?

Hallo,

nein, das ist kein Problem.
Du musst einfach die 32-bit Version von HitmanPro herunterladen und damit deinen USB-Stick vorbereiten.
(Dieser USB-Stick wird dann sowohl für 32- als auch für 64-bit lauffähig sein.)

Ok den USB Stick habe ich soweit vorbereitet und in den infizierten PC gesteckt.

Kannst du mir bitte noch genau sagen wie ich nun in das Bootmenü komme? Ich habe wie oben beschrieben einen hp dv7-6010eg laptop und F-Tasten sind oben links auf den Tasten gekennzeichnet sind, was bedeutet ich muss sie mit der Shift-Taste zusammen drücken, oder? Und wenn ja welche F-Taste ist es denn nun? Ich weiß echt nicht weiter. Sorry!

Nein, ich glaub nicht, dass du sie zusammen mit der Shift-Taste drücken musst.
Versuch bitte nochmals, den Rechner neu zu starten und dann von Beginn an wiederholt die F8-Taste zu drücken. Kommt dann kein Menü, wo du abgesicherter Modus und anderes auswählen kannst?

nein, kommt leider kein menü.

Kannst du mir mal genau beschreiben, wann denn der Bildschirm genau weiss wird?
Du stellst den Computer ein. Dann siehst du noch das Windows-Logo und danach den Anmeldebildschirm oder wird er direkt weiss?

Hallo Leo,

er wird direkt nach dem anschalten weiss. Kein Windowslogo oder sonstiges.

Wenn ich beim anschalten die F-Tasten drücke (welche auch immer, hab mittlerweile alle durch, da HP z.b. im Handbuch beschreibt das man ins Bootmenü via F10 gelangt), kommt gelegentlich pro drücken der jeweiligen F-Taste ein Piepton. Etwa 10-20 Sekunden später höre ich nur noch den Startton wo ich dann den Benutzer auswählen kann.

Viele Grüsse
Heiko

Hallo Heiko,

schalte bitte den Laptop, wenn er denn weissen Bildschirm anzeigt, einmal ganz aus, indem du lange (10s) den Ein/Aus-Knopf gedrückt hältst.
Danach schalte ihn wieder ein und drücke von Beginn weg wiederholt schnell die F10-Taste (nicht gedrückt halten, sondern nur kurz antippen).

Kommst du jetzt ins Bootmenü, oder klappt es immer noch nicht?

Das hab ich schon die ganze Zeit versucht. Es passiert nur das, was ich dir eben beschrieben habe.

Hm, wie ist denn die Vorgeschichte, dass du Malware vermutest? Hast du zuvor irgendetwas bemerkt?
Hast du mal versucht, einen externen Bildschirm anzuschliessen und zu schauen, ob du dort mehr siehst als nur weiss in weiss?
Das könnte ja auch ein Hardwareproblem sein.

Ich war im Internet auf Kinoxx.to. Dann war ich kurz mit etwas anderem beschäftigt und als ich wieder an den PC ging hatte ich den weissen Bildschirm vor mir.

Habe als Virenschutzprogramm das Kaspersky Internet Security 2012 drauf und bin damit immer gut gefahren.

Nein einen externen Bildschirm hab ich leider hier nicht zur Verfügung.

Es sieht dann leider wohl so aus, das sich das dann mal ein guter Freund persönlich anschauen muss, wenn ich wieder in der Heimat bin.

Also wenn kinox.to im Spiel war, dann ist das hier ziemlich sicher Malware.

Versuch bitte mal noch, den Akku des Laptops zu entfernen und auch das Stromkabel auszuziehen und den Rechner dann normal über den Einschaltknopf zu starten (das wird natürlich nicht gehen..).
Danach wieder den Strom anschliessen und erneut starten. Ist der Bildschirm dann immer noch von Beginn weg weiss und du kommst nicht mal ins Bootmenü rein?

der Bildschirm ist wie leider gewohnt weiss und ich komme auch nicht ins Bootmenü.

Was mir schon mal vorher aufgefallen ist, wenn ich die Enter-Taste drücke währendessen der PC hochfährt und der Bildschirm weiss ist wird der Bildschirm für ein paar Sekunden schwarz, wechselt dann aber wieder zu weiss.

Auszug aus dem Handbuch (Online)


So rufen Sie Setup Utility auf:
1. Schalten Sie den Computer ein, oder starten Sie ihn neu. Drücken Sie die esc-Taste, wenn die
Meldung „Press the ESC key for Startup Menu“ (Zum Aufrufen des Startup-Menüs ESC-Taste
drücken) unten im Bildschirm angezeigt wird.
2. Drücken Sie f10, um Setup Utility zu öffnen


hab ich auch versucht leider vergebens.

Hallo,

das ist jetzt ein verzwickter Fall hier..

Nimm mir die Frage nicht übel, aber du hast jeweils immer genau das gemacht, was ich dir geschrieben habe und nicht nur so ungefähr? (auf die Details kommt es an..)

Wenn ja, dann sollten wir noch ganz sicher stellen, dass der Rechner jeweils wirklich neu startet und nicht aus irgendeinem Ruhezustand kommt:

• Im ausgeschalteten Zustand entferne den Akku des Laptops, so dass er nur noch am Stromkabel hängt.
• Starte den Rechner und warte eine Zeit, bis sich alles eingependelt hat.
• Entferne dann das Stromkabel vom Laptop - er wird natürlich sofort ausschalten.
• Schliess dann die Stromversorgung wieder an und starte neu.

Ist immer noch alles wie zuvor oder hat sich etwas verändert?

Hallo Leo,

ja, ich folgte immer genau deinen Anweisungen. Den Akku habe ich nach dem Kauf rausgenommen, da soweit ich weiss man den Akku entfernen sollte wenn man ständig so wie ich mit dem Stromnetzteil arbeite. Das ist doch korrekt, oder?

Ich werde jetzt mal meinen Freund anrufen und ihn mal fragen wie ich dort ins Bootmenü komme. Telefonisch kann ich da vielleicht besser agieren um uns den weiteren Einstieg doch noch zu ermöglichen. Ich melde mich im Anschluss wieder, ok.

Viele Grüsse
Heiko

Hallo Heiko,

ja versuch das mal. Sonst würd ich wirklich auch mal einen Hardwaredefekt in Betracht ziehen und abklären.

Ich habe gerade mit ihm telefoniert und wir haben es über die F2-Taste versucht. Ging auch nicht. Er meint wenn nach dem Start der Betriebstaste sofort ein weisser Bildschirm erscheint handelt es sich höchstwahrscheinlich um ein Hardwareproblem da auf jedenfall vorher ein Anzeigen (oben links) des Bios kommen muß. Bis zu diesem Zeitpunkt können dort keine Viren oder sonstiges sein, so er. (Wenn ich das so richtig formuliert habe).

Ich werde demnächst eine Heimreise antreten und wir werden es mal mit einem externen Monitor versuchen, war auch sein Vorschlag.

Wenn du willst halte ich dich auf jedenfall auf dem laufenden.

Eine sehr wichtige Frage hätte ich noch. Wie kann ich mich nebst Kaspersky Internet Security 2012 besser vor solchen Angriffen schützen in Puncto Software? Ich habe jetzt Malwarebytes installiert und es läuft parallel mit. Reicht das?

Ich danke dir sehr Leo für dein Bemühen!!! Schön das es Euch gibt, macht bitte weiter so! :)

Viele Grüsse
Heiko

Hallo Heiko,

Darauf würd ich ebenfalls tippen.
Die zeitliche Korrelation mit dem Besuch der Malwareschleuder kinox.to hat mich ein wenig verwirrt.

Das reicht absolut.
Wichtiger ist, dass dein System und die Software immer up-to-date sind (Plugin-Check) und dass du dich einigermassen schlau verhältst im Internet (beispielsweise mit alten Java- und Adobe-Plugins auf Seiten wie kinox.to zu surfen, wäre nicht besonders klug ;)). Ansonsten bietet auch die beste Sicherheitssoftware keinen nachhaltigen Schutz.

Ja, das wär sehr nett, wenn du dann schnell mitteilen könntest, was das Problem war. Dann kann ich auch meinen inneren Frieden in diesem Fall finden. ;)

Ok daran halte ich mich in Zukunft! Danke.

Mit dem PC-Check würd es etwa noch ne Woche dauern, vorher komme ich leider nicht dazu.

Du hörst dann aber von mir.

Viele Grüsse
Heiko

Ok, alles klar. Bis dann.

Hallo Leo.

Ich konnte gestern meinen Laptop vom Mediamarkt abholen. Hatte ihn wie ausgemacht zur Reparatur gebracht. Folgendes..

Reparaturbericht Werkstatt: Das Gerät wurde im Rahmen der Herstellergarantie instand gesetzt. Mainboard gewechselt, LCD Front gewechselt, BIOS Update

Soweit so gut. Rechner startet und läuft wie gewohnt. Nur ist mir jetzt aufgefallen das sich die Helligkeit des Bildschirm nicht mehr ändern lässt, was vorher kein Thema war.

Er ist viel zu dunkel und wenn ich eine Änderung der Helligkeit über F2-F3 vornehme geht die Anzeige zwar hoch oder eben runter nur ändert sich die Helligkeit nicht.

Was kann ich tun? Bitte helf mir. Ich finde es eine Sauerei das sowas nicht vor Rückgabe des Kunden anscheinend getestet wird.

Viele Grüsse Heiko

Hallo Leo.

Alles erledigt, Ursache war der Grafikkartentreiber ;). Hab alles aktualisiert und jetzt lässt sich die Helligkeit auf Wunsch wie gewohnt per F2/F3 ändern.

Aber ich würde trotzdem gern mal über euch einen Malwarecheck machen. In dem ich mal die Daten sende, wie einst von dir angegeben. Oder reicht ein Scann mit Malwarebytes aus?

Viele Grüsse Heiko

Hallo Heiko,

Prima. :daumenhoc

Ich kann da gerne mal über deinen Rechner schauen:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Hallo Leo.

anbei die Logs von Gmer und OTL. Da bin ja mal gespannt.

bis später Heiko

Gmer.txt:
GMER Logfile:
--- --- ---


OTL txt:OTL Logfile:
--- --- ---

Extras.txt:OTL EXTRAS Logfile:
--- --- ---

Hallo Heiko,

das ist relativ unauffällig bis hierhin. Bemerkst du denn irgendwelche Symptome oder ist alles ok?


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

AdwCleaner Logfile:
--- --- ---

Combofix und OTL2 txt habe ich im Anhang beigefügt

Danke!

viele Grüsse Heiko

Bisher keine auffälligen Symptome Leo.

Was sind auffällige Symptome?

Hallo Heiko,

Das würdest du schon merken, wenn du denn welche hättest.. ;) Wenn alles normal erscheint, dann ist gut.
Ich seh bei dir bis jetzt auch überhaupt nichts Aktives.

Fragen wir noch die Signaturenscanner, ob ihnen etwas nicht passt:


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hallo Leo. Anbei die Fixlog von OTL

All processes killed
========== OTL ==========
C:\Users\Media\AppData\Roaming\xmldm folder moved successfully.
C:\Users\Media\AppData\Roaming\kock folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
->FireFox cache emptied: 50842714 bytes
->Flash cache emptied: 2569 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes

User: Media
->Temp folder emptied: 2546522 bytes
->Temporary Internet Files folder emptied: 33171 bytes
->Java cache emptied: 800741 bytes
->FireFox cache emptied: 64191234 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 3118 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52682 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36048121 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 147,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 03232013_173241

Files\Folders moved on Reboot...
C:\Users\Media\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Media\AppData\Local\Mozilla\Firefox\Profiles\7oyn9x4c.default-1359405826157\Cache\_CACHE_001_ moved successfully.
C:\Users\Media\AppData\Local\Mozilla\Firefox\Profiles\7oyn9x4c.default-1359405826157\Cache\_CACHE_002_ moved successfully.
C:\Users\Media\AppData\Local\Mozilla\Firefox\Profiles\7oyn9x4c.default-1359405826157\Cache\_CACHE_003_ moved successfully.
C:\Users\Media\AppData\Local\Mozilla\Firefox\Profiles\7oyn9x4c.default-1359405826157\Cache\_CACHE_MAP_ moved successfully.
C:\Users\Media\AppData\Local\Mozilla\Firefox\Profiles\7oyn9x4c.default-1359405826157\_CACHE_CLEAN_ moved successfully.
File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Malwarebytes Anti-Malware 1.70.0.1100
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.03.23.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Media :: MEDIA-HP [Administrator]

23.03.2013 17:41:47
mbam-log-2013-03-23 (17-41-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 265263
Laufzeit: 3 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ok, fehlen nur noch ESET und SecurityCheck.
Der Scan von ESET kann etwas länger dauern..

bin dabei ;)

In Ordnung. :)

Leo was heißt etwas länger? Die ganze Nacht? Dann würde ich es gern über Nacht machen lassen..habe riesige Festplatten!

Gruß Heiko

Hallo Heiko,

Ja, in diesem Fall würde ich den Scan über Nacht laufen lassen.

ok..danke für die Info!

dann brech ich mal ab..

bis später :)

Viele Grüsse Heiko

mal noch was am Rande....

Es macht echt Spass mit Euch!!! :D

D A N K E ! ! !

Ok, alles klar.
Dann bis morgen. :)

OH! Da hat sich doch was ergeben..

ESET Log:

C:\Users\Media\Desktop\Alles\FreeTwitTube-S-Setup_Suite1.exe Win32/Adware.Yontoo application

Results of screen317's Security Check version 0.99.61
Windows 7 Service Pack 1 x64
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Spybot - Search & Destroy
Malwarebytes Anti-Malware Version 1.70.0.1100
Eusing Free Registry Cleaner
Wise Registry Cleaner Professional V5.53
Java 7 Update 17
Adobe Flash Player 11.6.602.180
Adobe Reader XI
Mozilla Firefox (19.0.2)
Google Chrome 23.0.1271.64
Google Chrome 23.0.1271.95
Google Chrome 23.0.1271.97
````````Process Check: objlist.exe by Laurent````````
Spybot Teatimer.exe is disabled!
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Hallo Heiko,

das sieht alles gut aus. Der ESET-Fund ist nur ein Setup, welches dir bei der Installation noch ein bisschen unerwünschte Werbung unterjubeln möchte. Kannst du einfach löschen.
Auch deine Software ist schon alle vorbildlich uptodate. (Nur von der Verwendung von Registry Cleanern raten wir ab.)
Es bleibt also nur noch, alles aufzuräumen.


Schritt 1

Starte defogger und drücke den Button Re-enable.



Schritt 2

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.



Schritt 3

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, kopiere folgenden Text in das Ausführen Fenster
und drücke OK.



Schritt 4

Downloade dir bitte delfix auf deinen Desktop.

• Schliesse alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Klicke auf Start.
• DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
  Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hallo Leo,

ich fürchte wir kommen nun wirklich zum Schluß. :)

Erstmal ein riesiges DANKEschön, besonders Dir Leo und auch Deiner Crew!!! Jetzt fühle ich mich endlich sicher im Netz. Denn dank Dir habe ich viel dazu gelernt. Dinge die ich ohnehin schon immer wissen wollte. :)

Es hat mir großen Spass gemacht dir stehts zu folgen, spannend war es immer.

Gern empfehle ich Euch weiter! Natürlich gibt es auch eine Spende für Euch! Habt DANK!

Eine Sache habe ich noch..Secunia PSI habe ich installiert, gestartet. Nun steht Loading seit Minuten da. Ist das schon der Scan? Könnte ich mir ja vorstellen nur beschreibt Ihr das es zügig geht bis zur ersten Auswertung. Bin ich zu ungeduldig? :)

Bleibt dieser Thread für mich weiterhin aufrufbar um gewisse Sachen auch nochmal nachlesen zu können?

Temporäre Dateien empfiehlst Du mit TFC zu reinigen. Ich benutze CCleaner. Bin damit stehts gut gefahren.

Gibt es Unterschiede zu den beiden Programmen oder kann ich beruhigt weiterhin CCleaner nutzen?

Secunia PSI geht jetzt :).

Hallo Heiko,

Sehr gut. :)

Du kannst den CCleaner benutzen, um die temporären Dateien zu löschen, ja, dann brauchst du TFC nicht, der macht dasselbe. Wir raten aber davon ab, mit dem CCleaner in der Registry "aufzuräumen".

Die Threads werden nicht gelöscht, du kannst also auch weiterhin darauf zugreifen.


Im Namen des Teams bedank ich mich vielmals für die Spende!


Freut mich, dass wir helfen konnten. :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.