dirdr nervt
 

Liebe Helfer,

ich habe mir am 4. Juni trotz aktuellem Virenscanner (damals noch die kostenlose Version von Antivir) Trojaner eingefangen. Antivir hat auch sofort Alarm geschlagen, ich bin offline gegangen und habe das System geprüft. Antivir fand auch Agent X und Dropper, kam damit aber nicht wirklich zurecht.

Mein Schwager (ITler)hat dann am 7. Juni SuperAntiSpyware darüber laufen lassen, der fand und killte auch diese Trojaner und diverse Tracking Cookies. Der anschließende Scan im abgesicherten Modus ergab, dass der Rechner nun sauber sei. SuperAntiSpyware wurde deinstalliert.

Daraufhin habe ich mir sicherheitshalber Avira Premium zugelegt, die Systemprüfung ergab keine Funde. Kann aber nicht gestimmt haben, denn zum einen öffnet sich jedesmal, wenn ich online bin, ganz kurz ein Browserfenster zu dirdr, das dann zu irgendeinem doofen Reklamefenster wechselt (Zylom und anderer Quatsch). Zum anderen schlägt Avira Premium dauernd Alarm. Es zeigt die Ziffernfolge einer IP-Adresse an - es handele sich dabei um Agent GX 361 bzw. Dropper, den Zugriff lasse ich immer verweigern.

Ich habe deshalb heute zuerst Malwarebytes Anti-Malware darüber laufen lassen, er meldete zwei Funde, die ich habe entfernen lassen.

Hier ist die Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4208

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.06.2010 16:43:18
mbam-log-2010-06-17 (16-43-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140432
Laufzeit: 6 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ruuunxslfibvujr (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ruuunxslfibvujr.exe (Adware.Adrotator) -> No action taken.

Ich hatte vor lauter Zorn das gesamte System scannen lassen. Bevor ich aber alles Gefundene löschen lassen konnte, fror der Rechner ein. Ich musste leider einen brutalen Kaltstart machen und habe anschließend nochmals einen Quickscan gemacht und die infizierten Dateien löschen lassen. Ein nochmaliger Quickscan nach einem Rechnerneustart ergab anschließend keine Funde mehr.

Anschließend habe ich heute OTL darüberlaufen lassen, hier ist die erste Logfile:


Die zweite Datei poste ich im nächsten Posting, damit dieses nicht so endlos lang wird.

Edit: Das würde ich zumindest gerne, aber ich bekomme jedesmal eine Fehlermeldung, wenn ich auf dieses Posting antworten will. "Diese Website kann nicht angezeigt werden". Grumpf. Was nun?

So, jetzt habe ich die Logfiles endlich drinnen, siehe Anhang.

Ich wüsste gern, was da noch faul ist auf meinem Rechner und wie ich diesen dirdr-Mist wieder loswerde. Was muss ich als nächstes tun?

Ach ja, was ich zu berichten vergaß: Renos war auch auf dem Rechner gewesen, wurde von Avira damals gleich erkannt und dann von SuperAntiSpyware gekillt.

In meiner Verzweiflung habe ich auch noch CCleaner drüberlaufen lassen, da war aber nix Auffälliges. Was mir Sorgen bereitet, dass das automatische Update von Windows nicht mehr zu funktionieren scheint. Will ich es selbst per Hand anstoßen, bekomme ich eine Fehlermeldung, "diese Seite kann nicht angezeigt werden". Irgendwas ist da mächtig faul.

Meines Wissens befinden sich übrigens keine Cracks auf diesem Rechner.

Sollte ich vielleicht die Fix It-Funktion von OTL benutzen? Das habe ich nämlich noch nicht gemacht.

Was immer hier noch auf meinem Rechner ist, versucht jedenfalls, sich dauernd selbst mit dem Internet zu verbinden. Das macht das Arbeiten sehr mühsam, denn Avira Premium schlägt dann dauernd an, außerdem muss ich muss ständig die Verbindung trennen.

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Gmer.txt

Hallo Daniel,

vielen Dank schon einmal für Deine Hilfe. Das Ergebnis des OTL-Scans habe ich im Anhang beigefügt. Mit GMER habe ich ebenfalls gescannt, doch beim Versuch, die Logdatei zu speichern, fror der Rechner ein und stürzte dann ab. Der Scan lief sehr lange, daher vermute ich, dass er schon fertig war, als nix mehr passierte. Keine Ahnung, was da los war.

Ich muss es also nochmals machen, aber ich wollte wenigstens schon das OTL-Ergebnis posten. Bis später, ich gehe jetzt wieder offline und scanne.

GMER-Protokoll lässt sich nicht speichern - PC hängt sich auf
 

Es ist doch zum Mäusemelken! Obwohl ich mich wie zuvor auch brav an die Anleitung gehalten und vor dem GMER-Scan Avira Premium und die Internetverbindung deaktiviert sowie alle Programme geschlossen habe und den Rechner ganz in Ruhe scannen ließ, ist es doch schon wieder passiert. Nachdem er fertig war, hing er sich beim Versuch, das Protokoll zu speichern wieder auf. Woran kann das liegen? Hat jemand eine Idee? :confused:

Ich gehe jetzt ins Bett, bevor ich vor lauter Technikstress dem Rechner noch etwas antue. :snyper: (Ich habe ihn heute Nachmittag schon laut beschimpft.)

Morgen starte ich dann einen dritten Versuch. Für Tipps, wie ich es hinbekomme, dass es dann endlich gelingt, dieses Protokoll auch zu speichern, bin ich sehr dankbar.

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.

schritt 2

Wenn Gmer beendet wurde klicke auf Copy und füge das Log mit strg #v hier ein.

Wenn das nicht klappt gehen wir den "netten" Weg

Herzlichen Dank schon mal. Kurze Rückfrage: Soll ich für defogger auch Avira deaktivieren?

defogger disable
 

Guten Morgen,

hier nun das Ergebnis von defogger_disable:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 09:39 on 19/06/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Ich mache jetzt gleich nochmals den Scan mit GMER, das wird wieder eine ganze Weile dauern. Wann muss ich denn die re-enable-Prozedur bei defogger machen?

Frust mit GMER
 

Es ist wieder passiert. Als GMER endlich, endlich fertig war mit der Scannerei, klickte ich auf "Copy" und erhielt die Aufforderung, alles in meinen Lieblingseditor einzufügen. Beim Versuch, genau das zu tun, fror wieder der Rechner ein.

Ich versuche das jetzt noch ein letztes Mal. Ich gehe nachher eh gleich außer Haus, da kann der Rechner in Ruhe scannen.

Ne lass ma gut sein. Gmer ist halt ein starkes Tool, wenn es läuft

Erstelle einmal eine neue OTL Logfile

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte nicht anhängen.

Ähm, ich habe die Dateien bislang immer angehängt, weil es vorgestern massive Probleme mit der Forumssoftware gab und ich die OTL-Datei nur stückweise - wenn überhaupt - hier posten konnte. Da Guru hatte mich daraufhin aufgefordert, die Dateien anzuhängen und löschte anschließend meine anderen Postings.

Leider hatte ich Dein Posting heute nicht mehr vorher gesehen, aber es hat eh wieder nicht geklappt. Ich habe mir noch notieren können, dass GMER bei

C:\WINDOWS\system32\drivers\atapis.sys sowie bei

C:\WINDOWS\system32\drivers\ipsec.sys

verdächtige Veränderungen entdeckt hat. Dir sagt das sicherlich mehr als mir.

Ich lasse morgen Früh nochmals den OTL-Scan laufen und hoffe, dass sich die Datei dann hier posten lässt.

Also, heute Morgen meldete Avira Premium nach einem Update einen Fund von TR/spy.ZBot.aklo in C:\Dokumente\***\Anwendungsdaten\Liil\gehe.exe, den habe ich dann aus der Quarantäne gelöscht.

Außerdem habe ich noch einen OTL-Quickscan gemacht, hier ist das Ergebnis (Teil I):

OTL logfile created on: 20.06.2010 07:52:57 - Run 4
OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 461,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 49,06 Gb Total Space | 22,87 Gb Free Space | 46,62% Space Free | Partition Type: NTFS
Drive D: | 53,71 Gb Total Space | 38,41 Gb Free Space | 71,51% Space Free | Partition Type: NTFS
Drive E: | 175,78 Gb Total Space | 143,50 Gb Free Space | 81,64% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 19,52 Gb Total Space | 11,14 Gb Free Space | 57,05% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.06.18 14:12:27 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
PRC - [2010.06.09 20:29:56 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.06.09 20:29:31 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010.06.09 20:29:30 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.06.09 20:29:26 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010.06.09 20:29:24 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.06.09 20:29:24 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.04.16 08:33:40 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.22 18:32:12 | 000,118,784 | ---- | M] (OLYMPUS IMAGING CORP.) -- C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
PRC - [2006.10.19 15:01:34 | 000,122,971 | ---- | M] () -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
PRC - [2006.10.19 15:01:32 | 000,282,709 | ---- | M] () -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
PRC - [2006.10.19 15:00:52 | 000,151,552 | ---- | M] (CyberLink Corp.) -- C:\Programme\Home Cinema\TV Enhance\TVEService.exe
PRC - [2006.10.18 16:29:44 | 001,962,896 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2006.10.18 16:23:48 | 001,189,920 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2006.10.17 12:47:22 | 000,087,584 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2006.10.17 12:47:16 | 000,230,944 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2006.04.24 14:25:44 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2006.03.21 14:19:40 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
PRC - [2004.04.28 14:02:22 | 000,042,496 | ---- | M] (Standard Microsystems Corp.) -- C:\Programme\SMSC\SetIcon.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
PRC - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe


========== Modules (SafeList) ==========

MOD - [2010.06.18 14:12:27 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
MOD - [2005.12.19 20:16:10 | 000,135,168 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE4.0\OpHookSE4.dll

(Fortsetzung folgt)

========== Win32 Services (SafeList) ==========

SRV - [2010.06.09 20:29:56 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.06.09 20:29:31 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010.06.09 20:29:26 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010.06.09 20:29:24 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.04.16 08:33:40 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2006.10.19 15:01:34 | 000,122,971 | ---- | M] () [Auto | Running] -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe -- (TVESched) TVEnhance Task Scheduler (TTS))
SRV - [2006.10.19 15:01:32 | 000,282,709 | ---- | M] () [Auto | Running] -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe -- (TVECapSvc) TVEnhance Background Capture Service (TBCS)
SRV - [2006.10.17 12:47:16 | 000,230,944 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2006.04.24 14:25:44 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
SRV - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)


========== Driver Services (SafeList) ==========

DRV - [2010.06.09 20:30:18 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.09 20:30:17 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.06.09 20:30:16 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.09 20:29:23 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.07.02 13:49:32 | 004,125,696 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2008.04.13 20:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)
DRV - [2008.04.13 20:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.01.08 09:17:08 | 001,302,368 | R--- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2006.12.03 15:41:30 | 000,395,744 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2006.12.03 15:41:30 | 000,039,264 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2006.12.03 15:41:26 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2006.10.09 11:50:22 | 004,381,696 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.10.06 16:38:00 | 003,992,608 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.09.07 12:17:28 | 000,011,264 | R--- | M] (VIA Technologies,Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\xfilt.sys -- (xfilt)
DRV - [2006.09.07 12:17:28 | 000,009,728 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\videX32.sys -- (videX32)
DRV - [2006.06.08 10:49:00 | 000,344,064 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73)
DRV - [2006.04.07 17:06:38 | 000,038,496 | ---- | M] (OLYMPUS IMAGING CORP.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VNUSB.sys -- (VNUSB)
DRV - [2005.11.28 11:45:16 | 000,007,040 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\x10hid.sys -- (X10Hid)
DRV - [2005.05.19 16:52:58 | 000,017,792 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2001.10.02 10:54:22 | 000,040,192 | ---- | M] (Oki Data Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\System32\DRIVERS\OKIPAR.SYS -- (OkiPar)
DRV - [2001.08.18 05:19:46 | 000,077,824 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati.sys -- (ati)
DRV - [2001.08.10 08:00:00 | 000,003,252 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PQNTDRV.SYS -- (PQNTDrv)
DRV - [2000.07.24 02:01:00 | 000,019,537 | ---- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\BrPar.sys -- (BrPar)


========== Standard Registry (SafeList) ==========

(Fortsetzung folgt)

OTL-Quickscan Teil 3
 

========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.***.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "h++p://www.***.de/"


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.11 14:40:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.11 14:40:55 | 000,000,000 | ---D | M]

[2009.07.29 11:13:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.06.09 20:19:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a9prjiop.default\extensions
[2010.05.05 11:12:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\a9prjiop.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.01.13 11:46:47 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2003.01.13 17:08:06 | 000,499,712 | ---- | M] (Morgan Multimedia) -- C:\Programme\Mozilla Firefox\plugins\npjp2.dll
[2003.12.08 14:04:46 | 000,827,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\NPSWF32.dll
[2009.12.22 05:57:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.22 05:57:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.22 05:57:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.22 05:57:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.22 05:57:54 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.03.24 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll File not found
O2 - BHO: (no name) - {1536BA74-8625-4240-99B0-BE65883689C8} - No CLSID value found.
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [InstantOn] C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe ()
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\Home Cinema\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NWEReboot] File not found
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [OpwareSE4] C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe ()
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [TVBroadcast] File not found
O4 - HKLM..\Run: [TVEService] C:\Programme\Home Cinema\TV Enhance\TVEService.exe (CyberLink Corp.)
O4 - HKCU..\Run: [{52F534C7-8653-80EA-6739-FA17D5ECF727}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil\gehe.exe File not found
O4 - HKCU..\Run: [{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64}] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo\igoxu.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe (OLYMPUS IMAGING CORP.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll (Sun Microsystems, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)

OTL Quickscan Teil 4
 

(Irgendwie ist das sehr mühsam, die OTL-Datei hier einzufügen, ich bekomme dauernd Fehlermeldungen.)

OTL-Quickscan Teil 4
 

Tja, ich würde die Datei ja gerne hier einfügen, allein, es geht nicht. Ich bekomme jedesmal die Fehlermeldung "diese Seite kann nicht angezeigt werden" (mit Firefox klappt es schon gar nicht). Woran liegt das? Und wie bekomme ich nun den Rest der Daten hier gepostet?

Auszug aus Avira Premium Report
 

Mir war das ungemütlich, deshalb habe ich eben nochmals einen Avira Scan gemacht. Hier ein Auszug aus dem Ergebnis.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\irily.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ufef.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP772\A0107044.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP774\A0112373.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <Medien>
Beginne mit der Suche in 'H:\' <RECOVER>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP774\A0112373.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ea11a45.qua' verschoben!
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP772\A0107044.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '563635e2.qua' verschoben!
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ufef.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04a56ed0.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\irily.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.aklo
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6296210e.qua' verschoben!

Bitte sag mir doch noch, wie ich die OTL-Ergebnisse hier posten kann. Vielen Dank.

Mit ner halben OTL Log kann ich gar nichts anfangen.
Häng sie einfach an

OTL-File
 

Hallo Daniel,

ja, das dachte ich mir schon, dass mit einer halben OTL-Datei nix anzufangen ist. Wie gesagt, ich hätte auch sehr gerne den Rest gepostet, aber die Forumssoftware ließ mich nicht, ich bekam dauernd Fehlermeldungen. Ich habe nun die Datei angehängt (habe mir Asyl gesucht und sitze an einem anderem Rechner).

Auf meinem Rechner daheim habe ich auch noch eine andere Datei namens hs_err_pid5140 gefunden, da geht es um "An unexpected error has been detected by HotSpot Virtual Machine". Ist das etwas Schlimmes? Soll ich die auch einmal anhängen?

Die vier Trojaner von gestern Früh sitzen auf meinem Rechner daheim noch in Quarantäne. Ich habe den Eindruck, dass auch Avira Premium nicht so dolle darin ist, die Fieslinge zu killen, wenn ich auf "aus Quarantäne löschen" klicke. Soll ich da lieber mit einem anderen Killerprogramm darangehen?

Von den KillerTools lass ma schön die Fingern. Sie könnten ja auch nicht Malware Sachen killen.
Viren in Quarantäne sind dort gut aufgehoben ;)

Schritt 1

die *** im Skript erneut editieren!!!

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
OTLfix log
Combofix.txt
OTL.txt

wird gemacht
 

Guten Abend,

OK, ich mache das jetzt, ich weiß aber nicht, wie weit ich damit heute Abend noch komme. Die Trojaner würde ich aber schon gerne aus der Quarantäne killen, schon allein, um meine - zugegebenermaßen niederen - Rachegelüste zu befriedigen.

Verrate mir doch bitte einmal, wie Du das in Deinen Postings so hinbekommst, dass der Code in diesen Fenstern steht. Gibt es dafür irgendwo eine Anleitung, die ich übersehen habe? Ich möchte das auch hinkriegen.

OTL-Fix
 

So, das ist das Ergebnis von OTL Fix:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{52F534C7-8653-80EA-6739-FA17D5ECF727} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52F534C7-8653-80EA-6739-FA17D5ECF727}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDAE8FEA-1062-428F-E72A-2DE7FA3BED64}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1536BA74-8625-4240-99B0-BE65883689C8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1536BA74-8625-4240-99B0-BE65883689C8}\ not found.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Eswopo folder moved successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Liil folder moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 446 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 487 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 463681911 bytes

User: ***
->Temp folder emptied: 24113034 bytes
->Temporary Internet Files folder emptied: 25733156 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44706082 bytes
->Flash cache emptied: 15560 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 25996709 bytes
->Flash cache emptied: 4013 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 55751 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 52800 bytes
Windows Temp folder emptied: 130587092 bytes
RecycleBin emptied: 7070834 bytes

Total Files Cleaned = 689,00 mb


OTL by OldTimer - Version 3.2.6.0 log created on 06212010_221927

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Jetzt lasse ich noch diese Combo für die Trojaner spielen. ;-)

Combofix-Log
 

Es hat mitunter gepiepst wie auf der Intensivstation. Die Logdatei ist sehr lang, die hänge ich wohl besser wieder an, bevor die Forumssoftware mit mir hadert. Ich musste die Logdatei auf zwei Dateien aufteilen, sonst wäre sie zu groß gewesen, um sie anzuhängen.

Combofix-Log Teil 2
 

Hier nun der zweite Teil. Anders habe ich das leider nicht hinbekommen. Keine Ahnung, warum die Logdatei so monstermäßig groß wurde.

OTL.txt
 

So, jetzt habe ich auch nochmals den OTL-Quickscan gemacht. Die Datei habe ich wieder angehängt.

Was ist als Nächstes zu tun?

Windows Updates und Frage
 

Ich habe eben noch schnell die wichtigsten Windows Updates heruntergeladen. Eigentlich sollte das automatisch passieren, aber ich vermute, wegen dieser Plagegeister funktionierte das nicht mehr, jedenfalls war das letzte Update vom 29. Mai (am 4. Juni hatte sich der Rechner Pest und Cholera eingefangen - nun ja, ich bewege mich seit etwa 15 Jahren im Netz und es war nie etwas passiert, da war ich jetzt wohl mal fällig).

Eben nach dem Neustart hatte ich noch eine zweite hs_err_pid-Logdatei auf meinem Desktop. Weißt Du, welches Programm diese Logs erstellt? Ich kann mir das nicht erklären. Beide Datein beginnen mit:

#
# An unexpected error has been detected by HotSpot Virtual Machine:
#
# EXCEPTION_GUARD_PAGE (0x80000001) at pc=0x0d00255a, pid=5140, tid=2320
#
# Java VM: Java HotSpot(TM) Client VM (1.5.0_08-b03 mixed mode, sharing)
# Problematic frame:
# C 0x0d00255a
#

Und dann folgt noch ein ganzer Rattenschwanz Kryptik. Was hat das zu bedeuten? Ist das etwas Ernstes?

Dann darfst Du mir erneut eine OTL Logfiles posten.

Kurze Frage: Du meinst einen ganz normalen Quickscan mit OTL, ja? Ich muss nichts in dieses Feld "benutzerdefinierte Scans" eintragen.

Ist dieser Java-Fehlerkram etwas Ernstes?

richtig, du brauchst nur klicken.
Das mit dem java Kram muss ich mir selber jetzt mal ansehen.

Java-Kram
 

Vielen Dank! Mir ist das ein bisschen unheimlich, denn es betrifft viele system32-Dateien. Und dort hat SpyZBot.aklo gestern schon wieder versucht, sich einzunisten (sitzt jetzt in Quarantäne, Avira Premium hat sofort angeschlagen).

Das war die erste hs_err_pid5828-Datei, die plötzlich auf meinem Desktop lag. Es gibt noch eine zweite, mit einer anderen Nummer hintendran.

#
# An unexpected error has been detected by HotSpot Virtual Machine:
#
# EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x0900255a, pid=5852, tid=464
#
# Java VM: Java HotSpot(TM) Client VM (1.5.0_08-b03 mixed mode, sharing)
# Problematic frame:
# C 0x0900255a
#

--------------- T H R E A D ---------------

Current thread (0x07494008): JavaThread "thread applet-AppleT" [_thread_in_native, id=464]

siginfo: ExceptionCode=0xc0000005, ExceptionInformation=0x00000008 0x0900255a

Registers:
EAX=0x00000000, EBX=0x26bcbd70, ECX=0x03a472c8, EDX=0x00000000
ESP=0x0923f8e0, EBP=0x255a255a, ESI=0x26bcbd70, EDI=0x07494008
EIP=0x0900255a, EFLAGS=0x00210246

Top of Stack: (sp=0x0923f8e0)
0x0923f8e0: 0923f8e0 26bcbd70 0923f910 26bcc348
0x0923f8f0: 00000000 26bcbd70 0923f90c 0923f934
0x0923f900: 09632a64 00000000 09636509 20b508b8
0x0923f910: 20b5b388 20b5b388 0923f918 26bcbce7
0x0923f920: 0923f944 26bcc348 00000000 26bcbd08
0x0923f930: 0923f940 0923f964 096329e3 20b5c9d8
0x0923f940: 20b508b8 20b5b388 0923f948 26bcb3c9
0x0923f950: 0923f97c 26bcc348 00000000 26bcb3d8

Instructions: (pc=0x0900255a)
0x0900254a:
[error occurred during error reporting, step 100, id 0xc0000005]

Stack: [0x09140000,0x09240000), sp=0x0923f8e0, free space=1022k
Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)
C 0x0900255a

Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)
j com.sun.media.sound.HeadspaceSoundbank.nOpenResource(Ljava/lang/String;)J+0
j com.sun.media.sound.HeadspaceSoundbank.initialize(Ljava/lang/String;)V+7
j com.sun.media.sound.HeadspaceSoundbank.<init>(Ljava/net/URL;)V+89
j com.sun.media.sound.HsbParser.getSoundbank(Ljava/net/URL;)Ljavax/sound/midi/Soundbank;+5
j javax.sound.midi.MidiSystem.getSoundbank(Ljava/net/URL;)Ljavax/sound/midi/Soundbank;+36
j AppleT.init()V+184
j sun.applet.AppletPanel.run()V+197
j java.lang.Thread.run()V+11
v ~StubRoutines::call_stub

--------------- P R O C E S S ---------------

Java Threads: ( => current thread )
0x08474ae0 JavaThread "Java Sound Event Dispatcher" daemon [_thread_blocked, id=5500]
0x08477760 JavaThread "AWT-EventQueue-2" [_thread_blocked, id=4204]
0x084ff608 JavaThread "Keep-Alive-Timer" daemon [_thread_blocked, id=4128]
0x07494400 JavaThread "Thread-4" [_thread_blocked, id=2916]
=>0x07494008 JavaThread "thread applet-AppleT" [_thread_in_native, id=464]
0x083da430 JavaThread "AWT-EventQueue-0" [_thread_blocked, id=5492]
0x083f0660 JavaThread "AWT-Shutdown" [_thread_blocked, id=5464]
0x08345e40 JavaThread "traceMsgQueueThread" daemon [_thread_blocked, id=2316]
0x083da880 JavaThread "AWT-Windows" daemon [_thread_in_native, id=5424]
0x083d92e0 JavaThread "Java2D Disposer" daemon [_thread_blocked, id=2820]
0x03a075e8 JavaThread "Low Memory Detector" daemon [_thread_blocked, id=5404]
0x083fc540 JavaThread "CompilerThread0" daemon [_thread_blocked, id=4980]
0x0833f8c8 JavaThread "Signal Dispatcher" daemon [_thread_blocked, id=5388]
0x0833baa8 JavaThread "Finalizer" daemon [_thread_blocked, id=5396]
0x083129c0 JavaThread "Reference Handler" daemon [_thread_blocked, id=2668]
0x03a4f008 JavaThread "main" [_thread_in_native, id=4548]

Other Threads:
0x0836ecd8 VMThread [id=2776]
0x03a3f9b8 WatcherThread [id=4932]

VM state:not at safepoint (normal execution)

VM Mutex/Monitor currently owned by a thread: None

Heap
def new generation total 6400K, used 1076K [0x20a50000, 0x21140000, 0x211b0000)
eden space 5696K, 18% used [0x20a50000, 0x20b5d010, 0x20fe0000)
from space 704K, 0% used [0x20fe0000, 0x20fe0000, 0x21090000)
to space 704K, 0% used [0x21090000, 0x21090000, 0x21140000)
tenured generation total 84528K, used 50716K [0x211b0000, 0x2643c000, 0x26a50000)
the space 84528K, 59% used [0x211b0000, 0x24337238, 0x24337400, 0x2643c000)
compacting perm gen total 8192K, used 1595K [0x26a50000, 0x27250000, 0x2aa50000)
the space 8192K, 19% used [0x26a50000, 0x26bdec00, 0x26bdec00, 0x27250000)
ro space 8192K, 63% used [0x2aa50000, 0x2af5d608, 0x2af5d800, 0x2b250000)
rw space 12288K, 46% used [0x2b250000, 0x2b7f0608, 0x2b7f0800, 0x2be50000)

Dynamic libraries:
0x00400000 - 0x0049c000 C:\Programme\Internet Explorer\iexplore.exe
0x7c910000 - 0x7c9c9000 C:\WINDOWS\system32\ntdll.dll
0x7c800000 - 0x7c908000 C:\WINDOWS\system32\kernel32.dll
0x77da0000 - 0x77e4a000 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 - 0x77ee2000 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 - 0x77fd1000 C:\WINDOWS\system32\Secur32.dll
0x7e360000 - 0x7e3f1000 C:\WINDOWS\system32\USER32.dll
0x77ef0000 - 0x77f39000 C:\WINDOWS\system32\GDI32.dll
0x77be0000 - 0x77c38000 C:\WINDOWS\system32\msvcrt.dll
0x77f40000 - 0x77fb6000 C:\WINDOWS\system32\SHLWAPI.dll
0x7e670000 - 0x7ee91000 C:\WINDOWS\system32\SHELL32.dll
0x774b0000 - 0x775ed000 C:\WINDOWS\system32\ole32.dll
0x40f50000 - 0x41138000 C:\WINDOWS\system32\iertutil.dll
0x452e0000 - 0x45413000 C:\WINDOWS\system32\urlmon.dll
0x770f0000 - 0x7717b000 C:\WINDOWS\system32\OLEAUT32.dll
0x5cf00000 - 0x5cf26000 C:\WINDOWS\system32\ShimEng.dll
0x715e0000 - 0x71659000 C:\WINDOWS\AppPatch\AcLayers.DLL
0x76620000 - 0x766d6000 C:\WINDOWS\system32\USERENV.dll
0x72f70000 - 0x72f96000 C:\WINDOWS\system32\WINSPOOL.DRV
0x76330000 - 0x7634d000 C:\WINDOWS\system32\IMM32.DLL
0x773a0000 - 0x774a3000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x5d450000 - 0x5d4ea000 C:\WINDOWS\system32\comctl32.dll
0x76c50000 - 0x76c78000 C:\WINDOWS\system32\imagehlp.dll
0x408b0000 - 0x40996000 C:\WINDOWS\system32\WININET.dll
0x009c0000 - 0x009c9000 C:\WINDOWS\system32\Normaliz.dll
0x719b0000 - 0x719f0000 C:\WINDOWS\system32\mswsock.dll
0x71a10000 - 0x71a27000 C:\WINDOWS\system32\WS2_32.dll
0x71a00000 - 0x71a08000 C:\WINDOWS\system32\WS2HELP.dll
0x71a30000 - 0x71a3a000 C:\WINDOWS\system32\wsock32.dll
0x41140000 - 0x41bd3000 C:\WINDOWS\system32\IEFRAME.dll
0x76350000 - 0x7639a000 C:\WINDOWS\system32\comdlg32.dll
0x451f0000 - 0x451f6000 C:\Programme\Internet Explorer\xpshims.dll
0x5b0f0000 - 0x5b128000 C:\WINDOWS\system32\uxtheme.dll
0x746a0000 - 0x746ec000 C:\WINDOWS\system32\MSCTF.dll
0x129b0000 - 0x129d3000 C:\Programme\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
0x77bd0000 - 0x77bd8000 C:\WINDOWS\system32\VERSION.dll
0x01a00000 - 0x01cd9000 C:\WINDOWS\system32\xpsp2res.dll
0x778f0000 - 0x779e4000 C:\WINDOWS\system32\SETUPAPI.dll
0x10000000 - 0x10047000 C:\Programme\Avira\AntiVir Desktop\avsda.dll
0x76d20000 - 0x76d39000 C:\WINDOWS\system32\IPHLPAPI.DLL
0x66710000 - 0x66769000 C:\WINDOWS\system32\hnetcfg.dll
0x719f0000 - 0x719f8000 C:\WINDOWS\System32\wshtcpip.dll
0x76f90000 - 0x7700f000 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 - 0x770e3000 C:\WINDOWS\system32\COMRes.dll
0x454e0000 - 0x45520000 C:\Programme\Internet Explorer\ieproxy.dll
0x77b10000 - 0x77b32000 C:\WINDOWS\system32\appHelp.dll
0x76ea0000 - 0x76edc000 C:\WINDOWS\system32\RASAPI32.dll
0x76e50000 - 0x76e62000 C:\WINDOWS\system32\rasman.dll
0x597d0000 - 0x59825000 C:\WINDOWS\system32\NETAPI32.dll
0x76e70000 - 0x76e9f000 C:\WINDOWS\system32\TAPI32.dll
0x76e40000 - 0x76e4e000 C:\WINDOWS\system32\rtutils.dll
0x76af0000 - 0x76b1e000 C:\WINDOWS\system32\WINMM.dll
0x77c40000 - 0x77c65000 C:\WINDOWS\system32\msv1_0.dll
0x76740000 - 0x7674c000 C:\WINDOWS\system32\cryptdll.dll
0x68000000 - 0x68036000 C:\WINDOWS\system32\rsaenh.dll
0x76f80000 - 0x76f86000 C:\WINDOWS\system32\rasadhlp.dll
0x75dc0000 - 0x75e51000 C:\WINDOWS\system32\MLANG.dll
0x75250000 - 0x7527e000 C:\WINDOWS\system32\msctfime.ime
0x024f0000 - 0x02540000 C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
0x77a50000 - 0x77ae6000 C:\WINDOWS\system32\CRYPT32.dll
0x77af0000 - 0x77b02000 C:\WINDOWS\system32\MSASN1.dll
0x76bf0000 - 0x76c1e000 C:\WINDOWS\system32\WINTRUST.dll
0x76ee0000 - 0x76f07000 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 - 0x76f78000 C:\WINDOWS\System32\winrnr.dll
0x76f20000 - 0x76f4d000 C:\WINDOWS\system32\WLDAP32.dll
0x64000000 - 0x64025000 C:\Programme\Bonjour\mdnsNSP.dll
0x72240000 - 0x72245000 C:\WINDOWS\system32\sensapi.dll
0x02680000 - 0x02a79000 C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_32_E5614904235CE6EA.dll
0x74c00000 - 0x74c2c000 C:\WINDOWS\system32\OLEACC.dll
0x76020000 - 0x76085000 C:\WINDOWS\system32\MSVCP60.dll
0x7d1f0000 - 0x7d4ac000 C:\WINDOWS\system32\msi.dll
0x76320000 - 0x76325000 C:\WINDOWS\system32\MSIMG32.dll
0x4eba0000 - 0x4ed4b000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\gdiplus.dll
0x76bb0000 - 0x76bbb000 C:\WINDOWS\system32\PSAPI.DLL
0x7d9b0000 - 0x7db17000 C:\WINDOWS\system32\query.dll
0x02c00000 - 0x02da0000 C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll
0x59dd0000 - 0x59e71000 C:\WINDOWS\system32\dbghelp.dll
0x03760000 - 0x0382b000 C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
0x76970000 - 0x76a21000 C:\WINDOWS\system32\SXS.DLL
0x70e00000 - 0x70e13000 C:\WINDOWS\system32\asycfilt.dll
0x754d0000 - 0x7557b000 C:\WINDOWS\system32\RASDLG.dll
0x76d00000 - 0x76d18000 C:\WINDOWS\system32\MPRAPI.dll
0x77c90000 - 0x77cc2000 C:\WINDOWS\system32\ACTIVEDS.dll
0x76dd0000 - 0x76df5000 C:\WINDOWS\system32\adsldpc.dll
0x76ad0000 - 0x76ae1000 C:\WINDOWS\system32\ATL.DLL
0x71b70000 - 0x71b83000 C:\WINDOWS\system32\SAMLIB.dll
0x76940000 - 0x76966000 C:\WINDOWS\system32\ntshrui.dll
0x71a80000 - 0x71a92000 C:\WINDOWS\system32\MPR.dll
0x75f00000 - 0x75f07000 C:\WINDOWS\System32\drprov.dll
0x71b90000 - 0x71b9e000 C:\WINDOWS\System32\ntlanman.dll
0x71c50000 - 0x71c67000 C:\WINDOWS\System32\NETUI0.dll
0x71c10000 - 0x71c50000 C:\WINDOWS\System32\NETUI1.dll
0x71c00000 - 0x71c07000 C:\WINDOWS\System32\NETRAP.dll
0x75f10000 - 0x75f1a000 C:\WINDOWS\System32\davclnt.dll
0x10930000 - 0x10979000 C:\WINDOWS\system32\PortableDeviceApi.dll
0x75910000 - 0x75a0a000 C:\WINDOWS\system32\MSGINA.dll
0x745d0000 - 0x7460d000 C:\WINDOWS\system32\ODBC32.dll
0x76300000 - 0x76310000 C:\WINDOWS\system32\WINSTA.dll
0x1f840000 - 0x1f859000 C:\WINDOWS\system32\odbcint.dll
0x6d610000 - 0x6d67a000 C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
0x5f1a0000 - 0x5f1b7000 C:\WINDOWS\system32\OLEPRO32.DLL
0x73b10000 - 0x73b24000 C:\WINDOWS\system32\sti.dll
0x74a60000 - 0x74a67000 C:\WINDOWS\system32\CFGMGR32.dll
0x71cc0000 - 0x71cdb000 C:\WINDOWS\system32\actxprxy.dll
0x409a0000 - 0x40f4f000 C:\WINDOWS\system32\mshtml.dll
0x042f0000 - 0x04319000 C:\WINDOWS\system32\msls31.dll
0x7d4c0000 - 0x7d4e2000 C:\WINDOWS\system32\DHCPCSVC.DLL
0x77cd0000 - 0x77d03000 C:\WINDOWS\system32\netman.dll
0x763a0000 - 0x7654a000 C:\WINDOWS\system32\netshell.dll
0x76bc0000 - 0x76bef000 C:\WINDOWS\system32\credui.dll
0x5f8f0000 - 0x5f8fa000 C:\WINDOWS\system32\dot3api.dll
0x71260000 - 0x71266000 C:\WINDOWS\system32\dot3dlg.dll
0x72760000 - 0x72788000 C:\WINDOWS\system32\OneX.DLL
0x76f10000 - 0x76f18000 C:\WINDOWS\system32\WTSAPI32.dll
0x6db40000 - 0x6db62000 C:\WINDOWS\system32\eappcfg.dll
0x47700000 - 0x4770e000 C:\WINDOWS\system32\eappprxy.dll
0x72fa0000 - 0x72fb0000 C:\WINDOWS\system32\WZCSAPI.DLL
0x7db20000 - 0x7dbac000 C:\WINDOWS\system32\WZCSvc.DLL
0x76cf0000 - 0x76cf4000 C:\WINDOWS\system32\WMI.dll
0x745c0000 - 0x745cb000 C:\WINDOWS\system32\EapolQec.dll
0x61900000 - 0x61916000 C:\WINDOWS\system32\QUtil.dll
0x5e200000 - 0x5e310000 C:\WINDOWS\system32\ESENT.dll
0x74670000 - 0x7469a000 C:\WINDOWS\system32\msimtf.dll
0x407f0000 - 0x408a4000 C:\WINDOWS\system32\jscript.dll
0x435e0000 - 0x4360f000 C:\WINDOWS\system32\iepeers.dll
0x75790000 - 0x757fb000 C:\WINDOWS\system32\USP10.dll
0x72c90000 - 0x72c99000 C:\WINDOWS\system32\wdmaud.drv
0x72c80000 - 0x72c88000 C:\WINDOWS\system32\msacm32.drv

VM Arguments:
jvm_args: -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_08 -Djavaplugin.nodotversion=150_08 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol -Djavaplugin.vm.options=-Djava.class.path=C:\PROGRA~1\Java\JRE15~1.0_0\classes -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_08 -Djavaplugin.nodotversion=150_08 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol vfprintf
java_command: <unknown>
Launcher Type: generic

Environment Variables:
CLASSPATH=.;C:\Programme\Java\jre1.5.0_08\lib\ext\QTJava.zip
PATH=C:\PROGRA~1\Java\JRE15~1.0_0\bin;C:\Programme\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;.
USERNAME=***
OS=Windows_NT
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 6, GenuineIntel



--------------- S Y S T E M ---------------

OS: Windows XP Build 2600 Service Pack 3

CPU:total 2 (cores per cpu 2, threads per core 1) family 6 model 15 stepping 6, cmov, cx8, fxsr, mmx, sse, sse2

Memory: 4k page, physical 1046956k(406216k free), swap 2518564k(1824152k free)

vm_info: Java HotSpot(TM) Client VM (1.5.0_08-b03) for windows-x86, built on Jul 26 2006 01:10:50 by "java_re" with MS VC++ 6.0

Java-Kram 2
 

Smileys bekomme ich allerdings in dieser Logdatei im Editor nicht angezeigt. Die nachfolgende Datei heißt hs_err_pid5140, sieht mir aber ziemlich genauso aus.

#
# An unexpected error has been detected by HotSpot Virtual Machine:
#
# EXCEPTION_GUARD_PAGE (0x80000001) at pc=0x0d00255a, pid=5140, tid=2320
#
# Java VM: Java HotSpot(TM) Client VM (1.5.0_08-b03 mixed mode, sharing)
# Problematic frame:
# C 0x0d00255a
#

--------------- T H R E A D ---------------

Current thread (0x083cc898): JavaThread "thread applet-AppleT" [_thread_in_native, id=2320]

siginfo: ExceptionCode=0x80000001, ExceptionInformation=0x00000008 0x0d00255a

Registers:
EAX=0x00000000, EBX=0x26bcbd70, ECX=0x0bb9b7a0, EDX=0x00000000
ESP=0x1014f8e0, EBP=0x255a255a, ESI=0x26bcbd70, EDI=0x083cc898
EIP=0x0d00255a, EFLAGS=0x00210246

Top of Stack: (sp=0x1014f8e0)
0x1014f8e0: 1014f8e0 26bcbd70 1014f910 26bcc348
0x1014f8f0: 00000000 26bcbd70 1014f90c 1014f934
0x1014f900: 0d672a64 00000000 0d676509 20b508b8
0x1014f910: 20b5b388 20b5b388 1014f918 26bcbce7
0x1014f920: 1014f944 26bcc348 00000000 26bcbd08
0x1014f930: 1014f940 1014f964 0d6729e3 20b5c9d8
0x1014f940: 20b508b8 20b5b388 1014f948 26bcb3c9
0x1014f950: 1014f97c 26bcc348 00000000 26bcb3d8

Instructions: (pc=0x0d00255a)
0x0d00254a: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0x0d00255a: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


Stack: [0x10050000,0x10150000), sp=0x1014f8e0, free space=1022k
Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)
C 0x0d00255a

Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)
j com.sun.media.sound.HeadspaceSoundbank.nOpenResource(Ljava/lang/String;)J+0
j com.sun.media.sound.HeadspaceSoundbank.initialize(Ljava/lang/String;)V+7
j com.sun.media.sound.HeadspaceSoundbank.<init>(Ljava/net/URL;)V+89
j com.sun.media.sound.HsbParser.getSoundbank(Ljava/net/URL;)Ljavax/sound/midi/Soundbank;+5
j javax.sound.midi.MidiSystem.getSoundbank(Ljava/net/URL;)Ljavax/sound/midi/Soundbank;+36
j AppleT.init()V+184
j sun.applet.AppletPanel.run()V+197
j java.lang.Thread.run()V+11
v ~StubRoutines::call_stub

--------------- P R O C E S S ---------------

Java Threads: ( => current thread )
0x0baf3a08 JavaThread "Java Sound Event Dispatcher" daemon [_thread_blocked, id=468]
0x0b96b4e8 JavaThread "AWT-EventQueue-2" [_thread_blocked, id=5788]
0x037a5108 JavaThread "Keep-Alive-Timer" daemon [_thread_blocked, id=5756]
0x037897f0 JavaThread "Thread-4" [_thread_blocked, id=556]
=>0x083cc898 JavaThread "thread applet-AppleT" [_thread_in_native, id=2320]
0x0bca0968 JavaThread "AWT-EventQueue-0" [_thread_blocked, id=4520]
0x08a6ead8 JavaThread "AWT-Shutdown" [_thread_blocked, id=3132]
0x0bc67fa0 JavaThread "traceMsgQueueThread" daemon [_thread_blocked, id=3056]
0x0bc76840 JavaThread "AWT-Windows" daemon [_thread_in_native, id=4240]
0x08444080 JavaThread "Java2D Disposer" daemon [_thread_blocked, id=3584]
0x0bbd79e0 JavaThread "Low Memory Detector" daemon [_thread_blocked, id=5368]
0x037dc180 JavaThread "CompilerThread0" daemon [_thread_blocked, id=1668]
0x0bbb3c70 JavaThread "Signal Dispatcher" daemon [_thread_blocked, id=1460]
0x0374c808 JavaThread "Finalizer" daemon [_thread_blocked, id=1492]
0x0378dd38 JavaThread "Reference Handler" daemon [_thread_blocked, id=2576]
0x08437eb8 JavaThread "main" [_thread_in_native, id=2036]

Other Threads:
0x0bc78d08 VMThread [id=2552]
0x0ba1cf08 WatcherThread [id=2596]

VM state:not at safepoint (normal execution)

VM Mutex/Monitor currently owned by a thread: None

Heap
def new generation total 6400K, used 1076K [0x20a50000, 0x21140000, 0x211b0000)
eden space 5696K, 18% used [0x20a50000, 0x20b5d010, 0x20fe0000)
from space 704K, 0% used [0x20fe0000, 0x20fe0000, 0x21090000)
to space 704K, 0% used [0x21090000, 0x21090000, 0x21140000)
tenured generation total 84524K, used 50714K [0x211b0000, 0x2643b000, 0x26a50000)
the space 84524K, 59% used [0x211b0000, 0x24336938, 0x24336a00, 0x2643b000)
compacting perm gen total 8192K, used 1595K [0x26a50000, 0x27250000, 0x2aa50000)
the space 8192K, 19% used [0x26a50000, 0x26bdec00, 0x26bdec00, 0x27250000)
ro space 8192K, 63% used [0x2aa50000, 0x2af5d608, 0x2af5d800, 0x2b250000)
rw space 12288K, 46% used [0x2b250000, 0x2b7f0608, 0x2b7f0800, 0x2be50000)

Dynamic libraries:
0x00400000 - 0x0049c000 C:\Programme\Internet Explorer\iexplore.exe
0x7c910000 - 0x7c9c9000 C:\WINDOWS\system32\ntdll.dll
0x7c800000 - 0x7c908000 C:\WINDOWS\system32\kernel32.dll
0x77da0000 - 0x77e4a000 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 - 0x77ee2000 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 - 0x77fd1000 C:\WINDOWS\system32\Secur32.dll
0x7e360000 - 0x7e3f1000 C:\WINDOWS\system32\USER32.dll
0x77ef0000 - 0x77f39000 C:\WINDOWS\system32\GDI32.dll
0x77be0000 - 0x77c38000 C:\WINDOWS\system32\msvcrt.dll
0x77f40000 - 0x77fb6000 C:\WINDOWS\system32\SHLWAPI.dll
0x7e670000 - 0x7ee91000 C:\WINDOWS\system32\SHELL32.dll
0x774b0000 - 0x775ed000 C:\WINDOWS\system32\ole32.dll
0x40f50000 - 0x41138000 C:\WINDOWS\system32\iertutil.dll
0x452e0000 - 0x45413000 C:\WINDOWS\system32\urlmon.dll
0x770f0000 - 0x7717b000 C:\WINDOWS\system32\OLEAUT32.dll
0x5cf00000 - 0x5cf26000 C:\WINDOWS\system32\ShimEng.dll
0x715e0000 - 0x71659000 C:\WINDOWS\AppPatch\AcLayers.DLL
0x76620000 - 0x766d6000 C:\WINDOWS\system32\USERENV.dll
0x72f70000 - 0x72f96000 C:\WINDOWS\system32\WINSPOOL.DRV
0x76330000 - 0x7634d000 C:\WINDOWS\system32\IMM32.DLL
0x773a0000 - 0x774a3000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x5d450000 - 0x5d4ea000 C:\WINDOWS\system32\comctl32.dll
0x76c50000 - 0x76c78000 C:\WINDOWS\system32\imagehlp.dll
0x408b0000 - 0x40996000 C:\WINDOWS\system32\WININET.dll
0x009c0000 - 0x009c9000 C:\WINDOWS\system32\Normaliz.dll
0x719b0000 - 0x719f0000 C:\WINDOWS\system32\mswsock.dll
0x71a10000 - 0x71a27000 C:\WINDOWS\system32\WS2_32.dll
0x71a00000 - 0x71a08000 C:\WINDOWS\system32\WS2HELP.dll
0x71a30000 - 0x71a3a000 C:\WINDOWS\system32\wsock32.dll
0x41140000 - 0x41bd3000 C:\WINDOWS\system32\IEFRAME.dll
0x76350000 - 0x7639a000 C:\WINDOWS\system32\comdlg32.dll
0x451f0000 - 0x451f6000 C:\Programme\Internet Explorer\xpshims.dll
0x5b0f0000 - 0x5b128000 C:\WINDOWS\system32\uxtheme.dll
0x746a0000 - 0x746ec000 C:\WINDOWS\system32\MSCTF.dll
0x129b0000 - 0x129d3000 C:\Programme\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
0x77bd0000 - 0x77bd8000 C:\WINDOWS\system32\VERSION.dll
0x01a70000 - 0x01d49000 C:\WINDOWS\system32\xpsp2res.dll
0x778f0000 - 0x779e4000 C:\WINDOWS\system32\SETUPAPI.dll
0x76f90000 - 0x7700f000 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 - 0x770e3000 C:\WINDOWS\system32\COMRes.dll
0x454e0000 - 0x45520000 C:\Programme\Internet Explorer\ieproxy.dll
0x75dc0000 - 0x75e51000 C:\WINDOWS\system32\MLANG.dll
0x77b10000 - 0x77b32000 C:\WINDOWS\system32\apphelp.dll
0x75250000 - 0x7527e000 C:\WINDOWS\system32\msctfime.ime
0x10000000 - 0x10050000 C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
0x77a50000 - 0x77ae6000 C:\WINDOWS\system32\CRYPT32.dll
0x77af0000 - 0x77b02000 C:\WINDOWS\system32\MSASN1.dll
0x76bf0000 - 0x76c1e000 C:\WINDOWS\system32\WINTRUST.dll
0x02100000 - 0x02147000 C:\Programme\Avira\AntiVir Desktop\avsda.dll
0x76d20000 - 0x76d39000 C:\WINDOWS\system32\IPHLPAPI.DLL
0x66710000 - 0x66769000 C:\WINDOWS\system32\hnetcfg.dll
0x719f0000 - 0x719f8000 C:\WINDOWS\System32\wshtcpip.dll
0x023c0000 - 0x027b9000 C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_32_E5614904235CE6EA.dll
0x76ea0000 - 0x76edc000 C:\WINDOWS\system32\RASAPI32.dll
0x76e50000 - 0x76e62000 C:\WINDOWS\system32\rasman.dll
0x597d0000 - 0x59825000 C:\WINDOWS\system32\NETAPI32.dll
0x76e70000 - 0x76e9f000 C:\WINDOWS\system32\TAPI32.dll
0x76e40000 - 0x76e4e000 C:\WINDOWS\system32\rtutils.dll
0x76af0000 - 0x76b1e000 C:\WINDOWS\system32\WINMM.dll
0x74c00000 - 0x74c2c000 C:\WINDOWS\system32\OLEACC.dll
0x76020000 - 0x76085000 C:\WINDOWS\system32\MSVCP60.dll
0x7d1f0000 - 0x7d4ac000 C:\WINDOWS\system32\msi.dll
0x76320000 - 0x76325000 C:\WINDOWS\system32\MSIMG32.dll
0x4eba0000 - 0x4ed4b000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\gdiplus.dll
0x76bb0000 - 0x76bbb000 C:\WINDOWS\system32\PSAPI.DLL
0x7d9b0000 - 0x7db17000 C:\WINDOWS\system32\query.dll
0x02950000 - 0x02af0000 C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll
0x59dd0000 - 0x59e71000 C:\WINDOWS\system32\dbghelp.dll
0x68000000 - 0x68036000 C:\WINDOWS\system32\rsaenh.dll
0x76970000 - 0x76a21000 C:\WINDOWS\system32\SXS.DLL
0x70e00000 - 0x70e13000 C:\WINDOWS\system32\asycfilt.dll
0x76940000 - 0x76966000 C:\WINDOWS\system32\ntshrui.dll
0x76ad0000 - 0x76ae1000 C:\WINDOWS\system32\ATL.DLL
0x77c40000 - 0x77c65000 C:\WINDOWS\system32\msv1_0.dll
0x76740000 - 0x7674c000 C:\WINDOWS\system32\cryptdll.dll
0x71a80000 - 0x71a92000 C:\WINDOWS\system32\MPR.dll
0x75f00000 - 0x75f07000 C:\WINDOWS\System32\drprov.dll
0x71b90000 - 0x71b9e000 C:\WINDOWS\System32\ntlanman.dll
0x71c50000 - 0x71c67000 C:\WINDOWS\System32\NETUI0.dll
0x71c10000 - 0x71c50000 C:\WINDOWS\System32\NETUI1.dll
0x71c00000 - 0x71c07000 C:\WINDOWS\System32\NETRAP.dll
0x71b70000 - 0x71b83000 C:\WINDOWS\System32\SAMLIB.dll
0x75f10000 - 0x75f1a000 C:\WINDOWS\System32\davclnt.dll
0x10930000 - 0x10979000 C:\WINDOWS\system32\PortableDeviceApi.dll
0x75910000 - 0x75a0a000 C:\WINDOWS\system32\MSGINA.dll
0x745d0000 - 0x7460d000 C:\WINDOWS\system32\ODBC32.dll
0x76300000 - 0x76310000 C:\WINDOWS\system32\WINSTA.dll
0x1f840000 - 0x1f859000 C:\WINDOWS\system32\odbcint.dll
0x73b10000 - 0x73b24000 C:\WINDOWS\system32\sti.dll
0x74a60000 - 0x74a67000 C:\WINDOWS\system32\CFGMGR32.dll
0x71cc0000 - 0x71cdb000 C:\WINDOWS\system32\actxprxy.dll
0x409a0000 - 0x40f4f000 C:\WINDOWS\system32\mshtml.dll
0x03c80000 - 0x03ca9000 C:\WINDOWS\system32\msls31.dll
0x76ee0000 - 0x76f07000 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 - 0x76f78000 C:\WINDOWS\System32\winrnr.dll
0x76f20000 - 0x76f4d000 C:\WINDOWS\system32\WLDAP32.dll
0x64000000 - 0x64025000 C:\Programme\Bonjour\mdnsNSP.dll
0x76f80000 - 0x76f86000 C:\WINDOWS\system32\rasadhlp.dll
0x72240000 - 0x72245000 C:\WINDOWS\system32\sensapi.dll
0x407f0000 - 0x408a4000 C:\WINDOWS\system32\jscript.dll
0x74900000 - 0x74a23000 C:\WINDOWS\system32\msxml3.dll
0x72c90000 - 0x72c99000 C:\WINDOWS\system32\wdmaud.drv
0x72c80000 - 0x72c88000 C:\WINDOWS\system32\msacm32.drv
0x77bb0000 - 0x77bc5000 C:\WINDOWS\system32\MSACM32.dll
0x77ba0000 - 0x77ba7000 C:\WINDOWS\system32\midimap.dll
0x1b000000 - 0x1b00c000 C:\WINDOWS\system32\ImgUtil.dll
0x1b060000 - 0x1b06e000 C:\WINDOWS\system32\pngfilt.dll
0x76d00000 - 0x76d18000 C:\WINDOWS\system32\MPRAPI.dll
0x77c90000 - 0x77cc2000 C:\WINDOWS\system32\ACTIVEDS.dll
0x76dd0000 - 0x76df5000 C:\WINDOWS\system32\adsldpc.dll
0x75790000 - 0x757fb000 C:\WINDOWS\system32\USP10.dll
0x73270000 - 0x732da000 C:\WINDOWS\system32\vbscript.dll
0x767a0000 - 0x767c8000 C:\WINDOWS\system32\schannel.dll
0x6d910000 - 0x6d91a000 C:\WINDOWS\system32\ddrawex.dll
0x736d0000 - 0x7371b000 C:\WINDOWS\system32\DDRAW.dll
0x73b30000 - 0x73b36000 C:\WINDOWS\system32\DCIMAN32.dll
0x738b0000 - 0x73980000 C:\WINDOWS\system32\D3DIM700.DLL
0x35c50000 - 0x35c89000 C:\WINDOWS\system32\Dxtrans.dll
0x35cb0000 - 0x35d07000 C:\WINDOWS\system32\Dxtmsft.dll
0x03230000 - 0x032fb000 C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
0x6d610000 - 0x6d67a000 C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
0x5f1a0000 - 0x5f1b7000 C:\WINDOWS\system32\OLEPRO32.DLL
0x47060000 - 0x47081000 C:\WINDOWS\system32\XmlLite.dll
0x435e0000 - 0x4360f000 C:\WINDOWS\system32\iepeers.dll
0x06f50000 - 0x073f4000 C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx
0x73aa0000 - 0x73ab5000 C:\WINDOWS\system32\mscms.dll
0x63400000 - 0x63433000 C:\WINDOWS\system32\MSRATING.dll
0x79000000 - 0x79046000 C:\WINDOWS\system32\mscoree.dll

VM Arguments:
jvm_args: -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_08 -Djavaplugin.nodotversion=150_08 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol -Djavaplugin.vm.options=-Djava.class.path=C:\PROGRA~1\Java\JRE15~1.0_0\classes -Xbootclasspath/a:C:\PROGRA~1\Java\JRE15~1.0_0\lib\deploy.jar;C:\PROGRA~1\Java\JRE15~1.0_0\lib\plugin.jar -Xmx96m -Djavaplugin.maxHeapSize=96m -Xverify:remote -Djavaplugin.version=1.5.0_08 -Djavaplugin.nodotversion=150_08 -Dbrowser=sun.plugin -DtrustProxy=true -Dapplication.home=C:\PROGRA~1\Java\JRE15~1.0_0 -Djava.protocol.handler.pkgs=sun.plugin.net.protocol vfprintf
java_command: <unknown>
Launcher Type: generic

Environment Variables:
CLASSPATH=.;C:\Programme\Java\jre1.5.0_08\lib\ext\QTJava.zip
PATH=C:\PROGRA~1\Java\JRE15~1.0_0\bin;C:\Programme\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;.
USERNAME=***
OS=Windows_NT
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 6, GenuineIntel



--------------- S Y S T E M ---------------

OS: Windows XP Build 2600 Service Pack 3

CPU:total 2 (cores per cpu 2, threads per core 1) family 6 model 15 stepping 6, cmov, cx8, fxsr, mmx, sse, sse2

Memory: 4k page, physical 1046956k(366980k free), swap 2518564k(1788876k free)

vm_info: Java HotSpot(TM) Client VM (1.5.0_08-b03) for windows-x86, built on Jul 26 2006 01:10:50 by "java_re" with MS VC++ 6.0

nochmals OTL-Quickscan
 

So, hier also nochmals ein OTL-Quickscan.

Bitte siehe mal im folgenden Ordner nach, was sich darin befindet
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Yvek

Ist er leer, lösch ihn bitte.

Das Java Ding hat nichts mit Malware zu tun.
Hier was zu lesen für Dich.
Ein unerwarteter Fehler wurde von HotSpot Virtual Machine entdeckt

Hoffe du kannst das Problem mit den angeführten Lösung klären.


Berichte bitte und ob es sonst noch Auffälligkeiten, Probleme, Fragen,... gibt

Entschuldige bitte, dass ich jetzt erst antworte, ich bin eben erst nach Hause gekommen.

Im Ordner Yvek liegen ofici.sey (114 KB, vom 20.06.2010) und ofici.temp (4 KB, vom 18.06.2010). Ist das etwas Fieses?

Avira Premium hat eben schon wieder gemeldet, dass SpyZBot.aklo versucht hat, sich hier einzunisten. Jedes Mal, wenn ich eine Weile im Netz bin, will sich dieser Bot hier auf meinem Rechner breit machen, das ist doch seltsam. Habe ich noch irgendwo ein Sicherheitsloch, dass der dauernd angreift?

Herzlichen Dank für den Link! Ich hatte mal nach diesem Dateinamen gesucht, fand aber nur Seiten, aus denen ich nicht so recht schlau wurde. Die virtuelle Java-Maschine habe ich über den von Dir angegebenen Link getestet. Ergebnis:

"Java wird ausgeführt. Java Update verfügbar. Ihre Java-Konfiguration ist Folgende:
Hersteller: Sun Micorsystems Inc.
Version: Java 5 Update 08
Betriebssystem: Windows XP 5.1
Architektur: x86"

Wenn ich das richtig verstanden habe, müsste ich die zusätzlichen Konfigurationen doch nur prüfen, wenn das Applet nicht ordnungsgemäß angezeigt würde. Soll ich das trotzdem machen?

Lösche den Ordner :)

Poste mir den Bericht von Avira

Wir sind bei Update 20

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.

Danke, Daniel, für Deine Antwort, Deine Geduld und all Deine Mühe.

Die Java-Hausaufgaben kann ich erst heute Abend machen, wenn ich wieder daheim an meinem Rechner bin. Aber ich habe den Avira Report von heute Früh dabei. Ich hatte alles aus der Quarantäne gelöscht und anschließend sicherheitshalber nochmals gescannt. Und siehe da: Er fand noch zwei Fieslinge, die zuvor nicht in der Quarantäne saßen. :aufsmaul:

(Endlich habe ich diesen code-Befehl entdeckt, mit dem ich auch so schicke Fenster machen kann.)

Noch eine kurze Frage: Muss ich JavaRa und prm753 auf den Desktop speichern oder kann ich es auch woanders hinpacken? Auf meinem Desktop ist es allmählich ein bisschen voll...

Java-Kram
 

Den Yvek-Ordner habe ich gelöscht und auch JavaRa benutzt. Mit der Neuinstallatio*n von Java habe ich allerdings ein paar Probleme, weil mir ein paar Dinge unklar sind.

1. In der Systemsteuerung komme ich nur an "Software" heran, nicht aber an "Programme". Unter Software ist nix mehr von Java zu finden, wenn ich aber im Explorer unter C:\Programme nachschaue, finde ich einen Ordner namens "Java", in dem ein Unterordner namens "jre1.5.0_08" steckt, in dem lauter Zeugs herumliegt (Licenses, Readme, Copyright, Welcome etc.) Außerdem gibt es einen Unterordner namens "launch_4j_tmp" und einen Unterordner namens "lib". In beiden liegen lauter Dateien.
Wie deinstalliere ich das alles? Einfach die Unterordner löschen und damit ist es gut? Über RevoUninstaller komme ich nämlich auch nicht dorthin.

2. Auf der Seite von Oracle gibt es für Windows zwei Java-Downloads. Einer heißt Windows 7/XP/Vista/2000/2003/2008 Online und ist ~ 10 MB groß. Der andere heißt Windows 7/XP/Vista/2000/2003/2008 Offline und ist 15.9 MB groß. Welchen davon muss ich nehmen? Oder muss ich alle beide herunterladen?

Sorry, dass ich klinge wie ein absoluter DAU, aber ich will kein Chaos anrichten, es ist schon genug Durcheinander auf meinem Rechner.

die zwei fieslinge tangiern uns jetzt erstmal nichtmehr. Dort wo die sich verstecken, können sie keinen Schaden mehr anrichten.

Nimm die offline Version

PS: Es gibt keine dummen Fragen, nur dumme Antworten ;)

Gut, mache ich. Aber was mache ich mit diesen Java-Unterordnern, soll ich die vorher besser löschen? Und wenn ja, wie?

Mach erstmal nur das, was ich dir hier schreibe ;)

Du schriebst gestern, ich sollte alle alten Java-Reste löschen, bevor ich das Neue installiere.

Mir war halt nicht klar, ob diese Unterordner, über die ich über Systemsteuerung => Software nicht herankomme (Systemsteuerung => Programme gibt's bei mir nicht, aber unter C:\Programme sehe ich Java-Ordner), alte Java-Reste sind, die vorher noch weg müssen, oder ob ich das ignorieren kann und einfach fröhlich installieren.

Also, ich ignoriere diese Unterordner und lade heute Abend die angegebene neue Java-Version herunter. Richtig?

:daumenhoc

Ich versuche ja nur, brav ;) Schritt für Schritt zu machen, was Du sagst, und wenn da was nicht geht, frage ich lieber nochmals genau nach, damit Du nicht :zzwhip: weil doch was verkehrt war.

Java-Hausaufgaben
 

So, ich habe jetzt die aktuelle Java-Version installiert. Erweiterte Optionen zum Anhaken und Sponsoren-Programm zum Abhaken gab es da aber nicht, das hat sich dann sofort installiert. :dummguck:

1) Kann / muss ich das noch irgendwo nachholen?

2) Außerdem frage ich mich, wieso meine vorige Java-Version so veraltet war und vor allem, wie ich es verhindere, dass mir das wieder passiert. Ich will ja nicht irgendwann mit Update 20 da sitzen, wenn schon längst Update 34 an der Reihe ist. Kann man irgendwo ein automatisches Update auswählen?

Ne musst nichts machen.

Updaten kannst Du es mit JavaRa.
Starten, search for updates, useing Sun javas Website.

Noch Probleme ?

Rechner wieder sauber? externe Festplatte
 

Gut zu wissen, Danke.

Den dirdr-Mist scheint Combofix gekillt zu haben :applaus:, jedenfalls tauchte das seither nicht mehr auf.

:dankeschoen:

Ein paar Fragen habe ich noch:

1) Wie stelle ich denn fest, ob mein Rechner wieder völlig sauber ist?
Ich würde nämlich gerne etwas spenden, aber bevor ich meine Kreditkartennummer eingebe, wüsste ich gern, ob nun alles wieder gut ist. Außerdem habe ich meine Datensicherung auf einer externen Festplatte gemacht, und vermutlich ist der ganze Dreck da auch drauf (denn ich hatte nochmals gesichert, nachdem ich Superantispyware hatte laufen lassen, aber danach waren ja noch Plagegeister auf dem Rechner). Hier im Forum las ich, dass andere aus dem Kompetenzteam dafür dann einen Online-Scanner empfehlen.

2) Ich habe jetzt eine ganze Menge Tools (OTL, Defogger usw.) auf meinem Desktop gespeichert. Kann ich die problemlos irgendwo anders hinschieben? Oder soll ich die sogar wieder löschen?

3) Kann ich die alten Java-Unterordner jetzt löschen?

4) Soll ich nochmals CCleaner drüberlaufen lassen?

5) Da ich keine Passwörter auf meinem Rechner gespeichert habe - abgesehen von dem in der DFÜ-Verbindung - hatte ich bislang keine Passwörter geändert. Ich habe keine Ahnung, was diese Trojaner, die ich da alle hatte, eigentlich gemacht haben. Soll / muss ich die Passwörter ändern? (Es sind so viele verschiedene, die ich mir merken muss, deshalb frage ich.)

zu 1.

Was glaubst Du was ich hier für Dich mache? Aber wie in meinem ersten Posting, 100%ige Garantie kann ich nicht geben. bzw gibt es keine 100%ige Sicherheit mehr im WWW.


zu 2.
Machen wir wenn wir durch sind


zu 3.
Ja


zu 4.
Ist mir Schnuppe, Ich rate von Reg Cleaner meistens ab.


zu 5.
Passwörter sollte man sowieso in regelmäßigen Abständen ändern. Wär ne gute Gelegenheit.

Sorry
 

Ooops, das war wohl ein Missverständnis. Mir klang Deine Frage gestern Abend ("Noch Probleme?") so, als sei der Vorgang für Dich nun abgeschlossen - schließlich warten ja auch noch eine Menge andere Leute auf Hilfe. Entschuldigung, ich wollte Dich nicht ärgern.

Vl etwas schorf ausgedrückt. Aber ich muss mit Smileys sparen sonst gibts haue von chef :D

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.


Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Skript-Blocking?
 

Wo muss ich nach etwaigem Skript-Blocking nachschauen, um es zu deaktivieren?

Und was mache ich am besten mit der externen Festplatte, um die zu prüfen?

Ist nicht sooo wichtig. Alles mit der Ruhe und step by step :)

Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen

OK, ich wusste nur nicht, ob ich Combofix fürs Säubern der externen Festplatte vielleicht auch noch brauche.

Ich mache jetzt mal die Hausaufgaben.

Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.

Nein, bitte nicht löschen. Widrige Umstände sorgten dafür, dass ich noch nicht am Problem weiterarbeiten konnte.

ComboFix deinstallieren
 

Eben habe ich versucht, wie beschrieben ComboFix zu deinstallieren, aber das funktionierte nicht. Den Virenscanner hatte ich brav temporär deaktiviert, aber als ich den Befehl ComboFix/uninstall bei Ausführen eingab, behauptete der Rechner glatt, das Programm nicht zu finden. Dabei ist es da, ich sehe es ja auf dem Desktop und bekomme über die "Suche" im Windows Explorer auch viele Dateien angezeigt. Und nun?

Kopiere einmal folgendes in die KommandoZeile

"%userprofile%\desktop\combo-fix.exe" /uninstall

ComboFix deinstallieren
 

Das habe ich eben versucht, hat leider auch nicht funktioniert. Er sagte wieder, es sei nicht vorhanden. Was glatt gelogen ist.

Kann es damit zusammenhängen, dass ComboFix abgelaufen ist? Ich bekam eine entsprechende Meldung (nachdem mir auffiel, dass ich ComboFix /unistall mit Leerzeichen dazwischen eingeben muss).

Combofix befindet sich am Desktop ?
Combofix oder Combo-fix.exe

ComboFix deinstallieren
 

Das Icon von ComboFix (war die Combo-fix.exe, die sollte ich da ja speichern). Ich habe inzwischen aber meinen Rechner mal neu gestartet und nun war das Icon weg.

Allerdings findet die Suche im Windows Explorer auf C: noch einen Ordner namens Combo-Fix, diverse Dateien (u.a. Logfiles) und die ComboFix-quarantined-files.txt auf c:\Qoobox. Ich interpretiere das mal so, dass das noch nicht vollständig deinstalliert ist.

Fahr mit schritt 2 fort. Das sollte die meisten überbleibsel ebenfalls löschen.

Scheint geklappt zu haben, die Quarantäne-Textdatei war jetzt auch weg. Der ComboFix-Ordner mit zwei Dateien liegt aber immer noch auf C: herum, kann/soll ich den einfach per Hand löschen?

Start >> ausführen >> notepad (hineinschreiben)
Kopiere nun folgenden Text komplett ind das leere Textdokument
Datei >> Speichern unter >>
Dateiname: cf.bat (hineinschreiben)
DateiTyp : Alle Dateien (auswählen)
Speichere die cf.bat auf den Desktop
Doppelklick auf die .bat

Habe ich genau so gemacht. Der ComboFix-Ordner ist allerdings noch da. Die Dateien darin heißen NircmdB.exe und SWREG.cfxxe.

Bei XP hatte ich noch nie solche Probleme. Kannst Du den ordner manuell löschen ?

Sorry, dass es wieder etwas gedauert hat, bis ich antworte (hier klingelt dauernd das Telefon).

Ja, das ging problemlos. Zack, war er im Papierkorb, den habe ich dann geleert.

Soll ich jetzt weiter machen mit Schritt 3?

Kein Problem, bei mir gehts ab morgen auch wieder los mit Dauerstreß ;)


:daumenhoc

Ja, noch andere Fragen oder Probleme ?

Schritt 3 habe ich auch erledigt. Automatische Updates sind aktiv, hatte ich ja neulich schon wieder aktiviert.

Ja, ich habe noch zwei Fragen - Du meintest damals, wir kämen nochmals darauf zurück, wenn es soweit wäre.

1) Was mache ich mit meiner externen Festplatte? Da ist ja auch noch Dreck drauf, denn ich hatte ein Backup gemacht, als ich die Pest an Bord hatte.

2) Auf meinem Desktop liegen noch JavaRa.zip und gpl2-0.txt. Kann ich die irgendwohin anders verschieben oder löschen?

zu 1.

http://www.trojaner-board.de/87247-d...tml#post536945

zu 2.
Ja, kannst Du löschen

Ah, sorry, das hattest Du ja neulich schon verlinkt. Mir war damals nur nicht klar, auf welche meiner Fragen sich das bezog. Da werde ich mich nun also mal durchwühlen. Die anderen Sachen habe ich gelöscht.

externe Festplatte
 

Hmm. Die Suche nach autorun.inf auf der externen Festplatte hat nicht geklappt. Es lief ewig und irgendwann verabschiedete sich die Suche wegen eines runtime errors. Ich habe alles mit Acronis True Image auf der externen Festplatte gesichert. Liegt das vielleicht daran?

Ich mache jetzt einfach einmal einen Scan mit einem der Scanner.

Online-Virenscanner
 

Ich habe zwei Online-Scanner drüberlaufen lassen. BitDefender Online Virus Scanner fand nix. Rising Online meldete zweimal Trojaner Agent.xeh auf C.

003E501.exe>>pv.exe in C:\Dokumente und Einstellungen\AllUsers\Anwendungsdaten\Avira\Antivir Desktop\TEMP\WEBGUARD

sowie

Flash_Disinfector.exe>>pv.exe in C:\Dokumente und Einstellungen\***\Desktop

Ist das nun ein Fehlalarm? Antivir hatte ich deaktiviert.

Ja, nutz eher bekannte Scanner wie Kaspersky oder Eset

Online-Scanner
 

Kapersky ging nicht, den hatte ich vorher versucht. Ich versuche es jetzt nochmals mit Eset. Muss ich da auch mit HiJackThis irgendwelche Einträge fixen, wenn ich Eset über die externe Festplatte laufen lasse?

nein, einfach wieder deinstallieren

Eset
 

Keine Funde. (Bald bin ich Scan-Königin :crazy:).

Praktisch, dass man jetzt nix mehr fixen muss, wie in der Anleitung noch beschrieben. Morgen mache ich mich an Schritt 4.

Oops
 

Habe gerade festgestellt, dass Eset gestern doch über C: gelaufen ist, ich hatte wohl vergessen, den Haken zu entfernen (deshalb also hat das Scannen so lange gedauert). Den Eset-Ordner habe ich laut Anleitung per Hand gelöscht. Muss ich nun doch diese Fix-Prozedur mit HijackThis machen oder kann ich mir das sparen?

nein :rolleyes:

Eset
 

Hätte ja sein können, dass es einen Unterschied macht. Ich kann ja nicht wissen, dass jene Anleitung zu Eset nicht mehr aktuell ist. ;-)