Umgeleitete Suche IE (z.B. Google) z.T. mit Start MediaPlayer, IE öffnet selbständig,
 

Hallo Liebes Board,
bevor ich mein Problem schildere, zuerst mal ein Riesenkompliment und Danke an all die Helfer hier! Nachdem ich den Weg hierher gefunden habe, habe ich schon so viel neues wissenswertes lesen könne und es ist unglaublich, mit welcher Geduld und Kometenz hier Ratsuchenden geholfen wird. Super!

Nun zu meinem Problem -
habe mir offensichtlich trotz Avira Professional einen - bzw. einige Plagegeister eingefangen. Aufegfallen ist es mir als der AntiVirus seine Spielchen getrieben hat. Mit Hilfe von HiJackThis, Malwarebytes und aus Avira habe ich bereits etliche Einträge verbannen können. Leider habe ich die Logs dazu NICHT archiviert, sorry!

Jedoch habe ich noch immer das Problem, dass ich auf andere Web-Seiten umgeleitet werde oder die in einem 2. Register öffnen. Meist ist es Saint.net/search.php? welches dann wieder in Google landet - also relativ harmlos denke ich. Aber gelegentlich sind es andere, welche auch gleich den MediaPlayer und Java starten. Die Seite läßt sich jedoch schliessen, bzw. der Rechner über die Power Taste ausschalten.

Das Problem scheint jedoch ausschließlich unter dem Account zu bestehen, unter dem ich mir das eingefangen habe, andere Nutzer scheinen bisher problemlos.

Bevor ich diesen Post erstellt habe, habe ich:
CCleaner laufen lassen wie beschrieben
OTL Scan, log wie folgt:

OTL logfile created on: 17.07.2010 18:03:19 - Run 1
OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.013,00 Mb Total Physical Memory | 702,00 Mb Available Physical Memory | 69,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 133,91 Gb Total Space | 119,75 Gb Free Space | 89,43% Space Free | Partition Type: NTFS
Drive D: | 15,12 Gb Total Space | 7,99 Gb Free Space | 52,86% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: MEDIONE-628C25
Current User Name: Jens - Verwaltung
Logged in as Administrator.

Current Boot Mode: SafeMode with Networking
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Micro Star SCM) -- C:\Programme\System Control Manager\MSIService.exe ()
SRV - (lxde_device) -- C:\WINDOWS\System32\lxdecoms.exe ( )
SRV - (lxdeCATSCustConnectService) -- C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdeserv.exe ()
SRV - (ndassvc) -- C:\Programme\NDAS\System\ndassvc.exe (XIMETA, Inc.)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()


========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (RSUSBSTOR) -- C:\WINDOWS\system32\drivers\RTS5121.sys (Realtek Semiconductor Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation )
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (btwhid) -- C:\WINDOWS\system32\drivers\btwhid.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (RT80x86) -- C:\WINDOWS\system32\drivers\rt2860.sys (Ralink Technology, Corp.)
DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (ndasscsi) -- C:\WINDOWS\system32\drivers\ndasscsi.sys (XIMETA, Inc.)
DRV - (ndasfat) -- C:\WINDOWS\system32\drivers\ndasfat.sys (XIMETA, Inc.)
DRV - (ndasbus) -- C:\WINDOWS\system32\drivers\ndasbus.sys (XIMETA, Inc.)
DRV - (lfsfilt) -- C:\WINDOWS\system32\DRIVERS\lfsfilt.sys (XIMETA, Inc.)
DRV - (lpx) -- C:\WINDOWS\system32\DRIVERS\lpx.sys (XIMETA, Inc.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1244462390-1590868800-3846236869-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-1244462390-1590868800-3846236869-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\S-1-5-21-1244462390-1590868800-3846236869-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Buyertools) - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\Programme\Buyertools Reminder\IEButtonBuyertoolsInterface.dll ()
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [lxdeamon] C:\Programme\Lexmark 4800 Series\lxdeamon.exe ()
O4 - HKLM..\Run: [lxdemon.exe] C:\Programme\Lexmark 4800 Series\lxdemon.exe ()
O4 - HKLM..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.)
O4 - HKLM..\Run: [QuickFinder Scheduler] C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE (Corel Corporation)
O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe File not found
O4 - HKLM..\Run: [UCam_Menu] C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\S-1-5-21-1244462390-1590868800-3846236869-1008..\Run: [BullGuard] C:\Programme\BullGuard Ltd\BullGuard\bullguard.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Geräte-Manager.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1244462390-1590868800-3846236869-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Buyertools Reminder\ReminderIE.exe ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231434493827 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1231434483123 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: CabBuilder hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.50.140.246 195.50.140.252
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\MDHG1.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\MDHG1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.07 11:29:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.05.27 13:12:48 | 000,000,693 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ]
O33 - MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\Shell - "" = AutoRun
O33 - MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell - "" = AutoRun
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.07.17 17:54:33 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\OTL.exe
[2010.07.17 17:44:28 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\PrivacIE
[2010.07.17 17:18:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Test
[2010.07.17 14:45:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Avira
[2010.07.17 14:43:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Real
[2010.07.17 14:43:09 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\IETldCache
[2010.07.17 14:42:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Microsoft
[2010.07.17 14:42:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten
[2010.07.17 14:42:59 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\Meine bevorzugten Programme
[2010.07.17 14:42:59 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Eigene Videos
[2010.07.17 14:42:59 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Eigene Musik
[2010.07.17 14:42:59 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien
[2010.07.17 14:42:59 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Eigene Bilder
[2010.07.17 14:42:59 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Cookies
[2010.07.17 14:42:59 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Druckumgebung
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Youcam
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Windows Search
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Windows Live Writer
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Sun
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Meine empfangenen Dateien
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Macromedia
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\InstallShield
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Identities
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\BullGuard
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Bluetooth-Exchange-Ordner
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Bluetooth Software
[2010.07.17 14:42:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Anwendungsdaten\Adobe
[2010.07.17 14:42:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\SendTo
[2010.07.17 14:42:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Recent
[2010.07.17 14:42:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Startmenü
[2010.07.17 14:42:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Favoriten
[2010.07.17 14:42:58 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\UserData
[2010.07.17 14:42:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Vorlagen
[2010.07.17 14:42:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Netzwerkumgebung
[2010.07.17 14:42:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen
[2010.07.17 14:42:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2010.07.17 14:42:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen\Anwendungsdaten\Windows Live Writer
[2010.07.17 14:42:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.17 14:42:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen\Anwendungsdaten\Identities
[2010.07.17 14:42:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.07.14 22:50:33 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.14 22:50:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.07.14 22:50:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.14 22:50:27 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.12 23:24:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.07.12 23:06:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.07.12 22:41:41 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.07.12 22:36:24 | 000,812,344 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\All Users\Dokumente\HJTInstall.exe
[2010.07.11 23:47:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2009.07.30 16:54:32 | 001,200,128 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdeserv.dll
[2009.07.30 16:54:32 | 000,950,272 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdeusb1.dll
[2009.07.30 16:54:32 | 000,663,552 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdehbn3.dll
[2009.07.30 16:54:32 | 000,647,168 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdepmui.dll
[2009.07.30 16:54:32 | 000,565,248 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdelmpm.dll
[2009.07.30 16:54:32 | 000,434,176 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdehcp.dll
[2009.07.30 16:54:32 | 000,356,352 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdeinpa.dll
[2009.07.30 16:54:32 | 000,339,968 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdeiesc.dll
[2009.07.30 16:54:32 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdeprox.dll
[2009.07.30 16:54:31 | 000,860,160 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdecomc.dll
[2009.07.30 16:54:31 | 000,364,544 | ---- | C] ( ) -- C:\WINDOWS\System32\lxdecomm.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.07.17 17:54:34 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\OTL.exe
[2010.07.17 17:52:01 | 001,835,008 | -H-- | M] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\NTUSER.DAT
[2010.07.17 17:51:47 | 000,363,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\dingsda.exe
[2010.07.17 17:40:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.17 17:39:40 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.17 17:39:38 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\ntuser.ini
[2010.07.17 17:06:52 | 000,002,667 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.15 21:39:17 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.14 21:30:46 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.12 23:02:09 | 000,443,146 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\__www.hijackthis.de_de.pdf
[2010.07.12 22:36:24 | 000,812,344 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\All Users\Dokumente\HJTInstall.exe
[2010.06.23 23:08:43 | 000,449,044 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.23 23:08:43 | 000,432,690 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.23 23:08:43 | 000,080,306 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.23 23:08:43 | 000,067,646 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.23 23:08:42 | 000,997,796 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.19 21:33:39 | 000,151,584 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.17 23:04:12 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.07.17 17:51:46 | 000,363,520 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Desktop\dingsda.exe
[2010.07.17 14:43:03 | 000,000,956 | ---- | C] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\Eigene Dateien\Meine freigegebenen Ordner.lnk
[2010.07.17 14:42:58 | 001,835,008 | -H-- | C] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\NTUSER.DAT
[2010.07.17 14:42:58 | 000,385,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\ntuser.dat.LOG
[2010.07.17 14:42:58 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Jens - Verwaltung\ntuser.ini
[2010.07.15 21:39:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.07.12 23:01:54 | 000,443,146 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\__www.hijackthis.de_de.pdf
[2009.07.30 16:55:47 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxdevs.dll
[2009.07.30 16:55:45 | 000,348,160 | ---- | C] () -- C:\WINDOWS\System32\lxdecoin.dll
[2009.07.30 16:55:12 | 000,692,224 | ---- | C] () -- C:\WINDOWS\System32\lxdedrs.dll
[2009.07.30 16:55:12 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\lxdecnv4.dll
[2009.07.30 16:55:12 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\lxdecaps.dll
[2009.07.30 16:54:32 | 000,348,160 | ---- | C] () -- C:\WINDOWS\System32\lxdeinst.dll
[2009.07.30 16:54:31 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\lxdegrd.dll
[2009.07.09 21:22:00 | 000,339,968 | ---- | C] () -- C:\WINDOWS\System32\pythoncom25.dll
[2009.07.09 21:22:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\pywintypes25.dll
[2009.05.20 21:23:26 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.03.28 00:09:47 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\FD35F3AEE3.sys
[2009.03.25 00:42:47 | 000,003,818 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2008.08.15 10:18:37 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.08.13 09:41:44 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\Hooks.dll
[2008.08.08 14:43:43 | 000,000,361 | ---- | C] () -- C:\WINDOWS\WISO.INI
[2008.08.08 09:14:00 | 000,002,470 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008.08.07 12:01:58 | 006,184,960 | ---- | C] () -- C:\WINDOWS\System32\RTS5121icon.dll
[2008.08.07 11:51:10 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2008.04.14 13:58:40 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2005.02.17 12:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005.02.17 12:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
< End of report >

Malwarebytes Quick Scan ohne Ergebnisse

Rkill - keine Ergebnisse

Würde mich über einen Tip freuen, wie ich den/die Nervbold(e) loswerde.

Danke!
Jens

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Hallo Larusso,
danke für die schnelle Antwort!!

vorab noch als Ergänzung - nach meinem Post und vor Deiner Antwort habe ich noch bemerkt, dass ich den Remover wohl aufgrund einem NDAS drive falsch interpretiert hatte. Externe Platte rausgenommen, dann Drive0 gefixt und danach direkt Neustart. Dann war Boot auf "grün".

Hier nun anliegend die Files nach Deiner Anleitung:
die datei extras kann ich leider nicht hochladen, da sie nicht auf meinem Rechner zu finden ist.

Eine Anmerkung, falls das hilfreich ist - nach beendetem 2Std. OTL Scan und einigen Minuten Ruhe -
PDF mit der Anleitung konnte ich öffnen, aber es war nicht möglich die Taskleiste aufzurufen, Rechner reagierte nicht auf Win Taste, Stg+Alt+Entf war möglich, Prozessorauslastung 100%, nur über die Power-Taste konnte ich den Rechner ausschalten und neu starten.

Vilen Dank schon einmal für die Unterstützung!!!

CU J.

:schmoll:


Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes


Bitte poste in Deiner nächsten Antwort
OTLFix.Log
MBRcheck Log

Hallo Daniel,
sorry für die Anhänge, dachte eher es wäre so leichter gewesen :o

Hier der OTL log:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\scdsvc deleted successfully.
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\dllhdown.dll moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{325cfbe1-ddfa-11dd-a7e3-000a3a87bfa0}\ not found.
File E:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\ not found.
File E:\LaunchU3.exe not found.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer

User: Christiane
->Temp folder emptied: 4211969 bytes
->Temporary Internet Files folder emptied: 19976449 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Default User
->Temp folder emptied: 376832 bytes
->Temporary Internet Files folder emptied: 278662 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 405 bytes

User: Jens
->Temp folder emptied: 2331638 bytes
->Temporary Internet Files folder emptied: 10734818 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Jens - Verwaltung
->Temp folder emptied: 3631928 bytes
->Temporary Internet Files folder emptied: 4704468 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 773 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 7440961 bytes
->Flash cache emptied: 1415 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 25013959 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 77,00 mb


OTL by OldTimer - Version 3.2.9.0 log created on 07182010_145122

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


hier der MBR Check log:

MBRCheck, version 1.1.1

(c) 2010, AD



\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive0



Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected





Done! Press ENTER to exit...



1000 Dank und Grüße
Jens

Schritt 1

Update bitte Malwarebytes und lass einen QuickScan laufen


Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Setze einen Hacken bei http://img25.imageshack.us/img25/6167/unbenanntgtd.jpg und drücke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
MBAM Log
ESET Log
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

OK, ich fang mal mit Malbytes an:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4324

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.07.2010 18:51:04
mbam-log-2010-07-18 (18-51-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142108
Laufzeit: 13 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dann Eset:

tut mir leid, die gennente datei gibt es leider nicht, gibt nur die onlinescanner.ocx und den onlinescenneruninstaller.exe

meldung im programm war jedoch na 3.25 std - no threads found

den OTL lass ich dann morgen nochmals laufen und trag den nach

aber ich denke, dass sieht eigentlich alles gut aus.

cu Jens

OK, ging schneller als gedacht:

OTL-Txt:

OTL Logfile:
--- --- ---

OTL-Extras:

OTL Logfile:
--- --- ---


Rechner verhält sich scheinbar völlig normal....

Ciao J.

Logfile ist sauber :daumenhoc

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 2

Systemwiederherstellungpunkte leeren

Starte OTL.exe.
Füge nun folgendes aus der Codebox in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.[/list]Klicke nun auf den Run Fix Button.


Schritt 3

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 4

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 5

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Ein Tutorial zur Verwendung findest Du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 6

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi Daniel,
hier der JavaRa log:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Jul 19 19:50:31 2010

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.



Java 6 Ver 11 blieb stehen, manuell deinstalliert und die neueste Version geladen.

Jetzt eben Neustart nach OTL Bereinigung, dann poste ich den Rest.....

Hi Daniel,
updates waren noch immer aktiviert, den Spywareblaster hab ich mal installiert. TFC hatte ich mir schon gestern auf die Seite gelegt, nach so einem Tool hatte ich schon länger gesucht - unglaublich was der an MBs aufräumt!

Ansonsten weiß ich bis heute nicht, woher der AntiVirus gekommen ist - keine bunten Bildchen oder sonstiges. Ich habe eine der Spammails im Verdacht, die das evt. übers Vorschaufenster ausgelöst hat? Wie auch immer....

Danke Dir vielmals für Deine Geduld und die Hilfe! Zugegeben, hätte ich den Rechner direkt gleich neu aufgesetzt wäre es vielleicht schneller gewesen - aber so habe ich viele neue Informationen und Tools kennenlernen können.

Wirklich ein tolles Board und ein super Team. Besten Dank nochmals und viele Grüße

Jens

Dieses Thema scheint erledigt und wird aus den Abos gelöscht. Solltest Du das Thema erneut benötigen, bitte eine PN an mich.

Jeder andere möge bitte einen eigenen Thread starten.