BDS/Papras.pk durch AntiVir in mounkeys.dll gefunden
 

Hallo,

zunächst mal Hut ab für Euer Forum und vielen Dank vorab für die Hilfe die ich hier hoffentliche bekommen kann.

Mein Rechner hat 1 oder 2 Probleme:

1. Vor einigen Tagen erklang beim Hochfahren erstmals ein mechanischen Geräusch, so eine Art Klicken, das sich in das Rattern der Festplatte untermischte. Dann trat das Geräusch zweimal beim Hochfahren auf, in der Folge auch beim Starten der Programme Outlook und Internet Explorer (nur beim erstmaligen Programmstart nach dem Hochfahren!).

2. Ungefähr zeitgleich meldete AntiVir erstmalig den Fund des Trojaners BDS/Papras.dll im Ordner system32, Datei mounkeys.dll. Erst nur einzeln, ließ sich nicht entfernen o. ä., dann jeweils mehrfach beim Programmstart Outlook und Internet Explorer. Gestern fuhr der Rechner offensichtlich nicht richtig hoch, Desktop wurde angezeigt, aber kein Programm ließ sich starten (es fehlte beim Hochfahren auch das Klicken), erst im abgesicherten Modus war ein Programmzugriff möglich, anschließend auch wieder im Normalmodus (dann auch wieder mit Klicken beim Hochfahren).

Falls es sich auch um ein physikalisches Problem handelt, macht eine Datensicherung wohl keinen Sinn, solange Dateien infiziert sind, oder?

Systemcheck mit Malwarebytes und OTL habe ich gemacht:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4590

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.09.2010 19:25:43
mbam-log-2010-09-10 (19-25-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 174965
Laufzeit: 41 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Worm.Spambot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__


_______________________________________________________________
_________________________________________________________________

OTL Logfile:
--- --- ---



______________________________________________________________
_________________________________________________________________
OTL Logfile:
--- --- ---

Hallo,

hast Du noch in Erinnerung wann das Problem mit dem Schädling auftrat? Hast Du rein zufällig unmittelbar davor was von Adobe, also den Reader oder Flashplayer, aktualisiert?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo,

irgendwann war da mal ein Update vom Flashplayer. Kann ich zeitlich aber nicht mehr zuordnen.

Habe den Fix gerade ausgeführt. AntiVir läuft standardmäßig im Hinmtergrund und hat beim Fix den Schädling wieder erkannt und versucht, den Zugriff zu verhindern. Hat das evtl Einfluss auf's Ergebnis gehabt?
Sollen beim 'Beenden aller Programme' auch diejenigen rechts unten neben der Uhr deaktiviert werden? Hatte ich vorher nicht gemacht...

Hier das Ergebnis:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\evenaint:C:\WINDOWS\system32\mounkeys.dll deleted successfully.
File C:\WINDOWS\System32\drivers\nfvsxyyc.sys not found.
C:\WINDOWS\system32\mounkeys.VIR moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: User
->Temp folder emptied: 204589210 bytes
->Temporary Internet Files folder emptied: 31807980 bytes
->Java cache emptied: 77019575 bytes
->Flash cache emptied: 60900 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6363861 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1674505 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 309,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09112010_181746

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ja, OTL hat eine Datei nicht gefunden. Man sollte vor dem Einsatz von OTL besser den Virenscanner deaktivieren, der stört da meist nur.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,

habe CCleaner und CF ausgeführt. Obwohl Avira deaktiviert war, gab's bei CF einen Warnhinweis. Programmausführung lief jedoch scheinbar reibungslos:



Combofix Logfile:
--- --- ---


Gruß
Andre

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo,

hier die Ergebnisse:

GMER Logfile:
--- --- ---

_________________________________________________________________
_________________________________________________________________


OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


_________________________________________________________________
_________________________________________________________________




Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...


Gruß
Andre

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,

hier das Ergebnis:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 123):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7D2F000 \WINDOWS\system32\KDCOM.DLL
0xF7C3F000 \WINDOWS\system32\BOOTVID.dll
0xF77DF000 ACPI.sys
0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CE000 pci.sys
0xF782F000 isapnp.sys
0xF783F000 ohci1394.sys
0xF784F000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7DF7000 pciide.sys
0xF7AAF000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7D33000 viaide.sys
0xF7D35000 intelide.sys
0xF785F000 MountMgr.sys
0xF77AF000 ftdisk.sys
0xF7D37000 dmload.sys
0xF7789000 dmio.sys
0xF7AB7000 PartMgr.sys
0xF786F000 VolSnap.sys
0xF7771000 atapi.sys
0xF787F000 disk.sys
0xF788F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7751000 fltmgr.sys
0xF773F000 sr.sys
0xF7728000 KSecDD.sys
0xF769B000 Ntfs.sys
0xF766E000 NDIS.sys
0xF789F000 uagp35.sys
0xF78AF000 viaagp.sys
0xF7654000 Mup.sys
0xF799F000 \SystemRoot\system32\DRIVERS\amdk7.sys
0xF70C3000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF70AF000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B1F000 \SystemRoot\system32\DRIVERS\fetnd5.sys
0xF7052000 \SystemRoot\system32\drivers\cmaudio.sys
0xF702E000 \SystemRoot\system32\drivers\portcls.sys
0xF79AF000 \SystemRoot\system32\drivers\drmk.sys
0xF700B000 \SystemRoot\system32\drivers\ks.sys
0xF7B27000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6FE7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B2F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF79BF000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B37000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7B3F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7B47000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CDF000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6FD3000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79DF000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79EF000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF79FF000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7A0F000 \SystemRoot\system32\DRIVERS\avmwan.sys
0xF7E9B000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7A1F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7CEB000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6FBC000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7A2F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7A3F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B4F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6F0B000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7A4F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B57000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B5F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6EDB000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7A9F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7D4B000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6E55000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D13000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF78FF000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF790F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D59000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B77000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7D63000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E11000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D65000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B87000 \SystemRoot\System32\drivers\vga.sys
0xF7D67000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D69000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B8F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7B97000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7CC3000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA783000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA72A000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA702000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAA6E0000 \SystemRoot\System32\drivers\afd.sys
0xF792F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7B9F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAA615000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAA5A5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF795F000 \SystemRoot\System32\Drivers\Fips.SYS
0xAA57F000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA563000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF797F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7D75000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF6FAC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAA512000 \SystemRoot\system32\DRIVERS\wg111v2.sys
0xAA4FA000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D89000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAA7D6000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BD7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E80000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF062000 \SystemRoot\System32\ati2cqag.dll
0xBF0EB000 \SystemRoot\System32\atikvmag.dll
0xBF158000 \SystemRoot\System32\atiok3x2.dll
0xBF19B000 \SystemRoot\System32\ati3duag.dll
0xBF583000 \SystemRoot\System32\ativvaxx.dll
0xA83CE000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA8345000 \SystemRoot\system32\DRIVERS\EAPPkt.sys
0xA83C6000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA8048000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xA7F43000 \SystemRoot\system32\drivers\wdmaud.sys
0xA80E5000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7DB7000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xA7B76000 \SystemRoot\system32\DRIVERS\srv.sys
0xA79EB000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xA7752000 \SystemRoot\System32\Drivers\HTTP.sys
0xA773A000 \??\C:\WINDOWS\System32\Drivers\SjyPkt.sys
0xA74F4000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 35):
0 System Idle Process
4 System
548 C:\WINDOWS\system32\smss.exe
664 csrss.exe
700 C:\WINDOWS\system32\winlogon.exe
860 C:\WINDOWS\system32\services.exe
872 C:\WINDOWS\system32\lsass.exe
1032 C:\WINDOWS\system32\ati2evxx.exe
1048 C:\WINDOWS\system32\svchost.exe
1120 svchost.exe
1160 C:\WINDOWS\system32\svchost.exe
1236 svchost.exe
1372 C:\WINDOWS\system32\ati2evxx.exe
1464 svchost.exe
1712 C:\WINDOWS\explorer.exe
1828 C:\WINDOWS\system32\spoolsv.exe
1872 C:\Programme\Avira\AntiVir Desktop\sched.exe
1884 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1936 svchost.exe
1976 C:\WINDOWS\SOUNDMAN.EXE
1996 C:\WINDOWS\mixer.exe
2008 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2024 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2040 C:\Programme\pdf24\pdf24.exe
128 C:\Programme\Messenger\msmsgs.exe
136 C:\WINDOWS\system32\ctfmon.exe
272 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
344 C:\Programme\Java\jre6\bin\jqs.exe
644 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
824 C:\WINDOWS\system32\svchost.exe
2244 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2308 C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
2352 alg.exe
2904 C:\WINDOWS\system32\wuauclt.exe
912 C:\Dokumente und Einstellungen\User\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: Maxtor6Y080P0, Rev: YAR41BW0

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!


Gruß
Andre

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

hier die Protokolle:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4621

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.09.2010 21:18:34
mbam-log-2010-09-15 (21-18-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 183904
Laufzeit: 39 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
_________________________________________________________________
_________________________________________________________________

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/15/2010 at 10:38 PM

Application Version : 4.43.1000

Core Rules Database Version : 5512
Trace Rules Database Version: 3324

Scan type : Complete Scan
Total Scan Time : 00:50:40

Memory items scanned : 457
Memory threats detected : 0
Registry items scanned : 5852
Registry threats detected : 0
File items scanned : 50497
File threats detected : 39

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\User\Cookies\user@statcounter[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@rts.pgmediaserve[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adultadworld[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@partypoker[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.hannoversche[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adbrite[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.zanox[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adviva[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@traffictrack[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@mediadakine[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@clicksor[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@webmasterplan[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@de.sitestat[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@apmebf[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@imagevenue.advertserve[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad.adnet[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@collective-media[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ero-advertising[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@serving.xxxwebtraffic[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@tradedoubler[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@d.mediadakine[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@zedo[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@doubleclick[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@mediaplex[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@specificclick[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@ad4.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\User\Cookies\user@myroitracking[2].txt
C:\Dokumente und Einstellungen\User\Cookies\user@adsrv.admediate[1].txt


Gruß
Andre

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo,

weitere Funde gab's in der Zwischenzeit nicht mehr.
Wie ist mit den ganzen Ant-Viren-Programmen denn nun umzugehen?
Wieder deinstallieren?
Welches kostenlose Anti-Viren-Programm ist in Verbindung mit welcher Firewall Deiner Erfahrung nach zu empfehlen, oder muss mann doch besser Geld für vernünftige Qualität ausgeben? Bisher habe ich Avira Antivir in der Free Version, scheint aber trotz automatischer Updates nicht ausreichend Schutz zu bieten.

Das ursprüngliche Problem mit dem Klicken beim Hochfahren und beim erstmaligen Öffnen der Programme ist übrigens noch vorhanden.
Wohl doch die Festplatte!?

Gruß und vielen Dank nochmals
Andre

Die stören nicht, weil das keine "herkömmlichen" Virenscanner sind und auch keinen Hintegrundwächter mitbringen. Du kannst aber alle deinstallieren. Malwarebytes solltest Du ruhig behalten.

Geld musst Du als Privatmensch garnicht ausgeben. Es reicht sowas wie Microsoft Security Essentials, AVG Free, Avast oder AntiVir PE. Firewall: Windows-Firewall!

Es gibt keinen Schutz aus bunten Pappschachteln!
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Schau mal nach Diagnosetools auf der Herstellerseite Deiner Platte.