Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner "please wait while the connection is being establish

Trojaner "please wait while the connection is being establish


Plagegeister aller Art und deren Bekämpfung: Trojaner "please wait while the connection is being establish

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 29.07.2012, 11:34   #1
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo zusammen,

eine Freundin von mir hat sich den Trojaner "please wait while the connection is being established" eingefangen. Sie arbeitet mit Win 7 Ultima.
Ich habe mir unter anderem in diesem Forum vieles durchgelesen, was zu dem Thema gepostet wurde.
Ich habe mittels meinem Virenprogramm ESET eine Boot-Disk zur Systemrettung erstellt. Ich scheitere aber schon daran. dass ich das System nicht von der CD booten kann.
Im Setup ist die Boot-Reihenfolge richtig eingestellt. Die CD funktioniert auf einem anderen System. Wenn ich aber den infiziertenRechner booten will, kommt sofort die Meldung Windows wurde zuvor nicht richtig beendet und ich kann wählen zwischen normal starten, abgesichert und abgesichert mit Eingabeaufforderung.
Aber egal, was ich wähle, ich lande immer wieder beim weßen Bildschirm mit der Fehlermeldung.

Für einen Hinweis, der mich weiter bringt, wäre ich dankbar.

Hierhergelangt bin ich über dieses Thema: http://www.trojaner-board.de/118719-...ndows-7-a.html aber wenn ich da antworten will, bekomme ich die Meldung ich solleeine neues Thema aufmachen.

Grüße
Markus

Hallo :-)

ich noch mal mit einem Nachtrag. Nun ist geklärt warum die CD nicht gebootet hat. Das Laufwerk hatte wohl Probleme mit der CD. Habe es über USB Stcick gebootet.
Der Eset-Viren.Scanner hat 13 Viren gefunden und bereinigt.
Das Problem mit dem weißen Bildschirm bleibt aber auch nach einem Neustart bestehen.

Grüße
Markus

Alt 30.07.2012, 13:52   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Zitat:
Der Eset-Viren.Scanner hat 13 Viren gefunden und bereinigt.
Schön und wo sind die Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
__________________

__________________
Alt 30.07.2012, 21:55   #3
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo :-)

tja ich habe in der Anleitung gelesen, dass ich die logs posten soll. Aber dieser System-Rescue-CD scheint die logs beim Neustart zu löschen. Jedenfalls war das log danach weg.
Ich poste hier mal das aktuelle log, von demLauf,den ich eben durchgeführt habe, aber es sind keine Infektionen mehr da.

Code:
ATTFilter
 

<?xml version="1.0" encoding="utf-8" ?>
<ESET>
  <LOG>
    <RECORD>
      <COLUMN NAME="Log">Log</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Version der Signaturdatenbank: 7196 (20120605)</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Datum: 30.07.2012  Uhrzeit: 22:00:36</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;D:\Bootsektor;E:\Bootsektor;F:\Bootsektor;X:\Bootsektor;C:\;D:\;E:\;F:\;X:\</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\hiberfil.sys - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar = TAR =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Program Files\T-Online\T-Online_Software_6\eMail\Config\welcome.msg = MIME - - OK (eingebettete Archive NICHT geprüft)</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Program Files\T-Online\T-Online_Software_6\eMail\Config\wizard.eml = MIME - - OK (eingebettete Archive NICHT geprüft)</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPDSIDRK\flowplayer.controls-3.2.5[1].swf = CWS = file.swf - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe = CAB = jusched - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe = CAB = task.xml - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe = CAB = task64.xml - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF00574101D2C27E99.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF0CF7058570101BCD.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF0F2A431DB4E62A36.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF0F66421370587BC3.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF0F95E5F6FB7A40D9.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF130F473A9994BF18.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF2ACD15B37E72E3C5.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF360987610821A0E4.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF3CB72D9A10C9590E.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF437889AD04E381CA.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF4D71133D9AA6799F.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF610FAD4532C0F753.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF6DF2B678537D1CB8.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF70C797A317A6C420.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF76E43EEFB2739EDD.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF7E5546BBD294FE4D.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF863C15DE36B27AD6.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF8E6053BF80D57EF0.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF97371CF63AA2F985.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DF98DE55F1CBD3B1D8.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFA4D349B9C6DEED7E.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFA6B07176FC4E75B9.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFAF5BB44CA2E85959.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFB205C52913786672.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFC156CC9FEE5605CD.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFC9822113D1AA48BE.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFCC4A8D62A5EF5A91.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFD0199982B86B210D.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFD484A37DB61182B2.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFE677513F034BAD3E.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFEFBE01E17F81849D.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFF322E84108445326.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFF51308EA37160499.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\~DFF9ACA94681F7A4B2.TMP - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\RarSFX0\installer_msi_win.msi = MSI - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\RarSFX1\installer_msi_win.msi = MSI - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\Local\Temp\RarSFX2\installer_msi_win.msi = MSI - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\6af3c296-5f4b512c-temp = ZIP = data/opengeodb-text-orte.txt - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\6af3c296-5f4b512c-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\6af3c296-73642aea-temp = ZIP = data/opengeodb-text-orte.txt - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\6af3c296-73642aea-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1f217aad-5df44399-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\1f217aad-64d20e33-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\702cab73-1a54a2c3-temp = ZIP = de/dwd/webkonrad/login/HexCodec.class - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\702cab73-1a54a2c3-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\702cab73-4b6599e8-temp = ZIP = de/dwd/webkonrad/webkonrad.properties - Archiv beschädigt - Datei kann nicht extrahiert werden</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\702cab73-4b6599e8-temp = ZIP =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\Desktop\Lucas\rebirth_iso_installation.zip = ZIP = rebirth_iso_installation.iso = ISO = RB20FUL.DAT - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\Desktop\musik\Becks.thm = TAR =  - Fehler beim Lesen des Archivs</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">C:\Users\Dirk\Desktop\musik\SpongeBob57866 (1).thm = TAR =  - Archiv beschädigt</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\security\database\edb.log - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\security\database\edbtmp.log - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\security\database\tmp.edb - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\security\database\secedit.sdb - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\System32\catroot2\edb.log - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG2 - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\LocalService\NTUSER.DAT - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">X:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG2 - Fehler beim Öffnen  [4]</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Geprüfte Objekte: 302874</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Erkannte Bedrohungen: 0</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Abgeschlossen: 22:25:56  Benötigte Zeit: 1520 Sek. (00:25:20)</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log"></COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">Hinweise:</COLUMN>
    </RECORD>
    <RECORD>
      <COLUMN NAME="Log">[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.</COLUMN>
    </RECORD>
  </LOG>
</ESET>
__________________
Alt 31.07.2012, 09:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Code:
ATTFilter
<COLUMN NAME="Log">Erkannte Bedrohungen: 0</COLUMN>
Soso, erst 13 Funde und jetzt präsentierst du mir ein Log ohne Funde?!
Kannst du bitte das richtige Log mit allen Funden posten?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.07.2012, 17:38   #5
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo Arne,

erst mal danke für die Geduld mit mir.
Nun wie ich in dem letzten Post schrieb, habe ich das log mit den Funden nicht mehr. Als ich den PC neu startete war es weg. Drum habe ich ja nochmal einen Scan laufen lassen um die ein aktuelles Log wenigstens senden zu können. Aber da sind natürlich keine Funde mehr drin.

Gruß
Markus


Alt 01.08.2012, 16:19   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hm ja man hätte das Log der Live-CD auch irgendwohin speichern müssen, was erhalten bleibt! (Festplatte oder anderer Massenspeicher, eine Live-CD nutzt idR nur den RAM also flüchtigen Speicher!)
Weiß du noch in etwas was wo gefunden wurde?
__________________
--> Trojaner "please wait while the connection is being establish

Alt 01.08.2012, 17:31   #7
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo Arne,

nein das wies ich leider nicht mehr. War ja froh, dass er die Infektionenen "angeblich bereinigen" konnte. Tha da bin ich wohl mit der Live-CD meiner mangelnden Erfahrung zum Opfer gefallen
Haben ich ohne diese Informationen keine Chance auf Hilfe ?


LG
Markus

Alt 02.08.2012, 14:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.08.2012, 08:10   #9
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo Arne,

Windows geht noch gar nicht. Wenn ich den Rechner normal starte, komme ich immer noch nur bis zum weissen Bildschirm. Ich starte derzeit Windows immer noch per DVD über die Rescue CD und habe da auch ikein Windowes, sondern nur die Menüs der Rescue CD und die Eingabeaufforderung.

Grüße
Markus

Alt 04.08.2012, 14:17   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.08.2012, 22:23   #11
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo Arne,

alles gemacht, wie Du es wolltest. Ich komme allerdings nur bis zum Booten mit der OTLPENet-CD.

Nach dem Booten bekomme ich die folgende Fehlermeldung:

=====================
A Problem has been detected and windows has been shut down to prevent damage to your computer.

If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow theese steps.
Check for viruses on your compute. Remove any newly installed hard drives or hard drive controllers. check your hard drive to make shure it is properly configured and terminated.

Run CHKDSK /F to check for hard drive corruption, and then restart your computer.

Technical Information

*** Stop: 0x0000007B (0xF79D1528,0xC0000034,0x00000000,0x00000000)
=====================

Habe mal versucht den CHKDSK auszuführen. Der klappt bei Laufwerk C:, aber nicht bei Laufwerk X. Auf X ist Windows installiert.
Dort bekomme ich die Meldung, dass das Laufwerk nicht gesperrt werden kann, weil es schreibgechützt ist.

Zum verrücktwerden irgendwie.

Gruß
Markus

Alt 05.08.2012, 14:26   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.08.2012, 20:24   #13
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Hallo Arne,

super. Das mit dem Bios hat geholfen. Konnte nun von der DVD booten.
Habe den Scan ausgeführt wie Du sagtest.

>>> Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
> Diese Frage hat er nicht gestellt.

>>> Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
> Dieser Haken war gesetzt.

Den Inhalt der OTL.Txt nachfolgend:

OTL Logfile:
OTL EXTRAS Logfile:
Code:
ATTFilter
OTL logfile created on: 8/6/2012 1:27:56 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Ultimate  (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
820.00 Mb Total Physical Memory | 624.00 Mb Available Physical Memory | 76.00% Memory free
748.00 Mb Paging File | 661.00 Mb Available in Paging File | 88.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 29.30 Gb Total Space | 0.01 Gb Free Space | 0.02% Space Free | Partition Type: NTFS
Drive D: | 29.30 Gb Total Space | 21.38 Gb Free Space | 72.96% Space Free | Partition Type: NTFS
Drive E: | 238.41 Gb Total Space | 232.03 Gb Free Space | 97.33% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/30 01:58:05 | 003,417,376 | ---- | M] () [Auto] -- C:\program files\common files\akamai/netsession_win_80c2ffa.dll -- (Akamai)
SRV - [2011/06/28 14:45:10 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/27 15:09:05 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/04/07 16:57:42 | 000,099,896 | R--- | M] (HP) [Auto] -- C:\Windows\System32\HPSIsvc.exe -- (HPSIService)
SRV - [2009/11/20 10:25:24 | 000,013,336 | ---- | M] (Intel Corporation) [Auto] -- C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/06/24 05:57:04 | 000,136,704 | ---- | M] (HP) [Auto] -- C:\Program Files\HP\HPLaserJetService\HPLaserJetService.exe -- (HP LaserJet Service)
SRV - [2009/04/07 04:39:44 | 000,233,472 | ---- | M] (Teruten) [Auto] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008/04/07 04:17:30 | 000,430,592 | ---- | M] (Nokia.) [On_Demand] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011/06/28 14:45:13 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/28 14:45:13 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/11/30 04:09:29 | 000,029,232 | ---- | M] (EgisTec) [Kernel | Auto] -- C:\Windows\System32\drivers\FPSensor.sys -- (FPSensor) EgisTec-Corp Fingerprint Reader Driver (FPSensor.sys)
DRV - [2010/03/05 19:40:57 | 000,017,408 | ---- | M] (Marvell Semiconductor, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\mvusbews.sys -- (mvusbews)
DRV - [2010/01/20 01:14:42 | 000,023,136 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AcpiVpc.sys -- (ACPIVPC)
DRV - [2009/12/11 11:24:36 | 000,182,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\RtsUStor.sys -- (RSUSBSTOR)
DRV - [2009/11/09 09:54:04 | 000,179,072 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vm331avs.sys -- (vm331avs)
DRV - [2009/10/26 07:39:04 | 000,125,696 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Impcd.sys -- (Impcd)
DRV - [2009/07/13 21:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)
DRV - [2009/07/13 21:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2009/07/13 21:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)
DRV - [2009/07/13 19:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009/07/13 19:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009/07/13 19:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)
DRV - [2009/07/13 19:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)
DRV - [2009/07/13 19:12:52 | 000,030,720 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\tpm.sys -- (TPM)
DRV - [2009/07/13 18:02:47 | 000,050,688 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C) NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/04/07 04:39:44 | 000,036,608 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2009/03/20 05:01:26 | 000,121,856 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ss_bmdm.sys -- (ss_bmdm)
DRV - [2009/03/20 05:01:26 | 000,090,112 | ---- | M] (MCCI) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ss_bbus.sys -- (ss_bbus) SAMSUNG USB Mobile Device (WDM)
DRV - [2009/03/20 05:01:26 | 000,014,976 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ss_bmdfl.sys -- (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter)
DRV - [2007/09/17 10:53:26 | 000,021,632 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\Dirk_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Dirk_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Dirk_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 9F 5A E6 D4 F3 31 CD 01  [binary data]
IE - HKU\Dirk_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Dirk_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: plugin@yontoo.com:1.20.00
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.18132
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: D:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\ProgramData\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/02/20 08:15:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/06/06 07:22:08 | 000,000,000 | ---D | M]
 
[2010/11/27 14:58:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Dirk\AppData\Roaming\Mozilla\Extensions
[2012/02/04 15:52:40 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Dirk\AppData\Roaming\Mozilla\Firefox\Profiles\s7zdc9a8.default\extensions
[2012/02/04 11:20:04 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\Dirk\AppData\Roaming\Mozilla\Firefox\Profiles\s7zdc9a8.default\extensions\plugin@yontoo.com
[2012/02/04 15:51:43 | 000,000,000 | ---D | M] (Search-Results Toolbar) -- C:\Users\Dirk\AppData\Roaming\Mozilla\Firefox\Profiles\s7zdc9a8.default\extensions\toolbar@ask.com
[2011/03/20 14:31:39 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/01/02 11:55:25 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010/11/27 15:28:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/11/28 16:05:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/01/15 13:56:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/03/20 14:31:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2009/10/23 10:01:34 | 000,102,400 | ---- | M] (Zylom) -- C:\Program Files\mozilla firefox\plugins\npzylomgamesplayer.dll
[2010/09/14 17:32:39 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/09/14 17:32:39 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010/09/14 17:32:39 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/09/14 17:32:39 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/09/14 17:32:39 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Search-Results Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Search-Results)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -  File not found
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Search-Results)
O3 - HKU\Dirk_ON_C\..\Toolbar\WebBrowser: (Search-Results Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Search-Results)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [331BigDog] C:\Program Files\USB Camera\VM331_STI.EXE (Vimicro)
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Search-Results)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe (ELAN Microelectronic Corp.)
O4 - HKLM..\Run: [HPUsageTrackingLEDM] C:\Program Files\HP\HP UT LEDM\bin\hppusg.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation)
O4 - HKLM..\Run: [Lexmark X1100 Series]  File not found
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [yU3YtyHnPiXUqiW] C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O4 - HKU\.DEFAULT..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\Dirk_ON_C..\Run: [Akamai NetSession Interface] C:\Users\Dirk\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc)
O4 - HKU\Dirk_ON_C..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\Dirk_ON_C..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\Dirk_ON_C..\Run: [yU3YtyHnPiXUqiW] C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O4 - HKU\LocalService_ON_C..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\NetworkService_ON_C..\Run: [InfoCockpit] C:\Program Files\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE (Deutsche Telekom AG, T-Com)
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Dirk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKLM Winlogon: UserInit - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Dirk_ON_C Winlogon: Shell - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKU\Dirk_ON_C Winlogon: UserInit - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/07/29 16:06:53 | 000,000,000 | ---D | C] -- C:\tmp
[2012/07/29 16:06:52 | 000,000,000 | ---D | C] -- C:\Neuer Ordner (2)
[2012/07/29 16:05:24 | 000,000,000 | ---D | C] -- C:\cccleaner
[2012/06/12 11:38:42 | 000,237,568 | ---- | C] (Adobe Systems Incorporated) -- C:\Users\Dirk\AppData\Roaming\Schnarch.exe
[2010/08/25 13:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
 
========== Files - Modified Within 30 Days ==========
 
[2012/07/30 15:52:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/07/30 15:52:38 | 645,275,648 | -HS- | M] () -- C:\hiberfil.sys
[2012/07/29 15:21:47 | 000,003,224 | ---- | M] () -- C:\bootsqm.dat
[2012/07/29 05:58:35 | 000,017,136 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/07/29 05:58:35 | 000,017,136 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/07/29 05:55:30 | 000,668,540 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/07/29 05:55:30 | 000,620,092 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/07/29 05:55:30 | 000,134,356 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/07/29 05:55:30 | 000,110,280 | ---- | M] () -- C:\Windows\System32\perfc009.dat
 
========== Files Created - No Company Name ==========
 
[2012/07/29 15:21:47 | 000,003,224 | ---- | C] () -- C:\bootsqm.dat
[2011/03/27 12:04:11 | 001,511,424 | ---- | C] () -- C:\Windows\System32\HP1100SM.EXE
[2011/03/27 12:04:11 | 000,147,456 | ---- | C] () -- C:\Windows\System32\HP1100LM.DLL
[2011/03/27 08:06:51 | 000,054,272 | R--- | C] () -- C:\Windows\System32\HP1100SMs.dll
[2011/03/27 08:06:49 | 000,284,160 | ---- | C] () -- C:\Windows\System32\mvhlewsi.DLL
[2011/01/31 06:48:32 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll
[2011/01/31 06:48:32 | 000,036,608 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys
[2011/01/24 09:44:02 | 000,825,859 | ---- | C] () -- C:\Windows\Diercke Globus Uninstaller.exe
[2011/01/13 13:56:03 | 000,081,920 | ---- | C] () -- C:\Windows\System32\mvusbews.dll
[2011/01/02 11:58:49 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010/12/28 07:20:28 | 000,005,733 | R--- | C] () -- C:\Windows\System32\lxcasdrv.ini
[2010/12/02 14:42:21 | 000,000,093 | ---- | C] () -- C:\Windows\lexstat.ini
[2010/11/28 11:58:16 | 000,001,340 | ---- | C] () -- C:\Windows\vm331Rmv.ini
[2010/08/25 14:30:02 | 000,127,868 | ---- | C] () -- C:\Windows\System32\igcompkrng575.bin
[2010/08/25 14:30:00 | 000,870,560 | ---- | C] () -- C:\Windows\System32\igkrng575.bin
[2010/08/25 14:30:00 | 000,104,796 | ---- | C] () -- C:\Windows\System32\igfcg575m.bin
[2009/11/21 10:42:06 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2009/11/21 10:34:52 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2009/11/21 10:34:52 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2009/07/14 04:47:43 | 000,668,540 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/07/14 04:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/07/14 04:47:43 | 000,134,356 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/07/14 04:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,289,720 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,620,092 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,110,280 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009/07/13 20:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009/07/13 20:02:54 | 000,245,248 | ---- | C] () -- C:\Windows\System32\DShowRdpFilter.dll
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2009/04/01 05:48:16 | 000,053,478 | ---- | C] () -- C:\Windows\mvtcpui.ini
[2007/10/25 12:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
 
========== LOP Check ==========
 
[2011/05/03 09:29:41 | 000,000,000 | -HSD | M] -- C:\Users\Dirk\AppData\Roaming\.#
[2011/01/24 09:44:24 | 000,000,000 | ---D | M] -- C:\Users\Dirk\AppData\Roaming\Diercke Globus
[2010/11/27 15:30:52 | 000,000,000 | ---D | M] -- C:\Users\Dirk\AppData\Roaming\OpenOffice.org
[2011/01/31 06:56:12 | 000,000,000 | ---D | M] -- C:\Users\Dirk\AppData\Roaming\PC Suite
[2011/01/31 06:48:12 | 000,000,000 | ---D | M] -- C:\Users\Dirk\AppData\Roaming\Samsung
[2010/12/02 09:31:26 | 000,000,000 | ---D | M] -- C:\Users\Dirk\AppData\Roaming\T-Online
[2010/11/27 14:55:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2010/11/27 14:55:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2010/11/27 14:55:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2011/01/31 06:56:13 | 000,000,000 | ---D | M] -- C:\ProgramData\PC Suite
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2010/11/27 14:55:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2010/12/02 09:31:04 | 000,000,000 | ---D | M] -- C:\ProgramData\T-Online
[2012/02/04 11:20:02 | 000,000,000 | ---D | M] -- C:\ProgramData\Tarma Installer
[2011/08/27 04:59:43 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2010/11/27 16:59:59 | 000,000,000 | ---D | M] -- C:\ProgramData\UIB
[2010/11/27 14:55:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2011/02/20 08:15:06 | 000,000,000 | ---D | M] -- C:\ProgramData\Zylom
[2011/02/14 13:00:17 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/05/18 14:31:04 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:63238B95
< End of report >
--- --- ---

--- --- ---



Nachfolgend die Extras.txt:OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 8/6/2012 3:20:23 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Ultimate  (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
820.00 Mb Total Physical Memory | 625.00 Mb Available Physical Memory | 76.00% Memory free
748.00 Mb Paging File | 662.00 Mb Available in Paging File | 88.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 29.30 Gb Total Space | 0.01 Gb Free Space | 0.02% Space Free | Partition Type: NTFS
Drive D: | 29.30 Gb Total Space | 21.38 Gb Free Space | 72.96% Space Free | Partition Type: NTFS
Drive E: | 238.41 Gb Total Space | 232.03 Gb Free Space | 97.33% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Extra Registry (All) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.chm [@ = chm.file] -- C:\Windows\hh.exe (Microsoft Corporation)
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.hta [@ = htafile] -- C:\Windows\System32\mshta.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
.inf [@ = inffile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.ini [@ = inifile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.url [@ = InternetShortcut] -- C:\Windows\System32\rundll32.exe (Microsoft Corporation)
.js [@ = JSFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.reg [@ = regfile] -- C:\Windows\regedit.exe (Microsoft Corporation)
.txt [@ = txtfile] -- C:\Windows\System32\NOTEPAD.EXE (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
.wsh [@ = WSHFile] -- C:\Windows\System32\WScript.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
batfile [open] -- "%1" %*
batfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
chm.file [open] -- "%SystemRoot%\hh.exe" %1 (Microsoft Corporation)
cmdfile [edit] -- %SystemRoot%\System32\NOTEPAD.EXE %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %*
cmdfile [print] -- %SystemRoot%\System32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htafile [open] -- C:\Windows\System32\mshta.exe "%1" %* (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- C:\program files\t-online\t-online_software_6\browser\Browser.exe "%1" (Deutsche Telekom AG, T-Com)
htmlfile [opennew] -- C:\program files\t-online\t-online_software_6\browser\Browser.exe "%1" (Deutsche Telekom AG, T-Com)
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1"
https [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
inffile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
inffile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
inifile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
inifile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
jsfile [edit] -- C:\Windows\System32\Notepad.exe %1 (Microsoft Corporation)
jsfile [open] -- C:\Windows\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsfile [print] -- C:\Windows\System32\Notepad.exe /p %1 (Microsoft Corporation)
jsefile [edit] -- C:\Windows\System32\Notepad.exe %1 (Microsoft Corporation)
jsefile [open] -- C:\Windows\System32\WScript.exe "%1" %* (Microsoft Corporation)
jsefile [print] -- C:\Windows\System32\Notepad.exe /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [edit] -- %SystemRoot%\system32\notepad.exe "%1" (Microsoft Corporation)
regfile [open] -- regedit.exe "%1" (Microsoft Corporation)
regfile [merge] -- Reg Error: Key error.
regfile [print] -- %SystemRoot%\system32\notepad.exe /p "%1" (Microsoft Corporation)
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
txtfile [open] -- %SystemRoot%\system32\NOTEPAD.EXE %1 (Microsoft Corporation)
txtfile [print] -- %SystemRoot%\system32\NOTEPAD.EXE /p %1 (Microsoft Corporation)
txtfile [printto] -- %SystemRoot%\system32\notepad.exe /pt "%1" "%2" "%3" "%4" (Microsoft Corporation)
vbefile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
vbefile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
vbefile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
vbsfile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
vbsfile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
vbsfile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
wsffile [edit] -- "%SystemRoot%\System32\Notepad.exe" %1 (Microsoft Corporation)
wsffile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
wsffile [print] -- "%SystemRoot%\System32\Notepad.exe" /p %1 (Microsoft Corporation)
wshfile [open] -- "%SystemRoot%\System32\WScript.exe" "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{06FD07A9-7794-4ED1-B039-919705E5444D}" = Der Schatz des Pharao XS
"{0E448256-D515-4C3E-A5BE-0A7B76CED5D4}" = hppP1100P1560P1600SeriesLaserJetService
"{10F15459-C54E-41BA-AC83-F12ACAF24690}" = Moorfrosch XS
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21BBAD12-C75F-4F06-A9B0-6F8BEEAF3846}" = Moorhuhn X - XS
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 24
"{295C31E5-3F91-498E-9623-DA24D2FA2B6A}" = T-Online WLAN-Access Finder
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{343666E2-A059-48AC-AD67-230BF74E2DB2}" = Apple Application Support
"{36DEB706-0FE7-4B4A-8DED-0001000210A7}" = Multi-Installer
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{6592FDEC-2C1A-413A-9985-25FEC2F0848D}" = Star Wars Empire at War Forces of Corruption
"{65D70656-D248-4C83-B594-E3029C43B37A}" = phase6_19
"{6E7DD182-9FC6-4651-0095-2E666CC6AF35}" = Die Sims 2
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7902E313-FF0F-4493-ACB1-A8147B78DCD0}" = HPSSupply
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{8153ED9A-C94A-426E-9880-5E6775C08B62}" = Apple Mobile Device Support
"{853F464A-B2B8-404E-BA3E-B98FF6862C41}" = hppusgP1100P1560P1600Series
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Search-Results Toolbar
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.02
"{8991E763-21F5-4DEA-A938-5D9D77DCB488}" = Broadcom 802.11 Wireless Driver
"{8FDC1610-3FB5-4EF2-A0D0-CEDC3A525A25}" = DIE SIEDLER - Das Erbe der Könige
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{99AE7207-8612-4DBA-A8F8-BAE5C633390D}" = Star Wars Empire at War
"{9CD9CD94-76CC-4524-8617-DEB9C2D7C389}" = FIFA 10 - Demo
"{A116D023-A3BC-4C70-A8B8-9FE77850F0D9}" = Moorhuhn Wanted XXL
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{ADE16A9D-FBDC-4ecc-B6BD-9C31E51D0332}" = Lenovo EasyCamera
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B1275E23-717A-4D52-997A-1AD1E24BC7F3}" = T-Online 6.0
"{B7DBF6E8-0D17-4BE4-853B-ACD6EFBD4A1F}" = iTunes
"{C66BF9FD-D367-4E13-8EB8-385FFEA20DB3}" = Oblivion
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"{D371F551-0DB9-4CEC-844B-4C90CE91EA0B}" = hppLaserJetService
"{DFAA3D2B-7087-464E-823B-738A23C29C27}" = Microsoft Visual J# 2.0 Redistributable Package - SE
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.1
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"18 Wheels of Steel: American Long Haul" = 18 Wheels of Steel: American Long Haul 
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Akamai" = Akamai NetSession Interface Service
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Diercke Globus" = Diercke Globus
"Elantech" = ETDWare PS/2-x86 7.0.4.13_WHQL
"FarmingSimulator2009GoldDE_is1" = Landwirtschafts-Simulator 2009 Gold
"Genius Biologie" = Genius Biologie (remove only)
"HP LaserJet Professional P1100-P1560-P1600 Series" = HP LaserJet Professional P1100-P1560-P1600 Series
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft Visual J# 2.0 Redistributable Package - SE" = Microsoft Visual J# 2.0 Redistributable Package - SE
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Mr. Colman_is1" = Mr. Colman 1.0
"Nero8Lite_is1" = Nero 8 Lite 8.2.8.0
"Recover My Files_is1" = Recover My Files
"Recuva" = Recuva
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver Drive" = Samsung Mobile phone USB driver Drive Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"Zylom Games Player Plugin" = Zylom Games Player Plugin
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Akamai" = Akamai NetSession Interface
"webKONRAD" = webKONRAD
 
< End of report >
--- --- ---

Grüße
Markus
Geändert von UmpahPah (05.08.2012 um 20:34 Uhr)

Alt 06.08.2012, 10:14   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Code:
ATTFilter
Drive C: | 29.30 Gb Total Space | 0.01 Gb Free Space | 0.02% Space Free | Partition Type: NTFS
Drive D: | 29.30 Gb Total Space | 21.38 Gb Free Space | 72.96% Space Free | Partition Type: NTFS
Drive E: | 238.41 Gb Total Space | 232.03 Gb Free Space | 97.33% Space Free | Partition Type: NTFS
Waren die Partition schon so eingerichtet oder hast du das gemacht?!
Nur 30 GB ist als Systempartition für Win7 für meinen Geschmack deutlich zu unterdimensioniert! Und wie man sieht ist auf C auch so gut wie nichts mehr frei!



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [yU3YtyHnPiXUqiW] C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O4 - HKU\Dirk_ON_C..\Run: [yU3YtyHnPiXUqiW] C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKLM Winlogon: UserInit - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKU\Dirk_ON_C Winlogon: Shell - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O20 - HKU\Dirk_ON_C Winlogon: UserInit - (C:\Users\Dirk\AppData\Roaming\Schnarch.exe) - C:\Users\Dirk\AppData\Roaming\Schnarch.exe (Adobe Systems Incorporated)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:63238B95
:Files
C:\Users\Dirk\AppData\Roaming\Schnarch.exe
C:\Users\Dirk\AppData\Roaming\.#
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.08.2012, 20:52   #15
UmpahPah
 
Trojaner "please wait while the connection is being establish - Standard

Trojaner "please wait while the connection is being establish


Halllo Arne,

zunächst mal: die Partitionen sind nicht von mir. Ich lasse immer mindestens 40 % meiner C Partiton frei. Das ist wie gesagt der PC einer sehr guten Freundin, die sich in ihrer Not ausgerechnet an mich gewandt hat.

Ich habe alles so gemacht, wie von Dir beschrieben. Hat alles tadellos funktioniert. Der Rechner bootet nun wieder ganz normal.

Die Datei hbe ich hochgeladen.

===========
Datei: otlfix08072012_033809.log empfangen

Vorgang erfolgreich abgeschlossen.
===========

Ob alles an dem Rechner fehlerfrei funktioniert, kann ich in Moment noch nicht mit Sicherheit sagen.


An dieser Stelle aber mal recht recht herzlichen Dank für die Hilfe, die Geduld mit meinen "dummen Fragen" und die hilfreichen und ausführlichen Anleitungen und Tips.

Beste Grüße
Markus

Antwort
Seite 1 von 2 1 2

Themen zu Trojaner "please wait while the connection is being establish
antworten, arbeitet, beendet, bildschirm, booten, connection, eset, folge, forum, freundin, funktioniert, hallo zusammen, hinweis, infizierte, meldung, neues, please, please wait, programm, rechner, setup, starten, thema, trojaner, warum, win, windows


« TR/ATRAPS.Gen2 in C:\Windows\Installer\{bd**65e7}\U\80000064.@ | Virus: Durch das System der automatischen Informationskontrolle wurde Ihr Computer gesperrt. »


Ähnliche Themen: Trojaner "please wait while the connection is being establish


  1. Weisser Bildschirm und "please wait while the connection ist being established"
    Log-Analyse und Auswertung - 07.02.2015 (21)
  2. Weisser Bildschirm und die Meldung "please wait while the connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 09.01.2013 (10)
  3. Weißer Bildschirm "Please wait while the connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (21)
  4. Trojaner "please wait while the connection is being established" unter Windows 7
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (19)
  5. Zugriff auf Rechner blockiert-White Screen+"Please wait while the connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (22)
  6. Weißer Bildschirm "Please wait while the connection is beeing established"
    Log-Analyse und Auswertung - 13.06.2012 (3)
  7. Weißer Bildschirm "Please wait while the connection is beeing established"
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (22)
  8. weißer Bildschirm mit der Meldung "Please wait while the connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (6)
  9. "Wait while the connection is been established" - Virus/Freezer/Trojaner/...
    Plagegeister aller Art und deren Bekämpfung - 19.05.2012 (1)
  10. Windows Desktop blockiert - white screen - "Please wait while the connection is beeing established"
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (21)
  11. "please wait while the connection is being established" - weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (17)
  12. weißer Bildschirm mit der Meldung "Please wait while the connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (7)
  13. Fehlermeldung: "Please wait while the connection is being established" und Weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (1)
  14. Fehlermeldung: "Please wait while the connection is being established" und Weißer Bildschirm
    Log-Analyse und Auswertung - 01.04.2012 (5)
  15. Weißer Bildschirm "Please wait while the connection is beeing established"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (25)
  16. Weißer Bildschirm mit Fehlermeldung "Please wait while connection is being established"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (17)
  17. Weißer Bildschirm "Please wait while the connection is beeing established"
    Log-Analyse und Auswertung - 24.03.2012 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner "please wait while the connection is being establish - Hallo zusammen, eine Freundin von mir hat sich den Trojaner "please wait while the connection is being established" eingefangen. Sie arbeitet mit Win 7 Ultima. Ich habe mir unter anderem - Trojaner "please wait while the connection is being establish...
Archiv
Du betrachtest: Trojaner "please wait while the connection is being establish auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129