Nachfolgend der Bericht von CCleaner, Extras, Autostartliste:

Code: Alles auswählenAufklappen

ATTFilter

 
Ja	HKCU:Run	AshSnap		C:\Program Files (x86)\Ashampoo\Ashampoo Snap 6\ashsnap.exe
Ja	HKCU:Run	ISUSPM	Acresso Corporation	"C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe" -scheduler
Ja	HKCU:Run	Sidebar	Microsoft Corporation	C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
Ja	HKLM:Run	Acronis Scheduler2 Service	Acronis	"C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe"
Ja	HKLM:Run	Adobe ARM	Adobe Systems Incorporated	"C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
Ja	HKLM:Run	AMD AVT	Microsoft Corporation	Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
Ja	HKLM:Run	AVK Client	G Data Software AG	"C:\Program Files (x86)\G Data\AVKClient\AVKCl.exe" /GUI
Ja	HKLM:Run	BCSSync	Microsoft Corporation	"C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
Ja	HKLM:Run	BrMfcWnd	Brother Industries, Ltd.	C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
Ja	HKLM:Run	ControlCenter3	Brother Industries, Ltd.	C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
Ja	HKLM:Run	[Datenunternehmen] Update-Monitor	[Datenunternehmen] eG	"C:\[Datenunternehmen]\PROGRAMM\Install\DvInesASDMon.exe"
Ja	HKLM:Run	[Datenunternehmen]_SCardMan		
Ja	HKLM:Run	HotKeysCmds	Intel Corporation	C:\Windows\system32\hkcmd.exe
Ja	HKLM:Run	hpsysdrv	Hewlett-Packard	c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe
Ja	HKLM:Run	IgfxTray	Intel Corporation	C:\Windows\system32\igfxtray.exe
Ja	HKLM:Run	IMSS	Intel Corporation	"C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe"
Ja	HKLM:Run	Nuance PDF Converter Professional 7-reminder	Nuance Communications, Inc.	"C:\Program Files (x86)\Nuance\PDF Professional 7\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Converter Professional 7\Ereg\Ereg.ini"
Ja	HKLM:Run	PDF7 Registry Controller	Nuance Communications, Inc.	C:\Program Files (x86)\Nuance\PDF Professional 7\RegistryController.exe
Ja	HKLM:Run	PDFHook	Nuance Communications, Inc.	C:\Program Files (x86)\Nuance\PDF Professional 7\pdfpro7hook.exe
Ja	HKLM:Run	Persistence	Intel Corporation	C:\Windows\system32\igfxpers.exe
Ja	HKLM:Run	RtHDVCpl	Realtek Semiconductor	C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
Ja	HKLM:Run	SiPaHost	[Datenunternehmen] eG	C:\[Datenunternehmen]\PROGRAMM\B0000398\SiPaHost.exe C:\[Datenunternehmen]\KONFIG\B0000398
Ja	HKLM:Run	StartCCC	Advanced Micro Devices, Inc.	"C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
Ja	HKLM:Run	SunJavaUpdateSched	Sun Microsystems, Inc.	"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
Ja	HKLM:Run	TrueImageMonitor.exe	Acronis	"C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"
Ja	Startup Common	Basisschnittstelle Office Initialisierung.lnk	[Datenunternehmen] eG	C:\[Datenunternehmen]\PROGRAMM\BSoffice\service\OfficeDiag.exe
Ja	Startup Common	CleanupPrintJobs.lnk	TODO: <Firmenname>	C:\[Datenunternehmen]\PROGRAMM\B0001401\CleanupPrintJobs.exe
Ja	Startup Common	[Datenunternehmen]-Hinweis Mitteilungsdienst.lnk		C:\[Datenunternehmen]\PROGRAMM\A0000007\DHNC.exe
Ja	Startup Common	DFÜ-Manager.lnk	[Datenunternehmen] eG	C:\[Datenunternehmen]\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
Ja	Startup Common	RZ-Druckertreiber V.2.3.lnk	[Datenunternehmen] eG	C:\[Datenunternehmen]\SYSTEM\rzpjwtch.exe
Ja	Startup Common	SkyUserDevmode-Update.lnk	[Datenunternehmen] eG	C:\[Datenunternehmen]\PROGRAMM\B0001401\UpdateDevmode.exe
Ja	Startup Common	TK-Suite Client.lnk	AGFEO      	C:\Program Files (x86)\AGFEO\Tk-Suite\tools\ctimon.exe
Ja	Startup User	klickTel OEM Frühjahr 2010 - Schnellstarter.lnk	telegate MEDIA AG	C:\Program Files (x86)\klickTel\klickTel OEM Frühjahr 2010\KSTART32.EXE
Ja	Startup User	Lotus Organizer EasyClip.lnk	Lotus Development Corporation	C:\lotus\organize\easyclip6.exe
Ja	Startup User	PhraseExpress Diagnose-Modus.lnk	Bartels Media GmbH	C:\Program Files (x86)\PhraseExpress\phraseexpress.exe
Ja	Startup User	TK-Suite Client.lnk	AGFEO      	C:\Program Files (x86)\AGFEO\Tk-Suite\tools\ctimon.exe
         

Ich hatte meine OTL-Einstellungen mit der Datei PC01_Virenfund_20121101_OTL_Einstellung_1.jpg hochgeladen.
Waren die Einstellungen so ok oder sollten diese grundsätzlich verändert werden?

ok, nimm mal alle Haken raus außer bei
Acronis, GDATA, HotKeysCmds, Datenunternehmen, hpsysdrv, TrueImageMonitor,
Bei den Startup handelt es sich um die Schnellstart leiste, da musst du mal gucken, was du da benötigst.
Starte dann mal neu, und gucke, ob der PC jetzt besser läuft.
Wenn irgendwas fehlen sollte, können wir es wieder anhaken.
Bei OTL hast du doch schon die Extras.txt gepostet, bitte poste von dem selben Scan auch die OTL.txt

Hi Marcus,
wegen der Größe musste ich die OTL-Datei zippen. Im Anhang habe ich diese hochgeladen mit: PC01_Virenfund_20121101__OTL_am_20121121_1_fuer_Trojanerforum.zip
Habe ich bei OTL die richtigen Parameter gesetzt?
Ich hatte meine OTL-Einstellungen mit der Datei PC01_Virenfund_20121101_OTL_Einstellung_1.jpg hochgeladen.
Die Deaktivierungen im Autostart (in CCleaner) werde ich heute Früh vornehmen.

Ergänzung wegen meinem Tastaturproblem:
Habe gestern alle Tastaturtreiber enfernt.
PC herunter gefahren.
PS2-Tastatur abgesteckt.
Neue USB-Tastatur drangehängt.
PC hochgefahren.
Im Gerätemanager werden mir wieder 2 Tastaturen angezeigt.
Schließt Du einen Zusammenhang mit dem Virenproblem aus?

Hi,
ich denke, da besteht kein Zusammenhang, die Reinstalation der Treiber ist normal.
schauen wir erst mal, was das deaktivieren im Autostart bringt.
Kannst du auch zusätzlich Malwarebytes deinstalieren, es kann auch der Treiber von MBAM sein, der die Problemeverursacht.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O2:64bit: - BHO: (no name) - {557F4852-8868-44dd-B5E9-9890AC4B1FD5} - No CLSID value found.
O2:64bit: - BHO: (no name) - {6EF6B546-25FB-455B-801F-FDB3B3D39F9E} - No CLSID value found.
O2 - BHO: (no name) - {557F4852-8868-44dd-B5E9-9890AC4B1FD5} - No CLSID value found.
O4 - HKLM..\Run: [[Datenunternehmen]_SCardMan]  File not found
 :Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

Hi Marcus,
hier das Ergebnis von OTL

Code: Alles auswählenAufklappen

ATTFilter

 
All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\[Datenunternehmen not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Admin
 
User: Administrator
 
User: All Users
 
User: Default
 
User: Default User
 
User: [Name]
->Flash cache emptied: 506 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: [Name]
->Temp folder emptied: 4239423 bytes
->Temporary Internet Files folder emptied: 9957521 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 65523989 bytes
->Opera cache emptied: 272 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 102708483 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 49060732 bytes
 
Total Files Cleaned = 221,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11222012_021542

Files\Folders moved on Reboot...
C:\Users\[Name]\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\hsperfdata_PC01$\3048 not found!
File\Folder C:\Windows\temp\TMP0000000596669B6B64C0B3EF not found!
File move failed. C:\Windows\temp\TmpFile1 scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Hi Marcus,
ich habe alle von Dir bezeichneten Autostartdateien über das CCleaner-Programm deinstalliert.
Heute habe ich folgende Auffälligkeiten festgestellt:
* Beim Starten von Firefox steht in der Eingabezeile:
Search
Beim Blättern im Internet habe ich gelesen, dass diese Angabe virenverbunden sein soll.
Beim Öffnen mit Opera kam diese Meldung nicht
Beim Öffnen mit dem Internet explorer erschien „search.nu“ kurz im Suchfeld, soweit ich das auf die Schnelle erkennen konnte. Die Anzeige verschwand dann wieder.
Nach einem nochmaligen Start des Internetexplorers erschien diese Meldung nicht mehr.
Auffällig war mich auch, dass ich einen Virenscan mit GData Antivirus durchführen wollte. Das Programm startete (erkennbar an einem kreisenden GData-Symbol rechts unten am Monitor. Das Vorschaufenster, in dem die Ergebnisse angezeigt werden wurde nicht angezeigt.
* Das Tastaturproblem (Enter und Tabulator lösen nicht oder verzögert aus) ist nach wie vor vorhanden. Nach Deinen Angaben aber nicht virenverbunden.

hi
lade mal hitmanpro:
HitmanPro Download - HitmanPro 3.6.2.171 (64 Bit)
Doppelklick, lizense, activate test lizense.
Dann Scan, starte ihn, nichts löschen am ende, Log als XML exportieren und posten

Hi Marcus,
beim Prüfen meiner „Eigenschaften von Internet“ hatte ich beim Eintrag der Startseite festgestellt, dass dort eingetragen war:
hxxp://www.searchnu.com/102
Der Eintrag wurde sicher nicht von mir vorgenommen.
Ich habe das sofort geändert auf www.google.de.
HitmanPro habe ich gem. Link installiert.
Einen Reiter „Lizenz“ habe ich nach Auslösen des Buttons „Einstellungen“ angeklickt.
Beim Reiter Lizenz wird mir nicht angeboten: „activate test lizense“.
Ich kann dort nur anklicken: „Ich habe keinen Produktschlüssel“
Weiterführend sollte dann ein Lizenz erworben werden. Dies habe ich nicht gemacht.
Wo liegt mein Fehler?
Ich habe das Programm neu gestartet und am Startbildschirm auf den Button „Weiter“ geklickt.
Dann „Standard Scan“
Dann „Standard Scan“
Der Scan läuft derzeit noch und wird wohl noch einige Stunden dauern.

http muss es oben natürlich heißen

unter den Einstellungen solltest du die Lizenz aktivieren können. (testlizenz)
lass den Scan aber erst mal laufen, hoffe, das log kann man dann trotzdem speichern

Hi Marcus,
hier das Ergebnis (teilweise anonymisiert):
Wegen der Übergröße als Anhang.

Hast du zwischendurch Programme instaliert?
Searchqu scheint erst frisch auf dem PC, nicht im otl log, und laut Hitmanpro erst 1 Tag alt
Laut Programm Beschreibung, muss die aktivierung der Testlizenz unter den einstellungen sein.
du kannst alles von Hitmanpro gefundene löschen lassen, und neustarten, die Umleitungen in den Browsern sollten entfernt sein.

Hi Marcus,
Programme habe ich nicht installiert.
Ich kenne Searchqu nicht und habe auch dieses Programm etc. nicht installiert.
Den Löschvorgang werde gleich vornehmen.

Hmm, sehr merkwürdig.
Ok, löschen, neustarten, testen, wie das Gerät läuft.

Hi Marcus,
der Scan muss nochmals durchlaufen.
Ich werde dann morgen das Ergebnis löschen.
Installiert hatte ich in den letzten Tagen nur die von Dir angegebenen Programme zur Virenbereinigung.
Den Eintrag www.searchnu.com/102 in den Interneteinstellungen hatte ich sicher nicht vorgenommen.
Bei den OTL-Parameter-Einstellungen war ich mir nicht sicher. Die Einstellungen hatte ich hochgeladen. Waren die Einstellungen so ok?
Beigefügt noch ein Ausschnitt von Hitmanpro.
Eine Testlizenz habe ich auf diesem Reiterblatt nicht gesehen.