TubeSaver Virus entfernen

Wannekakki · 16.08.2013, 15:56

Hallo Allerseits,

Ich habe seit gestern folgendes Problem:
Meine Firewall fragte mich nach einem Zugriff für TubeSaver.exe. Diesen habe ich nicht bestätigt. Ein Freund sagte mir dann, ich sollte mich mal an dieses Forum wenden. Ich hätte wohl einen Trojaner auf dem Rechner. Ich selbst hab davon nicht so viel Ahnung. Mein Avira Antivirus findet keinerlei Bedrohungen. Dennoch habe ich in meinem Browser selbst auf der Google Startseite Werbung.
Hat vielleicht jemand eine geeignete, sichere Anleitung zum kompletten entfernen des Virus?

Ich bedanke mich schon mal fürs Lesen und hoffe auf hilfreiche Beiträge,
Carsten

smeenk · 16.08.2013, 15:59

Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen
Starte Zoek.exe mit einem Doppelklick.
Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.
Kopiere den Text der folgenden Box in das Skriptfenster von zoek:
Code:
ATTFilter
```
startupall;
chromelook;
emptyclsid;
autoclean;
firefoxlook;
filesrcm;
         
```
Nun klicke auf "Run script" und sei geduldig bis das Skript durchläuft.
Wenn das Tool fertig ist wird sich Notepad mit dem Logfile öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

smeenk · 16.08.2013, 17:00

Gut da ist schon einiges gelöscht worden

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen
Starte Zoek.exe mit einem Doppelklick.
Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.

Kopiere den Text der folgenden Box in das Skriptfenster von zoek:

Code:

ATTFilter

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer;fs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon;fs
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run];r
"WebCake Desktop"=-;r
chrdefaults;

Nun klicke auf "Run script" und sei geduldig bis das Skript durchläuft.
Wenn das Tool fertig ist wird sich Notepad mit dem Logfile öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

smeenk · 16.08.2013, 23:49

Ich denke folgendes wird die Lösung sein:

Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen
Starte Zoek.exe mit einem Doppelklick.
Achtung: Das folgende Skript wurde nur für diesen speziellen Fall geschrieben und könnte andere Computer beschädigen.

Kopiere den Text der folgenden Box in das Skriptfenster von zoek:

Code:

ATTFilter

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce];ra
"AvgUninstallURL"=-;r
startupall;
type C:\Combofix\combofix.txt>>log.txt;b

Nun klicke auf "Run script" und sei geduldig bis das Skript durchläuft.
Wenn das Tool fertig ist wird sich Notepad mit dem Logfile öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

Wannekakki · 16.08.2013, 16:27

Vielen Dank, für die schnelle Antwort.

Habe das Tool durchlaufen lassen, vorher Avira und Fierwall deaktiviert.
ZOEK-Log:

Code:

ATTFilter

Zoek.exe Version 4.0.0.4 Updated 10-August-2013
Tool run by Administrator on 16.08.2013 at 17:07:21,93.
Microsoft Windows XP Professional 5.1.2600 Service Pack 3 x86
Running in: Normal Mode No Internet Access Detected
Launched: E:\Eigene Dateien\Downloads\zoek.exe [Script inserted] 

==== System Restore Info ======================

16.08.2013 17:09:25 Zoek.exe System Restore Point Created Succesfully.

==== Deleting CLSID Registry Keys ======================

HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} deleted successfully
HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} deleted successfully
HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4af1654d-214a-4f9d-9467-9b3d19f93633} deleted successfully
HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4af1654d-214a-4f9d-9467-9b3d19f93633} deleted successfully
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully
HKEY_CLASSES_ROOT\CLSID\{4af1654d-214a-4f9d-9467-9b3d19f93633} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4af1654d-214a-4f9d-9467-9b3d19f93633} deleted successfully

==== Deleting CLSID Registry Values ======================

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully
HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully

==== Deleting Services ======================

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WebCakeUpdater deleted successfully
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebCakeUpdater deleted successfully
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\WebCakeUpdater deleted successfully
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WebCakeUpdater deleted successfully

==== FireFox Fix ======================

ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\moujg13c.default

prefs.js not found
---- Lines delta removed from prefs.js ----


---- Lines delta modified from prefs.js ----


---- Lines delta removed from user.js ----


---- FireFox user.js and prefs.js backups ---- 

user__1712_.backup

ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default

---- Lines delta removed from prefs.js ----

user_pref("extensions.delta.admin", false);
user_pref("extensions.delta.aflt", "babsst");
user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
user_pref("extensions.delta.autoRvrt", "false");
user_pref("extensions.delta.bbDpng", "9");
user_pref("extensions.delta.cntry", "DE");
user_pref("extensions.delta.dfltLng", "de");
user_pref("extensions.delta.excTlbr", false);
user_pref("extensions.delta.ffxUnstlRst", true);
user_pref("extensions.delta.hdrMd5", "52657C1D1D2881B418AEEB16FB5A6172");
user_pref("extensions.delta.id", "dcce6c0600000000000000196696d3f7");
user_pref("extensions.delta.instlDay", "15926");
user_pref("extensions.delta.instlRef", "sst");
user_pref("extensions.delta.lastVrsnTs", "1.8.22.021:54:39");
user_pref("extensions.delta.newTab", false);
user_pref("extensions.delta.prdct", "delta");
user_pref("extensions.delta.prtnrId", "delta");
user_pref("extensions.delta.rvrt", "false");
user_pref("extensions.delta.sg", "azb");
user_pref("extensions.delta.smplGrp", "none");
user_pref("extensions.delta.tlbrId", "base");
user_pref("extensions.delta.tlbrSrchUrl", "");
user_pref("extensions.delta.vrsn", "1.8.22.0");
user_pref("extensions.delta.vrsnTs", "1.8.22.021:54:39");
user_pref("extensions.delta.vrsni", "1.8.22.0");
user_pref("extensions.delta_i.babExt", "");
user_pref("extensions.delta_i.babTrack", "affID=119357&tt=070813_wt3&tsp=4969");
user_pref("extensions.delta_i.srcExt", "ss");

---- Lines delta modified from prefs.js ----


---- Lines delta removed from user.js ----

user_pref("extensions.delta.tlbrSrchUrl", "");
user_pref("extensions.delta.id", "dcce6c0600000000000000196696d3f7");
user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
user_pref("extensions.delta.instlDay", "15926");
user_pref("extensions.delta.vrsn", "1.8.22.0");
user_pref("extensions.delta.vrsni", "1.8.22.0");
user_pref("extensions.delta.vrsnTs", "1.8.22.021:54:39");
user_pref("extensions.delta.prtnrId", "delta");
user_pref("extensions.delta.prdct", "delta");
user_pref("extensions.delta.aflt", "babsst");
user_pref("extensions.delta.smplGrp", "none");
user_pref("extensions.delta.tlbrId", "base");
user_pref("extensions.delta.instlRef", "sst");
user_pref("extensions.delta.dfltLng", "de");
user_pref("extensions.delta.excTlbr", false);
user_pref("extensions.delta.ffxUnstlRst", true);
user_pref("extensions.delta.admin", false);
user_pref("extensions.delta_i.babTrack", "affID=119357&tt=070813_wt3&tsp=4969");
user_pref("extensions.delta_i.babExt", "");
user_pref("extensions.delta_i.srcExt", "ss");
user_pref("extensions.delta.autoRvrt", "false");
user_pref("extensions.delta.rvrt", "false");
user_pref("extensions.delta.newTab", false);

---- FireFox user.js and prefs.js backups ---- 

user__1712_.backup
prefs__1712_.backup

==== Registry Fix Code ======================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"bProtectTabs"=-

==== Deleting Files \ Folders ======================

"C:\WINDOWS\Tasks\TubeSaver Update.job" deleted
"C:\WINDOWS\000001_.tmp" deleted
"C:\WINDOWS\002885_.tmp" deleted
"C:\WINDOWS\DUMP6d50.tmp" deleted
"C:\WINDOWS\SET1E.tmp" deleted
"C:\WINDOWS\SET21.tmp" deleted
"C:\WINDOWS\SET2D.tmp" deleted
"C:\WINDOWS\SET3.tmp" deleted
"C:\WINDOWS\SET4.tmp" deleted
"C:\WINDOWS\SET8.tmp" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\searchplugins\BrowserDefender.xml" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\searchplugins\babylon.xml" deleted
"C:\Programme\Web Cake\WebCakeDesktop.Updater.exe" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Web Cake\WebCakeDesktop.exe" deleted
"C:\Programme\Mozilla Firefox\extensions\ffxtlbr@babylon.com" deleted
"C:\Programme\TubeSaver" deleted
"C:\Programme\Web Cake" not deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Web Cake" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Babylon" deleted

==== Files Recently Created / Modified ======================

====== C:\WINDOWS ====
====== C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp ====
2013-08-16 14:12:51	6A747909042773393AE74A5F956BD1B5	600467	----a-w-	C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\tbsTMP.exe
2013-08-09 12:16:57	DB521C3DC7B679226322033B09719ECA	339440	----a-w-	C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uninst1.exe
2013-08-05 13:50:40	F3C2182708762D607620DAC6508DE075	8704	----a-w-	C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gjo3wq1r.dll
====== C:\WINDOWS\system32 =====
2013-08-09 16:14:23	89B23B4BE691942072E0E3F7EDEB33B6	1676288	------w-	C:\WINDOWS\System32\xpssvcs.dll
2013-08-09 16:14:23	81C4B0077427391D582FBB1B6B9578CB	575488	------w-	C:\WINDOWS\System32\xpsshhdr.dll
2013-08-09 16:14:23	180E1D44727EB72CB11EC5953C5E4C52	117760	------w-	C:\WINDOWS\System32\prntvpt.dll
2013-08-06 23:44:09	066F7FCCA265D01A5B7EAF41ADE789B1	14640	------w-	C:\WINDOWS\System32\spmsgXP_2k3.dll
2013-08-05 14:05:08	81D9BCCEB78795CD0315B24960F2D130	1112288	----a-w-	C:\WINDOWS\System32\WdfCoInstaller01007.dll
2013-08-05 14:05:08	3C10EA3DDAE7923D023D26EA41656163	581192	----a-w-	C:\WINDOWS\System32\WinUSBCoInstaller.dll
2013-08-05 14:02:00	DDEE99DC54EFA20BD5A442CD733C4462	37344	----a-w-	C:\WINDOWS\System32\FsUsbExDisk.Sys
2013-08-05 14:02:00	C83C84DAE3B901BF404D36F304B00FA0	110592	----a-w-	C:\WINDOWS\System32\FsUsbExDevice.Dll
2013-08-05 14:02:00	0796C1E47ADB9825269E64B9DAB4E741	233472	----a-w-	C:\WINDOWS\System32\FsUsbExService.Exe
====== C:\WINDOWS\system32\drivers =====
2013-08-06 23:44:52	D41D8CD98F00B204E9800998ECF8427E	0	---ha-w-	C:\WINDOWS\System32\drivers\Msft_Kernel_WinUSB_01007.Wdf
2013-08-06 23:44:14	D41D8CD98F00B204E9800998ECF8427E	0	---ha-w-	C:\WINDOWS\System32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2013-08-05 14:05:10	D2C02234E3E87EA5FE420F045068099B	181912	----a-w-	C:\WINDOWS\System32\drivers\ssudmdm.sys
2013-08-05 14:05:09	54D0B8343CE8C22412A5F29D32EFD211	84248	----a-w-	C:\WINDOWS\System32\drivers\ssudbus.sys
====== C:\WINDOWS\Tasks ======
====== C:\WINDOWS\Temp ======
======= C:\Programme =====
2013-08-12 09:50:04	--------	d-----w-	C:\Programme\JDownloader
2013-08-09 19:53:37	--------	d-----w-	C:\Programme\Web Cake
2013-08-09 16:15:02	--------	d-----w-	C:\Programme\MSBuild
2013-08-09 16:14:53	--------	d-----w-	C:\Programme\Reference Assemblies
2013-08-06 23:59:52	--------	d-----w-	C:\Programme\MyPhoneExplorer
2013-08-06 23:39:21	--------	d-----w-	C:\Programme\ClockworkMod
2013-08-06 23:07:38	--------	d-----w-	C:\Programme\Microsoft.NET
======= C: =====
====== C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten ======
2013-08-09 19:53:29	--------	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
2013-08-07 00:08:54	--------	d-----w-	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MyPhoneExplorer
2013-08-06 23:59:59	--------	d-----w-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
====== C:\Dokumente und Einstellungen\Administrator ======
2013-08-12 09:22:14	7251634C9F0E9822CB9692AD5898D803	2828552	----a-w-	C:\Dokumente und Einstellungen\Administrator\Desktop\avast-browser-cleanup_8.0.1484.29.exe
2013-08-06 23:40:40	--------	d-----w-	C:\Dokumente und Einstellungen\Administrator\.android

====== C: exe-files ==
2013-08-16 14:12:51	6A747909042773393AE74A5F956BD1B5	600467	----a-w-	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tbsTMP.exe
2013-08-12 09:50:26	06ED7467CC20894D6CC41B3E1D2DC11A	28077	----a-w-	C:\Programme\JDownloader\.install4j\i4jdel.exe
2013-08-12 09:50:25	E8A1C695DDE33CD65B47D78602DA0220	399864	----a-w-	C:\Programme\JDownloader\tools\Windows\kikin\kikin_installer.exe
2013-08-12 09:50:25	CB5D1AD8C3F3770F75AE59915025F212	12800	----a-w-	C:\Programme\JDownloader\plugins\jdshutdown\windows\shutdown.exe
2013-08-12 09:50:25	52BCBC66FBBD96A34E44F02152369A36	204288	----a-w-	C:\Programme\JDownloader\tools\Windows\unrarw32\unrar.exe
2013-08-12 09:50:04	E6D11BA458CD9146F6763259F9D59F97	218816	----a-w-	C:\Programme\JDownloader\JDownloaderBETA.exe
2013-08-12 09:50:04	DC75715A9C20EC7336DA7BFA8D18251A	219264	----a-w-	C:\Programme\JDownloader\JDownloaderPortable.exe
2013-08-12 09:50:04	776F36BFDEBC0F6D2DBE88AA5196B9DA	218816	----a-w-	C:\Programme\JDownloader\JDownloaderD3D.exe
2013-08-12 09:50:04	5EF0842E24B018CE45EE73DCB505CFDE	343168	----a-w-	C:\Programme\JDownloader\JDUninstall.exe
2013-08-12 09:50:04	5061F57926D36662E4B139D2282D79D0	214528	----a-w-	C:\Programme\JDownloader\JDownloader.exe
2013-08-12 09:50:04	1A4AF1055C256611CEFD2FE3730EBCB6	646272	----a-w-	C:\Programme\JDownloader\JDUpdate.exe
2013-08-12 09:48:35	C2F5932594FEEEFAAE5EF490CF9AC203	633984	----a-w-	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T3J5QTG0\JDownloaderSetup_CH2[1].exe
2013-08-12 09:22:14	7251634C9F0E9822CB9692AD5898D803	2828552	----a-w-	C:\Dokumente und Einstellungen\Administrator\Desktop\avast-browser-cleanup_8.0.1484.29.exe
2013-08-10 00:29:17	D41D8CD98F00B204E9800998ECF8427E	0	----a-w-	C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y9SDM9\dotnetfx35setup[2].exe
2013-08-09 19:53:36	5A8222C703B4A34F2227A652A49A2827	227984	--s---r-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe
2013-08-09 19:53:32	613066A32228AEA2052677E499142A8C	1239104	----a-w-	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9H7AKXQP\WebCakesetup[1].exe
2013-08-09 19:53:29	5A8222C703B4A34F2227A652A49A2827	227984	--s---r-	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.exe
2013-08-09 19:52:58	833BECF3011B56C1FF2094984D9778D8	633984	----a-w-	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JRAOQ3WX\JDownloaderSetup_CH3[1].exe
2013-08-09 16:14:23	9CAC2BEE7724FC829567400EE751856A	597504	-c----w-	C:\WINDOWS\system32\dllcache\printfilterpipelinesvc.exe
2013-08-09 16:14:23	9CAC2BEE7724FC829567400EE751856A	597504	------w-	C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2013-08-09 16:14:12	D41D8CD98F00B204E9800998ECF8427E	0	----a-w-	C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9Y9SDM9\dotnetfx35setup[1].exe
=== C: other files ==
2013-08-12 17:35:05	8509EEA4A393B909B7056BE8FBF55948	21545	----a-w-	C:\Programme\JDownloader\backup\database.zip
2013-08-12 09:52:39	2B898F04740B4ACB751F12A8D5DA3132	76608	----a-w-	C:\Programme\JDownloader\tmp\update.zip
2013-08-12 09:50:26	8A60A14AA845102D0D3C681077FC48AD	322940	----a-w-	C:\Programme\JDownloader\tools\flashgot.xpi
2013-08-12 09:50:26	40BE927F5CE407EFF91EF302911AA4EE	66	----a-w-	C:\Programme\JDownloader\windows_restore.bat

==== Startup Registry Enabled ======================

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"Google Update"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe /c"
"WebCake Desktop"="C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Web Cake\WebCakeDesktop.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe"
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe"
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Adobe ARM"="C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe -startgui"
"AllShareAgent"="C:\Programme\Samsung\AllShare\AllShareAgent.exe"
"avgnt"="C:\Programme\Avira\AntiVir Desktop\avgnt.exe /min"
"SunJavaUpdateSched"="C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="cmd.exe /c start hxxp://www.avg.de/de.special-uninstallation-feedback-appf?lic=NFVORUYtUEI2M0YtWDlaQVMtQU8zVEItSEk5Sk8tM0xQMkM&inst=NzctNzgzNDkxMDE5LVNUMTJGQVBQKzEtRERUKzA&prod=90&ver=2012.0.1831&mid=f9f941b2299a47d1aa6dd15020723a04-ad1491be2ce6c122f6b66faa90e70c2decf7d34c"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"Google Update"="C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe /c"
"WebCake Desktop"="C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Web Cake\WebCakeDesktop.exe"

==== Startup Registry Disabled ======================

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KiesAirMessage"
"hkey"="HKCU"
"command"="C:\\Programme\\Samsung\\Kies\\KiesAirMessage.exe -startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KiesPDLR"
"hkey"="HKCU"
"command"="C:\\Programme\\Samsung\\Kies\\External\\FirmwareUpdate\\KiesPDLR.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Kies"
"hkey"="HKCU"
"command"="C:\\Programme\\Samsung\\Kies\\Kies.exe /preload"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KiesTrayAgent"
"hkey"="HKLM"
"command"="C:\\Programme\\Samsung\\Kies\\KiesTrayAgent.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Lexmark X1100 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="lxbkbmgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl11]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVD11Serv"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD11\\PDVD11Serv.exe"


==== Startup Folders ======================


==== Task Scheduler Jobs ======================

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1343024091-1957994488-839522115-500Core.job --a------ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [02.06.2012 22:24]
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1343024091-1957994488-839522115-500UA.job --a------ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [02.06.2012 22:24]

==== Firefox Extensions ======================

ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\moujg13c.default
- WebCake - %ProfilePath%\extensions\plugin@getwebcake.com

ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default
- Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
- TubeSaver - %ProfilePath%\extensions\125
- ProxTube - Gesperrte YouTube Videos entsperren - %ProfilePath%\extensions\ich@maltegoetz.de
- WebCake - %ProfilePath%\extensions\plugin@getwebcake.com

==== Firefox Plugins ======================

Profilepath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default
0C8597DBC74AAF5179471BA013E3C6B4	- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll -	Shockwave Flash
101700E93EB905992B518256CB441829	- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.153\npGoogleUpdate3.dll -	Google Update
ABCB4A6EAB701C629378255ABCB308E5	- C:\Programme\Java\jre7\bin\plugin2\npjp2.dll -	Java(TM) Platform SE 7 U25
D7324EB1EDCB8990F8522DE0311359E9	- C:\WINDOWS\system32\npDeployJava1.dll -	Java Deployment Toolkit 7.0.250.17
F045DF7AF127DC4BCC53421850114E15	- C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrl.dll -	Silverlight Plug-In
F833DD5D8F959819F44BC98F47B1B6BB	- C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll -	Adobe Acrobat
65D09D8BC91D74C8800725EB33D1EE1B	- C:\Programme\Adobe\Reader 10.0\Reader\browser\nppdf32.dll -	Adobe Acrobat
75300E5ED4CD5B4363C3DBBB2D03269C	- C:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMSS.dll -	McAfee Security Scanner +
AB87EEFFD18F2BAAFC274E7075EA6C67	- C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll -	Windows Presentation Foundation / Windows Presentation Foundation
F630B4A9D9C1AAF6BBABBB41E9BD45B5	- C:\WINDOWS\system32\npptools.dll -	Betriebssystem Microsoft® Windows®
7D28153B7D586330678AD522B71D89CB	- C:\Programme\Microsoft Silverlight\5.1.20513.0\npctrlui.dll -	Microsoft® Silverlight


==== Deleting Files \ Folders ======================

"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\moujg13c.default\extensions\plugin@getwebcake.com" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\extensions\125" deleted
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\extensions\plugin@getwebcake.com" deleted

==== Chrome Look ======================

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions
fjoijdanhaiflhibkljeklcghcmmfffh - C:\Programme\Web Cake\WebCakeLayers.crx[]
lifbcibllhkdhoafpjfnlhfpfgnpldfl - C:\Programme\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx[02.10.2012 13:14]
ojcdnngpmbenohhjlickdajclhbcaada - C:\Programme\TubeSaver\128.crx[]

ProxTube - Administrator - Default\Extensions\aakchaleigkohafkfjfjbblobjifikek
YouTube - Administrator - Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo
Google Search - Administrator - Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
Skype Click to Call - Administrator - Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl
Gmail - Administrator - Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia

==== Set IE to Default ======================

Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://www.bing.com"
"Search Bar"="hxxp://www.bing.com"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"

New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"="hxxp://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="hxxp://www.bing.com"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"

==== All HKCU SearchScopes ======================

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Unknown  Url="hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC"
{6A1806CD-94D4-4689-BA73-E35EA1EA9990} Google  Url="hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}"
{95B7759C-8C7F-4BF1-B163-73684A933233} AVG Secure Search Url="hxxp://isearch.avg.com/search?cid={DC0A5C14-E937-43E4-9960-95F71785C70B}&mid=f9f941b2299a47d1aa6dd15020723a04-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=AVG&pr=fr&d=&v=&sap=dsp&q={searchTerms}"

==== Deleting CLSID Registry Keys ======================

HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} deleted successfully
HKEY_USERS\S-1-5-21-1343024091-1957994488-839522115-500\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} deleted successfully
HKEY_CLASSES_ROOT\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} deleted successfully
HKEY_CLASSES_ROOT\CLSID\{d5e4b043-b728-490d-acf1-308b9df44564} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d5e4b043-b728-490d-acf1-308b9df44564} deleted successfully

==== Deleting CLSID Registry Values ======================


==== Deleting Registry Keys ======================

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\ojcdnngpmbenohhjlickdajclhbcaada deleted successfully

==== Empty IE Cache ======================

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5 emptied successfully
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5 emptied successfully
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5 emptied successfully
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5 emptied successfully
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5 emptied successfully
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat will be deleted at reboot
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat will be deleted at reboot

==== Empty FireFox Cache ======================

No FireFox Cache found

==== Empty Chrome Cache ======================

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache emptied successfully
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Application Cache\Cache emptied successfully

==== Empty All Flash Cache ======================

Flash Cache Emptied Successfully

==== Empty All Java Cache ======================

Java Cache cleared successfully

==== After Reboot ======================

==== Empty Temp Folders ======================

C:\WINDOWS\Temp successfully emptied
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp successfully emptied

==== Empty Recycle Bin ======================

C:\RECYCLER successfully emptied

==== Deleting Files / Folders ======================

"C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat" not found
"C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat" not found
"C:\Programme\Web Cake"  not found

==== EOF on 16.08.2013 at 17:19:56,90 ======================

Wannekakki · 16.08.2013, 17:33

Danke das du mir hilfst. Echt toll.

Code:

ATTFilter

# AdwCleaner v2.306 - Datei am 16/08/2013 um 18:21:41 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Administrator - KAKKISTATION
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Desinfiziert : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
Datei Desinfiziert : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
Datei Desinfiziert : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
Datei Desinfiziert : C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Internet Explorer.lnk
Datei Desinfiziert : C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör\Systemprogramme\Internet Explorer (ohne Add-Ons).lnk
Datei Desinfiziert : C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\foxydeal.sqlite
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\searchplugins\11-suche.xml
Datei Gelöscht : C:\Programme\Mozilla FireFox\searchplugins\qvo6.xml
Gelöscht mit Neustart : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eSafe
Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\eIntaller
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
Ordner Gelöscht : C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar

***** [Registrierungsdatenbank] *****

Daten Gelöscht : HKLM\...\StartMenuInternet\FIREFOX.EXE [(Default)] = C:\Programme\Mozilla Firefox\firefox.exe hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919
Daten Gelöscht : HKLM\...\StartMenuInternet\Google Chrome [(Default)] = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe" hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919
Daten Gelöscht : HKLM\...\StartMenuInternet\IEXPLORE.EXE [(Default)] = C:\Programme\Internet Explorer\iexplore.exe hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919
Schlüssel Gelöscht : HKCU\Software\BabSolution
Schlüssel Gelöscht : HKCU\Software\Cr_Installer
Schlüssel Gelöscht : HKCU\Software\Crossrider
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar
Schlüssel Gelöscht : HKCU\Software\Delta
Schlüssel Gelöscht : HKCU\Software\delta LTD
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\Wajam
Schlüssel Gelöscht : HKLM\Software\BabylonToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\secman.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\WebCakeIEClient.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WebCakeIEClient.Api
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WebCakeIEClient.Api.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WebCakeIEClient.Layers
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\WebCakeIEClient.Layers.1
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\Software\Delta
Schlüssel Gelöscht : HKLM\Software\eSafeSecControl
Schlüssel Gelöscht : HKLM\SOFTWARE\f558d8cb26fec47
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Tubesaver@istqt.co
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tubesaver@istqt.co
Schlüssel Gelöscht : HKLM\Software\qvo6Software
Schlüssel Gelöscht : HKLM\Software\systweak
Schlüssel Gelöscht : HKLM\Software\Tarma Installer
Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [WebCake Desktop]
Wert Gelöscht : HKCU\Software\Mozilla\Firefox\Extensions [Tubesaver@istqt.co]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - CustomizeSearch] = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMRE&ts=1376669919 --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\moujg13c.default\prefs.js

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\moujg13c.default\user.js ... Gelöscht !

[OK] Die Datei ist sauber.

Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\prefs.js

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\z75ot5uz.default\user.js ... Gelöscht !

Gelöscht : user_pref("browser.startup.homepage", "hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid[...]
Gelöscht : user_pref("browser.search.defaultenginename", "qvo6");
Gelöscht : user_pref("browser.search.order.1", "qvo6");
Gelöscht : user_pref("browser.search.selectedEngine", "qvo6");

-\\ Google Chrome v28.0.1500.95

Datei : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.44] : keyword = "qvo6",
Gelöscht [l.48] : search_url = "hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y1[...]
Gelöscht [l.2285] : homepage = "hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=MaxtorX6Y160P0_Y47NBMR[...]
Gelöscht [l.2457] : urls_to_restore_on_startup = [ "hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid[...]

*************************

AdwCleaner[S1].txt - [10429 octets] - [16/08/2013 18:21:41]

########## EOF - C:\AdwCleaner[S1].txt - [10490 octets] ##########

smeenk · 16.08.2013, 17:46

Es sollte jetzt Verbesserung spürbar sein müssen

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Wannekakki · 16.08.2013, 19:29

Malwarebytes Anti-Rootkit hat wohl nicht gefunden

Der Scan starte auch erst nach nem Neustart, zuvor kam eine Fehlermeldung das ein Treiber fehlen würde. Nach dem Neustart lies sich der Scan dann durchführen.

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org

Database version: v2013.08.16.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: KAKKISTATION [administrator]

16.08.2013 20:04:32
mbar-log-2013-08-16 (20-04-32).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 205515
Time elapsed: 8 minute(s), 2 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Der SecurityCheck lief dann ohne weiteres:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.72  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Avira Desktop   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 JavaFX 2.1.0    
 Java 7 Update 25  
 Adobe Flash Player 	11.8.800.94  
 Adobe Reader 10.1.7 Adobe Reader out of Date!  
 Mozilla Firefox 22.0 Firefox out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

Vielen Dank für weitere Hilfe!

smeenk · 16.08.2013, 20:16

Eigentlich is es ganz gut das keine Probleme angezeigt werden

Merkst Du momentan noch einige Probleme?

Wannekakki · 16.08.2013, 20:56

Soweit läuft es recht gut. Allerdings bei Neustart des Rechners, öffnet sich ein Dos Fenster. Dies bleibt so 1-2 Minuten und dann schließt es sich und erst dann kann ich arbeiten....hmm

smeenk · 16.08.2013, 21:59

Zitat:

Zitat von Wannekakki

Allerdings bei Neustart des Rechners, öffnet sich ein Dos Fenster. Dies bleibt so 1-2 Minuten und dann schließt es sich und erst dann kann ich arbeiten....hmm

Das ist komisch, wir werden uns das mal genauer ansehen

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Wannekakki · 16.08.2013, 22:51

Die Combofix habe ich durchlaufen lassen. Allerdings finde ich die Logfile nicht.
Gehe ich auf den Arbeitsplatz und dann auf C:, dann kann ich eine Datei Namens ComboFix anklicken, mit dem Symbol eines Monitors, anstatt eines Ordners. Mache ich dies, sieht der Ordnerinhalt aus wie mein Arbeitsplatz. Klicke ich dann wieder auf C:, sping er einen Ordner zurück.....

Sehr sehr Merkwürdig!!!???

Was Nun?

smeenk · 16.08.2013, 23:14

Drehe Combofix noch einmal, vielleicht wird der Logfile beim zweiten Versuch doch erstellt.

Wannekakki · 16.08.2013, 23:17

Leider negativ

smeenk · 16.08.2013, 23:26

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Scan.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

16.08.2013, 20:16	#9
smeenk /// Malwareteam / Visitor	TubeSaver Virus entfernen Eigentlich is es ganz gut das keine Probleme angezeigt werden Merkst Du momentan noch einige Probleme?

16.08.2013, 23:14	#13
smeenk /// Malwareteam / Visitor	TubeSaver Virus entfernen Drehe Combofix noch einmal, vielleicht wird der Logfile beim zweiten Versuch doch erstellt.

TubeSaver Virus entfernen

Plagegeister aller Art und deren Bekämpfung: TubeSaver Virus entfernen