Hallo Leute,

ich brauche ganz dringend Eure Hilfe. Ich habe einen Scan mit KIS 2010 gemacht, der hat mir nichts angezeigt und auch Spybot hat nichts gefunden. Allerdings verhält sich mein Rechner ziemlich merkwürdig. Es verschwinden plötzlich die Dateien in den Ordnern auf der Platte, es hängt ständig alles und ab und zu sieht man, wie einer was mit Unlocker löscht, obwohl ich den deinstalliert habe. Ich habe mal einen Scan mit HijackThis gemacht: Kann bitte mal einer darüber schauen, ob da etwas zu sehen ist?

Schonmal lieben Dank im Voraus!

Code: Alles auswählenAufklappen

ATTFilter

 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:23, on 11.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\System Control Manager\edd.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Unlocker\Unlocker.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\mozilla firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://***/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.***
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218617156031
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
         

Ich hoffe, ich habe alles Private rausedieitert.

Ich habe Malwarebytes jetzt noch drüberlaufen lassen. Er hat einen Trojan. Downloader gefunden. Könnt Ihr bitte mal schauen, ob er ihn entfernt hat?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3976

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 16:29:37
mbam-log-2010-04-11 (16-29-37).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 119635
Laufzeit: 7 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Desktop\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
         

Hat er sich über den Flashplayer eingeschlichen?

Seltsamerweise habe ich trotzdem noch ein merkwürdiges Verhalten. Malwarebytes hat nichts mehr gefunden, aber die Dateien, die der Hacker mir gelöscht hat, sind noch im Papierkorb. Aber er verweigert mir den Zugriff. Ich kann sie nicht wiederherstellen.
Genausowenig in dem Ordner, wo er rumgelöscht hat. Da sind auch einige Sachen, die kann ich nichtmal mehr verschieben, geschweige denn löschen. Was kann das denn sein? Immer: Zugriff verweigert. Oder schauen SIe, ob die Dateien nicht schreibgeschützt sind oder gerade verwendet werden.

Kann mir denn hier keiner helfen? Gefunden wurde nichts mehr, aber trotzdem habe ich noch dauernd Programmabstürze, bzw. wenn ich was öffnen oder schließen will, kommt die Sanduhr und es heißt: Keine Rückmeldung.

Ich weiß ja auch nicht, was der Hacker für einen Schaden auf dem Rechner angerichtet hat, außer daß er diverse Sachen einfach gelöscht und in den Papierkorb verschoben hat. Es gibt aber sicher auch Programme, die er gelöscht hat. Da hat er gelöscht, auch was dekomprimiert. Und viel mit Unlocker einfach gelöscht. ( Den hab ich jetzt sofort wieder deinstalliert. War er ja erst auch, aber der Typ hatte es so geschafft, daß er ihn gleich wieder aktivieren konnte. Obwohl, als der Trojaner drauf war, war das Symbol vom Nero auf dem Desktop leer und jetzt ist es wieder da, als wäre nichts gewesen.

Und was noch größerer Mist ist: Die Dateien, die der Hacker gelöscht hat, sind im Papierkorb. Nur leider vom Admin. Ich kann sie jetzt als normaler Benutzer nicht herstellen, weil es ein ganz anderer Papierkorb ist. Schon blöd. Und als Admin will er sie mich nicht wiederherstellen lassen. Was auch komisch ist. Wo man als Admin doch eigentlich Universalrechte hat. Nur, wie komme ich jetzt doch noch an den Papierkorb vom Admin, wo er sie reingeschoben hat?

Ist das Logfile denn jetzt in Ordnung? Ich scanne jetzt alle paar Stunden mit Malwarebytes. Bisher nichts mehr gefunden. Kann mir einer bestätigen, daß ich jetzt sauber bin?

Und noch eine Frage: Ich hatte vorhin eine Meldung: WLAN ( unsicher ). Sollte ich mir einen neuen Router kaufen?

Und der Hohn ist, ich surfe ausschlißlich über die gesicherte Umgebung von KIS 2010. Wie kann er das trotzdem umgehen?

Hallo,

bitte einen Scan mit OTL durchführen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Kann ich es bei Windows XP auch als normaler Benutzer ausführen oder muß ich als Admin rein?

Ja, wenn möglich schon.

So hier ist das Log als Admin. Er hat nur das hier gemacht:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 13.04.2010 20:44:20 - Run 1
OTL by OldTimer - Version 3.2.1.1     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 270,00 Mb Available Physical Memory | 26,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 64,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 108,85 Gb Total Space | 78,57 Gb Free Space | 72,18% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ****
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\CDBurnerXP\cdbxpp.exe (Canneverbe Limited)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\System Control Manager\MGSysCtrl.exe (MSI)
PRC - C:\WINDOWS\vsnp2std.exe (Sonix)
PRC - C:\Programme\System Control Manager\edd.exe ()
PRC - C:\Programme\FinePixViewer\QuickDCF.exe (FUJI PHOTO FILM CO., LTD.)
PRC - C:\WINDOWS\system32\o2flash.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\****\Eigene Dateien\OTL.exe (OldTimer Tools)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (AVP) -- C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe (Kaspersky Lab)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)
SRV - (NishService) -- C:\Programme\System Control Manager\edd.exe ()
SRV - (O2Flash) -- C:\WINDOWS\system32\o2flash.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (KLIF) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (kl1) -- C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Lab)
DRV - (klmouflt) -- C:\WINDOWS\system32\drivers\klmouflt.sys (Kaspersky Lab)
DRV - (klim5) -- C:\WINDOWS\system32\drivers\klim5.sys (Kaspersky Lab)
DRV - (klbg) -- C:\WINDOWS\system32\drivers\klbg.sys (Kaspersky Lab)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (RT61) -- C:\WINDOWS\system32\drivers\rt61.sys (Ralink Technology Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (MGHwCtrl) -- C:\WINDOWS\system32\drivers\MGHwCtrl.sys (Windows (R) 2000 DDK provider)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (RT2500) -- C:\WINDOWS\system32\drivers\RT2500.sys (Ralink Technology Inc.)
DRV - (ATSWPDRV) AuthenTec TruePrint USB Driver (AES2500) -- C:\WINDOWS\system32\drivers\atswpdrv.sys (AuthenTec, Inc.)
DRV - (SNP2STD) USB2.0 PC Camera (SNP2STD) -- C:\WINDOWS\system32\drivers\snp2sxp.sys ()
DRV - (nvsmu) -- C:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (O2MDRDR) -- C:\WINDOWS\system32\DRIVERS\o2media.sys (O2Micro )
DRV - (O2SDRDR) -- C:\WINDOWS\system32\DRIVERS\o2sd.sys (O2Micro )
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (cdrbsdrv) -- C:\WINDOWS\system32\drivers\CDRBSDRV.SYS (B.H.A Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www****
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.459
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.13 16:44:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.13 16:44:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\{eea12ec4-729d-4703-bc37-106ce9879ce2}: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\THBExt [2009.08.04 11:02:59 | 000,000,000 | ---D | M]
 
[2009.11.29 22:18:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***** \Anwendungsdaten\Mozilla\Extensions
[2010.04.13 17:54:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\**** \Anwendungsdaten\Mozilla\Firefox\Profiles\5kc1fvxv.default\extensions
[2010.02.28 21:16:08 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\**** \Anwendungsdaten\Mozilla\Firefox\Profiles\5kc1fvxv.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.13 17:54:47 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.04 11:03:45 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\***.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.10 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll (Kaspersky Lab)
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AVP] C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe (Kaspersky Lab)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe (MSI)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe (Sonix)
O4 - HKLM..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe (FUJI PHOTO FILM CO., LTD.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm ()
O9 - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O9 - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update****/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218617156031 (WUWebControl Class)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\mzvkbd3.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll) - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\kloehk.dll (Kaspersky Lab)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Kaspersky Lab)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\**** \Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.11 04:35:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{eb951a39-58da-11db-8b1e-0013d35d4a9d}\Shell\AutoRun\command - "" = driver\cdsetup.exe
O33 - MountPoints2\{eb951a3a-58da-11db-8b1e-0013d35d4a9d}\Shell\AutoRun\command - "" = driver\cdsetup.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.04.13 17:13:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**** Eigene Dateien\Alles Laptop
[2010.04.11 23:49:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
[2010.04.11 23:48:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2010.04.11 23:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2010.04.11 23:11:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\**** \Anwendungsdaten\AdobeUM
[2010.04.11 16:18:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Anwendungsdaten\Malwarebytes
[2010.04.11 16:16:16 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.11 16:16:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.11 16:16:13 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.11 16:16:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.11 14:53:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\Neue Sachen
[2010.04.11 02:21:18 | 000,000,000 | ---D | C] -- C:\Programme\Unlocker
[2010.04.10 20:14:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Anwendungsdaten\Macromedia
[2010.04.10 17:20:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canneverbe_Limited
[2010.04.10 17:20:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\CDBurnerXP Projects
[2010.04.10 16:12:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****l \Lokale Einstellungen\Anwendungsdaten\Adobe
[2010.04.08 22:46:58 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*** \IECompatCache
[2010.04.08 22:43:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Anwendungsdaten\Adobe
[2010.04.08 22:42:54 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*** \PrivacIE
[2010.04.08 15:30:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\Downloads
[2010.03.31 19:36:44 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.03.31 19:35:36 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2008.08.20 16:38:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2008.08.13 11:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2006.10.11 04:38:50 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2006.10.11 04:38:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2006.10.11 04:35:15 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2002.02.02 12:56:49 | 000,053,248 | R--- | C] ( ) -- C:\WINDOWS\System32\csnp2std.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.04.13 20:42:48 | 000,051,048 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.04.13 18:22:15 | 000,462,840 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.13 18:22:15 | 000,444,362 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.13 18:22:15 | 000,072,238 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.13 18:22:14 | 001,078,396 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.13 18:22:14 | 000,085,694 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.13 18:21:05 | 001,835,008 | -H-- | M] () -- C:\Dokumente und Einstellungen\*** \NTUSER.DAT
[2010.04.13 18:21:05 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.04.13 16:44:53 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.04.13 16:28:52 | 000,000,444 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{00FBF64C-63EB-41E1-A776-44A7F87CD50B}.job
[2010.04.13 11:44:44 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.13 11:44:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.11 23:49:21 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.11 21:20:57 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.04.11 16:30:31 | 000,021,504 | ---- | M] () -- C:\Dokumente und Einstellungen\ ***\Eigene Dateien\Malware.doc
[2010.04.11 16:30:06 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\*** Desktop\Microsoft Office Word 2003.lnk
[2010.04.11 16:17:10 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.11 15:51:18 | 000,028,160 | ---- | M] () -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\Hijack.doc
[2010.04.11 00:22:41 | 000,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\ ***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.10 16:02:50 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.08 18:57:22 | 000,000,400 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010.03.31 19:47:45 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.03.30 00:46:30 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.30 00:45:52 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.04.11 23:49:20 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.04.11 16:30:31 | 000,021,504 | ---- | C] () -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\Malware.doc
[2010.04.11 16:17:10 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.11 15:51:17 | 000,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\*** \Eigene Dateien\Hijack.doc
[2010.04.11 00:22:46 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.04.11 00:22:33 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\*** \Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.08 22:46:55 | 000,000,444 | -H-- | C] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{00FBF64C-63EB-41E1-A776-44A7F87CD50B}.job
[2009.11.29 21:57:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\*** \Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.11.29 21:57:52 | 001,835,008 | -H-- | C] () -- C:\Dokumente und Einstellungen\*** \NTUSER.DAT
[2009.11.29 21:57:52 | 000,020,480 | -H-- | C] () -- C:\Dokumente und Einstellungen\*** \ntuser.dat.LOG
[2009.11.29 21:57:52 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\*** \ntuser.ini
[2008.08.13 14:33:49 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.08.13 11:33:26 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT
[2008.08.13 11:33:26 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG
[2006.10.11 05:40:53 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\MGHwCtrl.dll
[2006.10.11 05:40:53 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\MGFPCtrl.dll
[2006.10.11 05:40:53 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\MGPwrShm.dll
[2006.10.11 05:30:52 | 000,135,168 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.10.11 04:18:22 | 000,001,188 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.07.20 14:58:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.07.20 14:58:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.07.20 14:58:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.07.20 14:58:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.07.20 14:58:00 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2005.08.05 14:26:04 | 000,239,104 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005.01.21 06:02:00 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.02.03 06:02:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2002.02.02 12:59:30 | 000,006,702 | ---- | C] () -- C:\WINDOWS\System32\drivers\FlashSys.sys
[2002.02.02 12:56:49 | 000,015,497 | R--- | C] () -- C:\WINDOWS\snp2std.ini
[2002.02.02 12:56:43 | 010,301,056 | R--- | C] () -- C:\WINDOWS\System32\drivers\snp2sxp.sys
[2002.02.02 12:56:43 | 000,024,832 | R--- | C] () -- C:\WINDOWS\System32\drivers\sncamd.sys
< End of report >
         

Nichts verdächtiges zu sehen.
Bitte einen Rootkitscan mit GMER machen.

Das klingt ja schonmal beruhigend. Danke auf jeden Fall, Julian!

Allerdings hat sich der Laptop mitten im Gmer-Scan aufgehangen. Es ging nix mehr. Ich werde den Scan morgen nochmal machen und Dir dann berichten.

Hi,

ja das passiert manchmal bei GMER
Probiers noch einmal, sollte es nicht gehen, kannst du auch mit RootRepeal nach Rootkits suchen:

Rootkitscan mit RootRepeal

Lade RootRepeal.zip herunter und entpacke es auf Deinen Desktop

• Doppelklicke auf RootRepeal.exe um das Programm zu starten.
• Klicke auf den Reiter Report am unteren Ende des Programmfensters.
• Klicke den Scan Button.
• Wähle in dem Select Scan Dialog aus:
  • Drivers
  • Files
  • Processes
  • SSDT
  • Stealth Objects
  • Hidden Services
• Klicke auf OK
• Wähle in dem nächsten Dialog alle angezeigten Laufwerke aus.
• Klicke auf OK, um den Scan zu starten.
  
  Der Scan kann eine Zeit lang dauern. Starte keine anderen Programme, solange der Scan läuft.
• Wenn der Scan beendet ist, erscheint der Save Report Button.
• Klicke auf diesen und speichere den Bericht auf Deinen Desktop als RootRepeal.txt.
• Poste den Bericht bitte in Deiner nächsten Antwort.
• Gehe auf File, dann auf Exit, um das Programm zu beenden.

Julian, ich habe ein ganz dickes Problem. Ich kann das Logfile nicht anklicken, ich kann auch überhaupt kaum etwas anklicken, wenn ich auf Öffnen klicke oder Eigenschaften auf dem Desktop, kommt ewig nichts. Ich kann kaum etwas machen. Es hängt alles und ist ewig langsam. Jetzt läßt sich nichtmal mehr das Gmer öffnen. Immer heißt es dann: Keine Rückmeldung. Aber egal, wo ich bin. Immer Sanduhr und nix. Dann kam bei Eigenschaften kurz mal was, aber dann war ist sofort wieder verschwunden das Fenster. Sind das noch Nachwirkungen vom Keylogger, bzw. Angreifer? Dabei habe ich immer in der gesicherten Umgebung gesurft und bin immer nur als Benutzer rein. Ich habe auch keine Anhänge geöffnet, nichts. WIe kann der trotzdem auf meinem Rechner gelandet sein? Was muß man denn noch machen, damit man denen den Garaus macht? Die Kiste ist schon einmal plattgemacht worden dewegen. Jetzt war auch noch der Fachmann da, der hat mir jetzt komplett die I-Verbindung gekappt. Jetzt komme ich mit dem auch nicht mehr ins Netz. D.h. ich müßte dann den Funkschlüssel wieder neu eingeben, aber wenn der Angreifer noch da ist, könnte er ihn ja sehen. Das wäre ja zu riskant. Wie kriege ich das Ding bloß wieder zum Laufen? Du sagst ja selbst, es war nichts Verdächtiges zu sehen.

Den GMER-Scan hatte ich laufenlassen können, lief die ganze Nacht, aber dann hing er sich sofort wieder auf. Und jetzt hängt der ganze Laptop. Er ist übrigens schon 2-3 Jahre alt und hat einen AMD-Prozessor. Wenn das vielleicht hilft. Aber ich weiß mir keine MÖglichkeit mehr, Dir das Log zu zeigen, wenn sich alles aufhängt. Was soll ich machen? Hast Du eine Idee?

Kleiner Nachtrag: Es passiert NICHT als eingeschränkter Benutzer. Da kann ich alles machen, wie ich möchte. Nur nützt mir das ja nicht. Scans und so muß ich ja als Admin machen. Und wenn da alles blockiert ist, ist schon echt übel.

Hi,

RootRepeal kannst du auch nicht starten?

Lade mal bitte diese Datei:
C:\WINDOWS\imsins.BAK
bei Virustotal.com zur Auswertung hoch und poste mir den Ergebnislink.
Du kannst sie auch auf einen USB-Stick kopieren und von einem anderen Rechner hochladen - wenn du von dem Rechner nicht mehr ins Inet kommst.
Das ist wirklich die einzige aus dem OTL-Log bei der ich nicht 100%ig sicher bin, dass es unschädlich ist.

Du hattest den Rechner schon mal plattgemacht?
Du hast aber schon gründlich formatiert und nicht über die schnelle Variante?
Eine Formatierung überlebt egtl. kein Schädling...

Also, ich muß jetzt wieder etwas warten. Denn inzwischen hat sich was ergeben: Ich hatte mal defragmentiert, nun geht wieder alles etwas schneller und ich habe den GMER nochmal laufen. Aber ich versuche das alles hinzukriegen, was Du gesagt hast. Aber erstmal GMER, mal sehen, ob es diesmal klappt. Hoffe ich doch.

Aber wenn ich diese Datei hochlade, ist es dann nicht zu riskant, wenn ich sie auf den sauberen Rechner überspiele?

Ach nochwas: Als ich ScanDisk machen wollte, meinte er zu mir, daß er es nicht könnte, weil er bestimmte Windows-Dateien braucht. Wollen Sie es beim nächsten Systemstart durchführen?

Gut, also bist Du bei der einen Datei noch unsicher? Puh, klingt nicht gut. Mal sehen, wie ich es geschafft kriege, ohne mir gleich den sauberen Rechner zu verseuchen.

Ja, ich hatte schonmal so einen massiven Angriff vor 2 Jahren. Und da hatte ich den Laptop richtig plattmachen lassen. Nicht mit schneller Variante. Wirklich nicht. Richtig platt. Ich weiß auch nicht, wie er wieder draufkommen konnte. Es ist mir ein großes Rätsel.

Super!
Rootkitscan ist bei einem Keylogger-Verdacht so gut wie unvermeidbar.

Das macht nichts, die Datei ist nur eine Backup-Datei, also keine ausführbare.
Es gibt einen Virus imsins.exe (ist bei dir aber nicht zu finden), deshalbt möchte ich sehen, ob das evtl. ein Backup davon ist.

Gut innerhalb von 2 Jahren kann sich so etwas natürlich schon einschleichen.
Ursache wäre z.B. veraltete Software, wie z.B. ein veralteter Acrobat Reader:
C:\Programme\Adobe\Acrobat 7.0\
Aktuell ist im Moment Version 9.3