Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Polizeivirus Österreich vom 2.8.12 (https://www.trojaner-board.de/121125-polizeivirus-osterreich-2-8-12-a.html)

kasta63 03.08.2012 10:02
Polizeivirus Österreich vom 2.8.12
 
Hallo liebes Trojaner Board Team,

Ich habe mir gestern den Polizeivirus eingefangen.
Nachdem ich einige andere Erfahrungsberichte mit diesem Trojaner in eurem Forum gelesen habe, habe ich gestern Abend noch einen Quickscan mit Malwarebytes und heute Morgen einen vollständigen Scan mit OTL durchgeführt. Die Ergebnisse befinden sich im Anhang.

Vielen Dank für eure Hilfe
Alex

t'john 03.08.2012 14:15
:hallo:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

kasta63 03.08.2012 18:27
hi t'john,

danke erstmal für die schnelle antwort.
anbei die berichte der scans von malwarebytes und otl. da ich malwarebytes nicht aktualisieren konnte habe ich die mbam-rules.exe datei von dieser homepage verwendet. otl habe ich wie in deinem post angegeben durchgeführt aber nur ein logfile erhalten. die nicht im post angegebenen einstellungen von otl habe ich nicht verändert.

alex

t'john 04.08.2012 15:44
Dein Rechner hat eine sehr Spezielle Infektion!
Ein Kollege wird sich hier dazu melden ;)


Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
SRV:64bit: - (McAfee SiteAdvisor Service) -- C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc File not found
SRV:64bit: - (LanmanWorkstation) -- C:\Windows\SysNative\aptweznc9.dll (Works Ltd.)
SRV - (Update-Service) -- C:\Windows\SysWOW64\UpdSvc.dll (Joosoft.com GmbH)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=98946257-e6c7-11e0-a568-4487fca65022&q={searchTerms}
IE - HKLM\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:25455
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.gigabase.ru/search?q={searchTerms}&clid=1
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}: "URL" = http://findgala.com/?&uid=279&q={searchTerms}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\SearchScopes\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.defaulturl: "http://www.gigabase.ru/search?clid=1&q="
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.derstandard.at"
FF - prefs.js..keyword.URL: "http://www.gigabase.ru/search?clid=1&q="
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_270.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - Extension: Modul zur Link-Untersuchung = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
CHR - Extension: SweetIM for Facebook = C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3634259836-2012721684-112060795-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 2
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Web-Suche - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Windows\system32\d3dyvtieg.dll File not found
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2002.10.16 14:56:50 | 000,000,036 | RH-- | M] () - K:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell - "" = AutoRun
O33 - MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell - "" = AutoRun
O33 - MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\Shell\AutoRun\command - "" = N:\LaunchU3.exe -a

[2012.08.03 19:03:56 | 000,000,310 | -HS- | M] () -- C:\Windows\tasks\Zyhvtaeh.job
[2012.08.03 19:03:56 | 000,000,296 | ---- | M] () -- C:\Windows\tasks\BearShareNAG.job


[2012.08.03 18:37:07 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.08.03 18:19:22 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000UA.job
[2012.08.02 21:19:00 | 000,001,064 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000Core.job
[2012.07.22 22:07:38 | 000,000,446 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Alex.job
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

AHT 04.08.2012 18:50
t'john hat mich informiert, weil er bei dir eine Mediyes Infektion erkannt hat. Du hast den Trojaner mit ziemlicher Sicherheit schon recht lange auf dem Rechner. Es kann sein, dass du sehr plötzlich nicht mehr ins Internet kommst - ist das der Fall, probiere den 64Bit Internetexplorer - der geht dann noch.

Hast du das Script von t'john ausgeführt, hier melden.

kasta63 08.08.2012 23:18
hallo
erst einmal vielen dank dass du mir hilfst.
sorry dass ich mich erst heute melde aber es war etwas schwierig einen anderen pc zu organisieren und aus diesem grund konnte ich erst heute ins internet und den scan dann zu hause durchführen.
ich bin mit dem infizierten pc noch nicht ins internet gegangen.

anbei noch das logfile.

lg alex

Code:

��All processes killed

========== OTL ==========

Service McAfee SiteAdvisor Service stopped successfully!

Service McAfee SiteAdvisor Service deleted successfully!

File  C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe /McCoreSvc File not found not found.

Error: Unable to stop service LanmanWorkstation!

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation deleted successfully.

C:\Windows\SysNative\aptweznc9.dll moved successfully.

Service Update-Service stopped successfully!

Service Update-Service deleted successfully!

C:\Windows\SysWOW64\UpdSvc.dll moved successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ not found.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!

HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B99A74AF-F5CE-452C-A6C4-E4BB2ABC62FE}\ not found.

Registry key HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB12F0E4-2A10-4E96-93FF-0FE28C636131}\ not found.

HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

Prefs.js: "Web Search" removed from browser.search.defaultengine

Prefs.js: "Search the web" removed from browser.search.defaultenginename

Prefs.js: "hxxp://www.gigabase.ru/search?clid=1&q=" removed from browser.search.defaulturl

Prefs.js: "Search the web" removed from browser.search.order.1

Prefs.js: "Search the web" removed from browser.search.selectedEngine

Prefs.js: true removed from browser.search.useDBForOrder

Prefs.js: "www.derstandard.at" removed from browser.startup.homepage

Prefs.js: "hxxp://www.gigabase.ru/search?clid=1&q=" removed from keyword.URL

64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\zh-Hant folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\zh folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\vi folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\tr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sv folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr-Latn folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr-Cyrl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\sr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ru folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ro folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pt-BR folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pt folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\pl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\nl folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\nb folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\lv folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\lt folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ko folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\kk folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ja folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\it folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\id folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\hu folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fr folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fi folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\fa folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\et folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\es-MX folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\es folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\en folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\el folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\de folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\da folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\cs folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\bg folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales\ar folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\_locales folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\plugin folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\images folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\content_scripts folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0\background folder moved successfully.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.462_0 folder moved successfully.

File C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of not found.

C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0 folder moved successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3634259836-2012721684-112060795-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DivXUpdate deleted successfully.

C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe moved successfully.

Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xport to Microsoft Excel\ deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Se&nd to OneNote\ deleted successfully.

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web-Suche\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xport to Microsoft Excel\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Se&nd to OneNote\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web-Suche\ not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000010\ deleted successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.

64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File K:\autorun.inf not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45863d1f-7124-11e1-b75b-4487fca65022}\ not found.

File L:\LaunchU3.exe -a not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78f8bfd9-f7e8-11e0-ad81-4487fca65022}\ not found.

File N:\LaunchU3.exe -a not found.

C:\Windows\Tasks\Zyhvtaeh.job moved successfully.

C:\Windows\Tasks\BearShareNAG.job moved successfully.

C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully.

C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000UA.job moved successfully.

C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3634259836-2012721684-112060795-1000Core.job moved successfully.

C:\Windows\Tasks\Norton Security Scan for Alex.job moved successfully.

========== FILES ==========

< ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl sungscache wurde geleert.

C:\Users\Alex\Desktop\cmd.bat deleted successfully.

C:\Users\Alex\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Alex

->Temp folder emptied: 169451876 bytes

->Temporary Internet Files folder emptied: 6720374 bytes

->Java cache emptied: 443564 bytes

->FireFox cache emptied: 61723095 bytes

->Google Chrome cache emptied: 453449527 bytes

->Flash cache emptied: 19597 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 183179264 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes

RecycleBin emptied: 39094834528 bytes

 

Total Files Cleaned = 38.118,00 mb

 

 

[EMPTYFLASH]

 

User: Alex

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default

 

User: Default User

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.55.0 log created on 08092012_002227



Files\Folders moved on Reboot...

C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.



PendingFileRenameOperations files...

File C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!



Registry entries deleted on Reboot...

AHT 09.08.2012 06:34
Das tun:
  • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Danach hier möglichst online bleiben - bin ab 16:00 Uhr wieder hier.
Wir müssen dann etwas flott machen - es ist unter Umständen auf dem Rechner noch was aktiv und das kann jederzeit dazu führen, das du nicht mehr ins Internet kommst.

kasta63 09.08.2012 10:30
so habe den ppf scan ausgeführt. ich bleibe den gesamten tag online und werde ab 16.00 uhr bereit sein.

AHT 09.08.2012 12:49
  • PPFScan.exe starten.
  • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code:
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->
  • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
  • Klappt alles, startet sich der Rechner neu.
  • Einmal melden, ob der Rchner sich neu gestartet hat.
  • Es befinden sich dann im Ordner C:\PPF_Scan2 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Das Script verschiebt die Komponente des Trojaners, die bei dir noch läuft, in den Ordner PPFS_Sicherung.
Wir sind danach noch nicht fertig!
Wie es im Augenblick für mich aussieht hast du Probleme mit Mediyes bereits seit Dezeber 2011.

kasta63 09.08.2012 15:02
hey
ich habe das script mehrmals ausprobiert aber es ging nicht und ich habe folgende meldung erhalten:

Code:

#################################
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPF_Scan2\LanmanWorkstation.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->
#################################
Zeile 5: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation  existiert nicht!

AHT 09.08.2012 15:05
Das Script ausführen - genau die selbe Art:
Code:
CREATE_FOLDER->C:\PPFS_Sicherung
CREATE_FOLDER->C:\PPF_Scan2
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5>C:\PPF_Scan2\NameSpace_Catalog5.txt
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers>C:\PPF_Scan2\Telephony.txt

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->opera.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderID4
REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->ProviderFilename4
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NextProviderID
->5
SET_REGISTRY_DWORD_VALUE->HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
->NumProviders
->4

REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com

MOVE_FILE_ON_REBOOT->C:\Windows\system32\xpt6ygrx.tsp>C:\PPFS_Sicherung\xpt6ygrx.tsp
REBOOT->

kasta63 09.08.2012 15:13
es hat diesmal funktioniert.

AHT 09.08.2012 15:16
Das Script im PPFScanner ausführen - melden, wenn du das getan hast:
Code:
SEND_MESSAGE->89.166.237.105
->84
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->89.166.237.105
->84
->C:\PPFS_Sicherung

kasta63 09.08.2012 15:21
ausgeführt. eine frage dazu: hätte ich die internetverbindung vor dem ausführen des scripts bereits wieder herstellen sollen?

AHT 09.08.2012 15:23
Ja - Internetverbindung herstellen, Script dann noch mal ausführen - danach melden.
Das Script sendet mir die infizierte Datei zu.

kasta63 09.08.2012 15:25
sorry. habe das script noch einmal ausgeführt.

AHT 09.08.2012 15:27
Datei C:\PPFS_Sicherung\xpt6ygrx.tsp einmal hier hochladen: http://upload.trojaner-board.de/

Und hier auch: https://www.virustotal.com/
Link zu Ergebnis von Virustotal hier posten.

kasta63 09.08.2012 15:35
ich habe die datei auf die trojaner-board seite hochgeladen.

hier der link zum ergebnis von virustotal:
https://www.virustotal.com/file/7d0d03b5a173b6072b9ec3a58664da9880e0f0a7d5df89912768ae75258395fa/analysis/1344522805/

AHT 09.08.2012 15:40
Muss gerade noch ein Script schreiben und testen. Bei dir ist der Arbeitsstationsdienst vom Trojaner zerschossen worden. Ich versuche das zu reparieren. Treten später Fehler mit dem Dienst auf, musst du den Rechner neu aufsetzen.

Das Script im PPFScanner ausführen:
Code:
CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->http://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
Es öffenet sich danach eine Messagebox - lasse die Daten in die Registry eintragen. Melde dich, ob sich nach dem Ausführen die Messagebox öffnet.
Starte danach den Rechner neu.
Hast du ihn neu gestartet, nochmals hier melden.

kasta63 09.08.2012 15:54
das script hat nicht funktioniert. dies habe ich als antwort bekommen:

Code:

#################################
CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg


#################################
Zeile 1: CREATE_FOLDER->C:\PPFS_Tools
  Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

Zeile 2: DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
  Errorcode $800C0003: hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg > C:\PPFS_TOOLS\LANMAN_W7_64.REG
Zeile 3: OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
  Das System kann die angegebene Datei nicht finden.

Zeile 4:
Zeile 5:

AHT 09.08.2012 15:57
Folgende Datei herunterladen und ausführen: Lanman_W7_64.reg
Infos in Registry eintragen lassen, Rechner neu starten.
Hier danach melden.

kasta63 09.08.2012 15:59
ausgeführt

AHT 09.08.2012 16:00
Rehner einmal neu starten.

kasta63 09.08.2012 16:01
und neu gestartet

AHT 09.08.2012 16:03
Dann das noch einmal tun:
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Ich will schauen, ob sich der Mist zwischendurch nachgeladen hat.

kasta63 09.08.2012 16:30
Ich habe den Scan nochmals durchgeführt.

AHT 09.08.2012 16:40
Mediyes ist jetzt tot.
  • Ordner C:\PPFS_Sicherung löschen, Papierkorb leeren.
  • Alle alten Systemwiederherstellungspunkte löschen (sind seit 2011 alle infziert): Windows 7 - Die Systemwiederherstellung in Windows 7 deaktivieren
  • Zum Schluss alle Passwörter ändern. Warte aber erst noch auf t'john, ob er auf der Kiste noch was wegen BKA durchführen will.

Folgendes Script dann im PPFScanner ausführen (löscht Java Cache):
Code:
CREATE_FOLDER->C:\PPFS_Tools
CREATE_BATCH_FILE->C:\PPFS_Tools\DelJwCACHE.BAT
WRITE_BATCH->javaws -uninstall
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->firefox.exe
OPEN->C:\PPFS_Tools\DelJwCACHE.BAT
SLEEP->500
WAIT_FOR_TERMINATE->javaws.exe
END->

kasta63 09.08.2012 16:43
wow danke, danke und nochmals danke
du bist mein held!
kurze frage noch: alle von dir zuvor genannten punkte soll ich erst durchführen wenn t'john sich wieder gemeldet hat. habe ich das so richtig verstanden oder gilt dies nur für die ausführung des scripts?

AHT 09.08.2012 16:54
Warte erst mit allem, bis der andere Helfer sich meldet.
t'john fixt hier desöfteren BKA Sachen und ich weiß nicht genau, ob er diesbezüglich bei dir noch was ausführen möchte.
Ich musste das mit Mediyes dazwischenschieben - laufen noch Teile von Mediyes kann es jederzeit passieren, das du den Internetkontakt verlierst.

kasta63 09.08.2012 16:58
ok
nocheinmal vielen dank für deine hilfe

t'john 09.08.2012 17:01
Danke AHT :)



1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

kasta63 09.08.2012 17:54
hey t'john
ich habe beide scans durchführen lassen

t'john 10.08.2012 13:13
Wo ist das MBAM Log?

kasta63 10.08.2012 14:33
Liste der Anhänge anzeigen (Anzahl: 1)
sorry ich habe deine anweisungen missverstanden. hier das mbam-log.

t'john 10.08.2012 14:51
Sehr gut! :daumenhoc


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

kasta63 10.08.2012 17:02
anbei die beiden scan berichte.

t'john 10.08.2012 18:15
Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

kasta63 10.08.2012 22:41
es gibt da ein kleines problem. das programm eset kann keine verbindung zum internet herstellen.

t'john 11.08.2012 01:25
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
:Services
:Reg
:Files
ipconfig /flushdns /c
ipconfig /all /c
netsh winsock reset catalog /c
netsh winsock reset /c
netsh int ipv4 reset reset.log /c
netsh int ipv6 reset reset.log /c
:Commands
[purity]
[emptytemp]
[Reboot]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

kasta63 11.08.2012 09:51
anbei das logfile

Code:
All processes killed
========== OTL ==========
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
< ipconfig /all /c >
Windows-IP-Konfiguration
  Hostname  . . . . . . . . . . . . : Alex-Acer
  Prim„res DNS-Suffix . . . . . . . :
  Knotentyp . . . . . . . . . . . . : Gemischt
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Nein
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Belkin Surf & Share Wireless USB Adapter
  Physikalische Adresse . . . . . . : 94-44-52-EF-EE-A3
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja
  Verbindungslokale IPv6-Adresse  . : fe80::bc80:8d8f:e56a:77a1%11(Bevorzugt)
  IPv4-Adresse  . . . . . . . . . . : 192.168.0.132(Bevorzugt)
  Subnetzmaske  . . . . . . . . . . : 0.0.0.0
  Lease erhalten. . . . . . . . . . : Samstag, 11. August 2012 10:43:10
  Lease l„uft ab. . . . . . . . . . : Dienstag, 14. August 2012 10:43:15
  Standardgateway . . . . . . . . . : 192.168.0.1
  DHCP-Server . . . . . . . . . . . : 192.168.0.1
  DHCPv6-IAID . . . . . . . . . . . : 395592786
  DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-0A-F3-98-44-87-FC-A6-50-22
  DNS-Server  . . . . . . . . . . . : 213.129.232.1
                                      213.129.226.2
                                      213.239.200.194
  NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix: image.loc
  Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
  Physikalische Adresse . . . . . . : 44-87-FC-A6-50-22
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{41B45A51-AC59-421E-A8BE-DCF883C981AF}:
  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
  IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fd:202b:9b1a:4389:9ae(Bevorzugt)
  Verbindungslokale IPv6-Adresse  . : fe80::202b:9b1a:4389:9ae%12(Bevorzugt)
  Standardgateway . . . . . . . . . : ::
  NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
< netsh winsock reset catalog /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 11003
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
< netsh winsock reset /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 11003
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
< netsh int ipv4 reset reset.log /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 11003
Global wird zurckgesetzt, OK!
Schnittstelle wird zurckgesetzt, OK!
Unicastadresse wird zurckgesetzt, OK!
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
< netsh int ipv6 reset reset.log /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 11003
Schnittstelle wird zurckgesetzt, OK!
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
C:\Users\Alex\Desktop\cmd.bat deleted successfully.
C:\Users\Alex\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Alex
->Temp folder emptied: 1688377 bytes
->Temporary Internet Files folder emptied: 52063497 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7170580 bytes
->Google Chrome cache emptied: 856432 bytes
->Flash cache emptied: 965 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 98647 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 207119501 bytes
 
Total Files Cleaned = 257,00 mb
 
 
OTL by OldTimer - Version 3.2.55.0 log created on 08112012_104930

Files\Folders moved on Reboot...
C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Alex\AppData\Local\Temp\~DFBB58933EDE23A46E.TMP not found!
File\Folder C:\Users\Alex\AppData\Local\Temp\~DFDFD16E90D53D6FF9.TMP not found!
File\Folder C:\Users\Alex\AppData\Local\Temp\~DFE0253AA0051F4405.TMP not found!
File\Folder C:\Users\Alex\AppData\Local\Temp\~DFF7AA26DEB40D2AB7.TMP not found!

PendingFileRenameOperations files...
File C:\Users\Alex\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File C:\Users\Alex\AppData\Local\Temp\~DFBB58933EDE23A46E.TMP not found!
File C:\Users\Alex\AppData\Local\Temp\~DFDFD16E90D53D6FF9.TMP not found!
File C:\Users\Alex\AppData\Local\Temp\~DFE0253AA0051F4405.TMP not found!
File C:\Users\Alex\AppData\Local\Temp\~DFF7AA26DEB40D2AB7.TMP not found!

Registry entries deleted on Reboot...
nur zur info:
ich bin das wochenende verreist und erst wieder ab montag abend vor dem pc.

t'john 11.08.2012 15:11
Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool


Setze einen Haken bei folgenden Einträgen
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset IE Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.

kasta63 13.08.2012 19:00
hallo
hier die resultate:
Code:
MiniToolBox by Farbar  Version: 23-07-2012
Ran by Alex (administrator) on 13-08-2012 at 20:00:57
Microsoft Windows 7 Home Premium  Service Pack 1 (X64)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========================= IE Proxy Settings: ==============================

Proxy is not enabled.
ProxyServer: 192.168.0.132:80

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================


"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================

t'john 13.08.2012 20:20
Wo ist der Rest vom Logfile?

kasta63 13.08.2012 21:10
sorry ich habe einen fehler bei den einstellungen gemacht. jetzt ist das file komplett.

Code:
MiniToolBox by Farbar  Version: 23-07-2012
Ran by Alex (administrator) on 13-08-2012 at 22:07:35
Microsoft Windows 7 Home Premium  Service Pack 1 (X64)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================


"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================



========================= IP Configuration: ================================

Belkin Surf & Share Wireless USB Adapter = Drahtlosnetzwerkverbindung (Connected)
Realtek PCIe GBE Family Controller = LAN-Verbindung (Media disconnected)
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 11003


# ----------------------------------
# IPv4-Konfiguration
# ----------------------------------
pushd interface ipv4

reset


popd
# Ende der IPv4-Konfiguration



Windows-IP-Konfiguration

  Hostname  . . . . . . . . . . . . : Alex-Acer
  Prim„res DNS-Suffix . . . . . . . :
  Knotentyp . . . . . . . . . . . . : Gemischt
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Nein

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Belkin Surf & Share Wireless USB Adapter
  Physikalische Adresse . . . . . . : 94-44-52-EF-EE-A3
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja
  Verbindungslokale IPv6-Adresse  . : fe80::bc80:8d8f:e56a:77a1%11(Bevorzugt)
  IPv4-Adresse  . . . . . . . . . . : 192.168.0.132(Bevorzugt)
  Subnetzmaske  . . . . . . . . . . : 0.0.0.0
  Lease erhalten. . . . . . . . . . : Montag, 13. August 2012 22:03:50
  Lease l„uft ab. . . . . . . . . . : Donnerstag, 16. August 2012 22:03:55
  Standardgateway . . . . . . . . . : 192.168.0.1
  DHCP-Server . . . . . . . . . . . : 192.168.0.1
  DHCPv6-IAID . . . . . . . . . . . : 395592786
  DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-0A-F3-98-44-87-FC-A6-50-22
  DNS-Server  . . . . . . . . . . . : 213.129.232.1
                                      213.129.226.2
                                      213.239.200.194
  NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix: image.loc
  Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
  Physikalische Adresse . . . . . . : 44-87-FC-A6-50-22
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{41B45A51-AC59-421E-A8BE-DCF883C981AF}:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
  IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:79fd:20cc:a8c8:4389:9ae(Bevorzugt)
  Verbindungslokale IPv6-Adresse  . : fe80::20cc:a8c8:4389:9ae%12(Bevorzugt)
  Standardgateway . . . . . . . . . : ::
  NetBIOS ber TCP/IP . . . . . . . : Deaktiviert
Server:  UnKnown
Address:  NULL

Fehler bei der Initialisierung der Windows Sockets-Schnittstelle. Zieladresse nicht erreichbar.
Server:  UnKnown
Address:  NULL

Fehler bei der Initialisierung der Windows Sockets-Schnittstelle. Zieladresse nicht erreichbar.
Server:  UnKnown
Address:  NULL

Fehler bei der Initialisierung der Windows Sockets-Schnittstelle. Zieladresse nicht erreichbar.
Fehler bei der Initialisierung der Windows Sockets-Schnittstelle. Zieladresse nicht erreichbar.
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [52224] (Microsoft Corporation)
Catalog5 02 C:\Windows\SysWOW64\napinsp.dll [52224] (Microsoft Corporation)
Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 05 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL [145280] (Microsoft Corp.)
Catalog5 06 C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL [145280] (Microsoft Corp.)
Catalog5 07 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog5 08 C:\Windows\SysWOW64\winrnr.dll [20992] (Microsoft Corporation)
Catalog5 09 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Catalog9 01 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 02 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 03 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 04 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 05 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 06 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 07 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 08 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 09 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 10 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
x64-Catalog5 01 C:\Windows\System32\NLAapi.dll [70656] (Microsoft Corporation)
x64-Catalog5 02 C:\Windows\System32\napinsp.dll [68096] (Microsoft Corporation)
x64-Catalog5 03 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)
x64-Catalog5 04 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)
x64-Catalog5 05 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL [170880] (Microsoft Corp.)
x64-Catalog5 06 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL [170880] (Microsoft Corp.)
x64-Catalog5 07 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog5 08 C:\Windows\System32\winrnr.dll [28672] (Microsoft Corporation)
x64-Catalog5 09 C:\Program Files\Bonjour\mdnsNSP.dll [132968] (Apple Inc.)
x64-Catalog9 01 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 02 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 03 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 04 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 05 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 06 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 07 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 08 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 09 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)
x64-Catalog9 10 C:\Windows\System32\mswsock.dll [326144] (Microsoft Corporation)

========================= Memory info: ===================================

Percentage of memory in use: 36%
Total physical RAM: 4087.07 MB
Available physical RAM: 2604.38 MB
Total Pagefile: 8172.34 MB
Available Pagefile: 6595.45 MB
Total Virtual: 4095.88 MB
Available Virtual: 3969.46 MB

========================= Partitions: =====================================

1 Drive c: (Acer) (Fixed) (Total:690.45 GB) (Free:233.77 GB) NTFS
2 Drive d: (DATA) (Fixed) (Total:690.71 GB) (Free:509.27 GB) NTFS
9 Drive k: (Elements) (Fixed) (Total:1863.01 GB) (Free:1781.17 GB) NTFS

========================= Users: ========================================

Benutzerkonten fr \\ALEX-ACER

Administrator            Alex                    Gast                   
Der Befehl wurde erfolgreich ausgefhrt.


**** End of log ****

t'john 13.08.2012 22:06
Firewall ausschalten, noch mal ESET versuchen.

kasta63 14.08.2012 08:04
eset kann noch immer keine verbindung zum internet herstellen

t'john 14.08.2012 08:18
Ich sehe grad, Emsisoft hatte auch keine Verbindung.

http://www.trojaner-board.de/72874-s...eparieren.html durchfuehren.

kasta63 14.08.2012 12:03
ich habe den scan durchgeführt. er hat keine probleme finden können

t'john 14.08.2012 12:27
Gut.

Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.

kasta63 16.08.2012 09:26
hier das resultat des fss scans

Code:
Farbar Service Scanner Version: 06-08-2012
Ran by Alex (administrator) on 16-08-2012 at 10:25:19
Running from "C:\Users\Alex\Desktop"
Microsoft Windows 7 Home Premium  Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Attempt to access Local Host IP returned error: Localhost is blocked: Other errors
LAN connected.
Attempt to access Google IP returned error: Other errors
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo IP returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131