Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt" (https://www.trojaner-board.de/121815-trojaner-bundesschutzpolizei-ukash-system-wurde-gesperrt.html)

Bunk 11.08.2012 12:17
Trojaner Bundesschutzpolizei UKash "Ihr System wurde gesperrt"
 
Hallo zusammen,

Ich versuche mich möglichst an die Forenrichtlinien zu halten, falls ich gegen irgendwas verstoße, sagt es mir einfach. Falls der Thread in ein anderes Forum gehört, könnt ihr den gerne verschieben. Nun zum Thema:

Auch meinen Laptop hat der Trojaner mit der "Bundesschutzpolizei" erwischt. Habe die meisten der hier eingetragenen Threads schon gelesen, aber bei mir scheinen diese nicht zu greifen.
Informationen zum System:
- Laptop mit Windows 7 64-Bit

Zusammenfassung was bisher versucht wurde:
1. Mailwarebytes Anti-Malware:
a) Im abgesicherten Modus ausgeführt --> Quick und Fullscan zeigen nicht an.
b) Unter anderem Benutzerkonto ausgeführt. Quick und FullScan zeigen nichts an.

2. AV-Guard Boot CD benutzt und Fullscan --> keine Funde

3. Kaspersky 10 Boot CD (die neuere Version mit Windowsunlocker). --> Gebootet, Windowsunlocker benutzt, gescant --> leider auch keine Besserung

4. OTL ausgeführt

Weiteres Vorgehen:
1. HDD-Backup läuft gerade, danach gibt es die Logfiles.
2. Ausführung OTL: Gibt es vorab Empfehlungen mit welchen "Benutzerdefinierten Scans/Fixes" ich OTL laufen lassen soll? (Darum mache ich den Post auch schon auf bevor die Logfiles da sind)
3. Malwarebytes Full-Scan, da der Quick Scan nichts gefunden hat.

Für jegliche Hilfe bin ich dankbar.

Lieben Gruß

t'john 11.08.2012 16:01
:hallo:

Wo sind die Logs?

Bunk 11.08.2012 17:40
Hier ist schon mal das Malwarebytes Log. OTL stürtz mit nem Win32 Error ab, muss noch mal gucken woran das liegt. Log folgt aber sobald fertig

Code:
Malwarebytes Anti-Malware (Trial) 1.61.0.1400
www.malwarebytes.org

Database version: v2012.08.06.09

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
sebastian :: KATHRIN-PC [administrator]

Protection: Enabled

11.08.2012 12:45:25
mbam-log-2012-08-11 (12-45-25).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 417600
Time elapsed: 1 hour(s), 44 minute(s), 27 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\System Volume Information\SystemRestore\FRStaging\$Recycle.Bin\S-1-5-21-1939773783-1917109171-3732851118-1000\$R7KEGUF.8\Cryptload1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Quarantined and deleted successfully.
C:\System Volume Information\SystemRestore\FRStaging\Desktopordner\ISOS\Lightroom\Adobe.Photoshop.Lightroom.v4.0.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.

(end)

t'john 11.08.2012 17:53
Zitat:
OTL ausgeführt
Ist das alles?

Bunk 11.08.2012 18:11
Zitat:
Zitat von t'john (Beitrag 889544)
Ist das alles?
Nein, wie ich oben schon geschrieben habe, stürzt OTL mittlerweile immer ab. Sobald es wieder läuft kommt noch ein Log.

Ok, habe noch nen Log von gestern Abend gefunden:
OTL Logfile:
Code:
OTL logfile created on: 11.08.2012 20:54:20 - Run 1
OTL by OldTimer - Version 3.2.56.0    Folder = C:\Users\Kathrin\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,36 Gb Available Physical Memory | 84,02% Memory free
7,99 Gb Paging File | 7,42 Gb Available in Paging File | 92,85% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 453,94 Gb Total Space | 151,03 Gb Free Space | 33,27% Space Free | Partition Type: NTFS
Drive E: | 30,22 Gb Total Space | 28,60 Gb Free Space | 94,62% Space Free | Partition Type: FAT32
Drive H: | 7,71 Gb Total Space | 7,51 Gb Free Space | 97,38% Space Free | Partition Type: FAT32
 
Computer Name: KATHRIN-PC | User Name: Kathrin | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Kathrin\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (MozillaMaintenance) -- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (ProtexisLicensing) -- C:\Windows\SysWOW64\PSIService.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avkmgr) -- C:\Windows\SysNative\drivers\avkmgr.sys (Avira GmbH)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (athr) -- C:\Windows\SysNative\drivers\athrx.sys (Qualcomm Atheros Communications, Inc.)
DRV:64bit: - (Uim_IM) -- C:\Windows\SysNative\drivers\Uim_IMx64.sys (Paragon)
DRV:64bit: - (UimBus) -- C:\Windows\SysNative\drivers\uimx64.sys (Windows (R) 2000 DDK provider)
DRV:64bit: - (Uim_VIM) -- C:\Windows\SysNative\drivers\uim_vimx64.sys (Paragon)
DRV:64bit: - (dtsoftbus01) -- C:\Windows\SysNative\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV:64bit: - (atksgt) -- C:\Windows\SysNative\drivers\atksgt.sys ()
DRV:64bit: - (lirsgt) -- C:\Windows\SysNative\drivers\lirsgt.sys ()
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys (Duplex Secure Ltd.)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\drivers\SynTP.sys (Synaptics Incorporated)
DRV:64bit: - (AgereSoftModem) -- C:\Windows\SysNative\drivers\agrsm64.sys (LSI Corp)
DRV:64bit: - (netr28ux) -- C:\Windows\SysNative\drivers\netr28ux.sys (Ralink Technology Corp.)
DRV:64bit: - (k57nd60a) -- C:\Windows\SysNative\drivers\k57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 18 6A C8 35 AF 37 CB 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..network.proxy.http: "69.163.96.22"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_268.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.0.50826.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.20 17:53:24 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.03.17 10:03:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2012.06.22 19:40:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 14.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.07.20 17:53:24 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2012.03.17 10:03:51 | 000,000,000 | ---D | M]
 
[2011.05.02 20:02:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Extensions
[2010.07.11 23:19:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.07.25 22:40:03 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Firefox\Profiles\4bsysbfn.default\extensions
[2012.05.18 13:45:54 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Kathrin\AppData\Roaming\mozilla\Firefox\Profiles\4bsysbfn.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011.11.09 21:15:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.07.06 12:01:23 | 000,340,684 | ---- | M] () (No name found) -- C:\USERS\KATHRIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4BSYSBFN.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
[2012.01.19 19:11:42 | 000,018,981 | ---- | M] () (No name found) -- C:\USERS\KATHRIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4BSYSBFN.DEFAULT\EXTENSIONS\ALARM@GUTSCHEINSAMMLER.DE.XPI
[2012.07.20 17:53:24 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.07.16 10:02:54 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll
[2011.09.23 02:52:52 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.23 02:46:24 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.09.23 02:52:52 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.23 02:52:52 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.23 02:52:52 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.23 02:52:52 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.11.25 09:27:51 | 000,000,998 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 im.adtech.de
O1 - Hosts: 127.0.0.1 adserver.adtech.de
O1 - Hosts: 127.0.0.1 adtech.de
O1 - Hosts: 127.0.0.1 atwola.com
O1 - Hosts: 127.0.0.1 adserver.71i.de
O1 - Hosts: 127.0.0.1 adicqserver.71i.de
O1 - Hosts: 127.0.0.1 71i.de
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [wlqbcefjbdcbmtf] C:\ProgramData\wlqbcefj.exe ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{706E9064-0B01-4B5F-8E0E-3AD3133384F2}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C623E36A-7F30-4134-AEEE-B999A7B73CCF}: DhcpNameServer = 10.203.1.1 168.95.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DE67A43A-D2AF-4521-8EE3-8A6428E2F943}: DhcpNameServer = 192.168.2.1
O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\SETUP.EXE -autorun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell\AutoRun\command - "" = D:\CD_content.exe
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.08.11 20:49:41 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\Kathrin\Desktop\OTL.exe
[2012.08.11 14:41:12 | 000,000,000 | ---D | C] -- C:\archive_db
[2012.08.11 14:38:04 | 000,000,000 | ---D | C] -- C:\ProgramData\backup
[2012.08.11 14:37:58 | 000,000,000 | ---D | C] -- C:\ProgramData\explauncher
[2012.08.11 14:37:56 | 000,000,000 | ---D | C] -- C:\ProgramData\launcher
[2012.08.11 13:57:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paragon Backup & Recovery™ 2012 Free
[2012.08.11 13:55:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Paragon Software
[2012.08.10 21:36:36 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.08.10 19:39:01 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.08.10 17:26:46 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\AppData\Roaming\Malwarebytes
[2012.08.10 17:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.08.10 17:26:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.08.10 17:26:29 | 000,024,904 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.08.10 17:26:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.08.10 16:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\pouhqpnjbkxafpu
[2012.08.07 17:23:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free M4a to MP3 Converter
[2012.08.07 17:23:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free M4a to MP3 Converter
[2012.08.07 17:22:03 | 005,953,392 | ---- | C] (ManiacTools.com                                            ) -- C:\Users\Kathrin\Desktop\m4a-to-mp3-converter.exe
[2012.08.06 19:47:04 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\Desktop\Bodi_Bill-What-(SR038CD)-2011-KPS_INT
[2012.07.29 21:00:34 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\Desktop\VA_-_Kontor_Summer_Jam-3CD-2012-MOD
[2012.07.27 15:25:37 | 000,000,000 | ---D | C] -- C:\Users\Kathrin\AppData\Local\Macromedia
[2010.12.26 22:46:55 | 000,651,264 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\1602.exe
[2010.12.26 22:46:55 | 000,307,200 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Language.dll
[2010.12.26 22:46:55 | 000,307,200 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Editor.dll
[2010.12.26 22:46:55 | 000,163,840 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Maxnet.dll
[2010.12.26 22:46:55 | 000,135,168 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Config.exe
[2010.12.26 22:46:49 | 000,995,383 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\Mfc42.dll
[2010.12.26 22:46:49 | 000,491,520 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\1602Edit.exe
[2010.12.26 22:46:49 | 000,393,728 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\MSVCRTD.DLL
[2010.12.26 22:46:49 | 000,254,005 | ---- | C] (Microsoft Corporation) -- C:\Program Files (x86)\MSVCRT.DLL
[2010.12.26 22:46:49 | 000,032,768 | ---- | C] (MAX DESIGN) -- C:\Program Files (x86)\Maxsound.dll
 
========== Files - Modified Within 30 Days ==========
 
[2012.08.11 20:54:11 | 011,625,366 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.08.11 20:54:11 | 003,944,650 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.08.11 20:54:11 | 003,666,582 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.08.11 20:54:11 | 003,298,948 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.08.11 20:54:11 | 000,004,572 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.08.11 20:49:02 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.11 20:48:54 | 3219,935,232 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.11 20:30:44 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.11 20:30:44 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.11 13:57:23 | 000,002,413 | ---- | M] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk
[2012.08.10 21:18:34 | 002,342,856 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2012.08.10 17:26:31 | 000,001,113 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.10 16:20:24 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Kathrin\Desktop\OTL.exe
[2012.08.10 16:13:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\kggezsvwdtobogq
[2012.08.10 16:13:49 | 000,057,344 | ---- | M] () -- C:\ProgramData\wlqbcefj.exe
[2012.08.07 17:43:15 | 415,658,335 | ---- | M] () -- C:\Users\Kathrin\Desktop\TvP3.mp3
[2012.08.07 17:23:04 | 000,001,057 | ---- | M] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk
[2012.08.07 17:23:04 | 000,001,052 | ---- | M] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk
[2012.08.07 17:22:35 | 005,953,392 | ---- | M] (ManiacTools.com                                            ) -- C:\Users\Kathrin\Desktop\m4a-to-mp3-converter.exe
[2012.08.06 23:19:36 | 355,763,200 | ---- | M] () -- C:\Users\Kathrin\Desktop\TvP3.rar
[2012.08.06 19:46:47 | 060,416,303 | ---- | M] () -- C:\Users\Kathrin\Desktop\Bodi_Bill-What-(SR038CD)-2011-KPS_INT.zip
[2012.08.05 14:15:45 | 000,062,886 | ---- | M] () -- C:\Users\Kathrin\Desktop\kursgeburtshilfe.pdf
[2012.08.01 20:51:17 | 000,201,787 | ---- | M] () -- C:\Users\Kathrin\Desktop\abholschein_9349328_287ac3cab925e05a6dd3669fad14edc9.pdf
[2012.07.29 19:17:56 | 422,837,105 | ---- | M] () -- C:\Users\Kathrin\Desktop\KSJ.rar
[2012.07.29 12:55:22 | 000,144,291 | ---- | M] () -- C:\Users\Kathrin\Desktop\KurvenReich (nfp-forum.de.pdf
 
========== Files Created - No Company Name ==========
 
[2012.08.11 13:57:23 | 000,002,413 | ---- | C] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk
[2012.08.10 17:26:31 | 000,001,113 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.08.10 16:13:55 | 000,057,344 | ---- | C] () -- C:\ProgramData\wlqbcefj.exe
[2012.08.10 16:13:50 | 000,000,051 | ---- | C] () -- C:\ProgramData\kggezsvwdtobogq
[2012.08.07 17:27:44 | 415,658,335 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.mp3
[2012.08.07 17:23:04 | 000,001,057 | ---- | C] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk
[2012.08.07 17:23:04 | 000,001,052 | ---- | C] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk
[2012.08.07 17:20:05 | 362,121,013 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.m4b
[2012.08.06 20:02:05 | 355,763,200 | ---- | C] () -- C:\Users\Kathrin\Desktop\TvP3.rar
[2012.07.29 16:55:12 | 422,837,105 | ---- | C] () -- C:\Users\Kathrin\Desktop\KSJ.rar
[2012.03.07 19:56:22 | 000,045,568 | ---- | C] () -- C:\Windows\UniFish3.exe
[2012.02.27 20:10:51 | 000,000,638 | ---- | C] () -- C:\Windows\wiso.ini
[2011.05.14 22:44:39 | 000,000,010 | ---- | C] () -- C:\Windows\popcinfo.dat
[2010.12.26 22:47:08 | 000,018,879 | ---- | C] () -- C:\Program Files (x86)\ReadMe.rtf
[2010.12.26 22:47:08 | 000,000,757 | ---- | C] () -- C:\Program Files (x86)\Game.dat
[2010.12.26 22:46:55 | 000,037,513 | ---- | C] () -- C:\Program Files (x86)\Editor.cod
[2010.12.26 22:46:55 | 000,033,782 | ---- | C] () -- C:\Program Files (x86)\Text.cod
[2010.12.26 22:46:49 | 000,325,799 | ---- | C] () -- C:\Program Files (x86)\Un1602.isu
[2010.12.26 22:46:49 | 000,136,127 | ---- | C] () -- C:\Program Files (x86)\haeuser.cod
[2010.12.26 22:46:49 | 000,098,304 | ---- | C] () -- C:\Program Files (x86)\SMACKW32.DLL
[2010.12.26 22:46:49 | 000,059,972 | ---- | C] () -- C:\Program Files (x86)\figuren.cod
[2010.11.28 23:21:55 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010.10.07 14:57:03 | 000,013,392 | ---- | C] () -- C:\Users\Kathrin\.recently-used.xbel
[2010.08.25 17:01:28 | 000,626,688 | ---- | C] () -- C:\Windows\Image.dll
[2010.08.25 17:01:28 | 000,200,704 | ---- | C] () -- C:\Windows\PLFSetI.exe
[2010.08.25 17:01:28 | 000,020,480 | ---- | C] () -- C:\Windows\USB_VIDEO_REG.exe
[2010.08.25 17:01:28 | 000,000,323 | ---- | C] () -- C:\Windows\PidList.ini
[2010.08.25 12:31:02 | 000,106,496 | ---- | C] () -- C:\Windows\FixUVC.exe
[2010.08.23 22:47:16 | 000,002,828 | -HS- | C] () -- C:\Windows\SysWow64\KGyGaAvL.sys
[2010.08.23 22:47:16 | 000,000,088 | RHS- | C] () -- C:\Windows\SysWow64\9C8F524808.sys
[2010.07.11 22:45:12 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
 
========== LOP Check ==========
 
[2012.02.27 20:12:58 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Buhl Data Service
[2010.09.07 21:50:23 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\CushyStock
[2010.12.06 15:29:34 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\DAEMON Tools Lite
[2012.02.02 19:03:47 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Deuxa
[2010.09.20 15:34:18 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\inkscape
[2012.01.30 22:17:48 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Pipucay
[2010.08.23 21:06:26 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Similarity
[2011.08.16 21:49:41 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\TeamViewer
[2010.07.11 23:19:56 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Thunderbird
[2012.02.12 17:47:11 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\TS3Client
[2011.12.25 00:00:58 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Ubisoft
[2011.06.05 19:53:28 | 000,000,000 | ---D | M] -- C:\Users\Kathrin\AppData\Roaming\Wildfire
[2012.08.07 20:48:31 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:50DD4118

< End of report >
--- --- ---

t'john 11.08.2012 18:37
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
FF - prefs.js..network.proxy.http: "69.163.96.22"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O4 - HKCU..\Run: [wlqbcefjbdcbmtf] C:\ProgramData\wlqbcefj.exe ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\SETUP.EXE -autorun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\Shell\AutoRun\command - "" = D:\CD_content.exe
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell - "" = AutoRun
O33 - MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\Shell\AutoRun\command - "" = F:\autorun.exe

[2012.08.10 16:13:54 | 000,000,000 | ---D | C] -- C:\ProgramData\pouhqpnjbkxafpu
[2012.08.10 16:13:55 | 000,000,051 | ---- | M] () -- C:\ProgramData\kggezsvwdtobogq
[2012.08.10 16:13:49 | 000,057,344 | ---- | M] () -- C:\ProgramData\wlqbcefj.exe
[2010.11.28 23:21:55 | 000,000,040 | -HS- | C] () -- C:\ProgramData\.zreglib
[2010.08.23 22:47:16 | 000,002,828 | -HS- | C] () -- C:\Windows\SysWow64\KGyGaAvL.sys
[2010.08.23 22:47:16 | 000,000,088 | RHS- | C] () -- C:\Windows\SysWow64\9C8F524808.sys
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:50DD4118
[2012.08.11 13:57:23 | 000,002,413 | ---- | M] () -- C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk
[2012.08.07 17:23:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Free M4a to MP3 Converter
[2012.08.07 17:23:04 | 000,001,057 | ---- | M] () -- C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk
[2012.08.07 17:23:04 | 000,001,052 | ---- | M] () -- C:\Users\Kathrin\Desktop\My Music Tools.lnk
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Bunk 11.08.2012 19:01
Super, die Sperre ist schon mal raus und ich muss nicht mehr im abgesicherten Modus arbeiten.

Komischerweise geht die Netzwerkverbindung nicht mehr, hoffe der Trojaner hat da nix zerschossen oder so.

Hier aber das Log:
Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "LEO Eng-Deu" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.google.de/" removed from browser.startup.homepage
Prefs.js: "69.163.96.22" removed from network.proxy.http
Prefs.js: 8080 removed from network.proxy.http_port
Prefs.js: 0 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\wlqbcefjbdcbmtf deleted successfully.
C:\ProgramData\wlqbcefj.exe moved successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xel exportieren\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xel exportieren\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37e2a001-7eda-11e0-9b13-00262d7b7ca0}\ not found.
File F:\SETUP.EXE -autorun not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b4b1ed8-8d17-11df-ac33-806e6f6e6963}\ not found.
File D:\CD_content.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{efc099b5-8dfc-11df-ab77-00262d7b7ca0}\ not found.
File F:\autorun.exe not found.
C:\ProgramData\pouhqpnjbkxafpu folder moved successfully.
C:\ProgramData\kggezsvwdtobogq moved successfully.
File C:\ProgramData\wlqbcefj.exe not found.
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysWOW64\KGyGaAvL.sys moved successfully.
C:\Windows\SysWOW64\9C8F524808.sys moved successfully.
ADS C:\ProgramData\Temp:50DD4118 deleted successfully.
C:\Users\Public\Desktop\Paragon Backup & Recovery™ 2012 Free.lnk moved successfully.
C:\Program Files (x86)\Free M4a to MP3 Converter folder moved successfully.
C:\Users\Kathrin\Desktop\Free M4a to MP3 Converter.lnk moved successfully.
C:\Users\Kathrin\Desktop\My Music Tools.lnk moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Kathrin
->Temp folder emptied: 134187 bytes
->Temporary Internet Files folder emptied: 33765 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
->Temp folder emptied: 35051 bytes
->Temporary Internet Files folder emptied: 104645 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: AppData
 
User: Default
 
User: Default User
 
User: Kathrin
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08112012_215747

Files\Folders moved on Reboot...
C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

t'john 11.08.2012 19:08
Warum ist SP1 nicht installiert?




Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:
:OTL
:Files
netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c
ipconfig /flushdns /c
ipconfig /all /c
netsh winsock reset catalog /c
netsh winsock reset /c
netsh int ipv4 reset reset.log /c
netsh int ipv6 reset reset.log /c
:Commands
[purity]
[emptytemp]
[Reboot]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Bunk 11.08.2012 19:21
Vielen Dank bis hierhin schon mal für die wirklich schnelle Reaktion! :)

Hier das neue Log:

Code:
QAll processes killed
========== OTL ==========
========== FILES ==========
< netsh interface ipv4 set address name="LAN-Verbindung" source=dhcp /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 10107
DHCP ist an dieser Schnittstelle bereits aktiviert.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< ipconfig /all /c >
Windows-IP-Konfiguration
  Hostname  . . . . . . . . . . . . : Kathrin-PC
  Prim„res DNS-Suffix . . . . . . . :
  Knotentyp . . . . . . . . . . . . : Hybrid
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Nein
Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:
  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR5B93 Wireless Network Adapter
  Physikalische Adresse . . . . . . : C4-17-FE-42-3D-33
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja
Ethernet-Adapter LAN-Verbindung:
  Medienstatus. . . . . . . . . . . : Medium getQrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Broadcom NetLink (TM)-Gigabit-Ethernet
  Physikalische Adresse . . . . . . : 00-26-2D-7B-7C-A0
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{706E9064-0B01-4B5F-8E0E-3AD3133384F2}:
  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh winsock reset catalog /c >
Die Initialisierungsfunktion InitHelperDll in NSHHTTP.DLL konnte nicht gestartet werden. Fehlercode 10107
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh winsock reset /c >
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh int ipv4 reset reset.log /c >
Global wird zurckgesetzt, OK!
Schnittstelle wird zurckgesetzt, OK!
Starten Sie den Computer neu, um die Aktion abzuschlieáen.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
< netsh int ipv6 reset reset.log /c >
Es sind keine vom Benutzer festgelegten Einstellungen zum Zurcksetzen vorhanden.
C:\Users\Kathrin\Desktop\cmd.bat deleted successfully.
C:\Users\Kathrin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Kathrin
->Temp folder emptied: 1178 bytes
->Temporary Internet Files folder emptied: 33300 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sebastian
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08112012_221555

Files\Folders moved on Reboot...
C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Kathrin\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

t'john 11.08.2012 19:35
Sehr gut! :daumenhoc



Downloade dir bitte Farbar's MiniToolBox auf deinen Desktop und starte das Tool


Setze einen Haken bei folgenden Einträgen
  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset IE Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List Users, Partitions and Memory size

Klicke Go und poste den Inhalt der Result.txt.

Bunk 11.08.2012 19:39
So, und hier ist es. :)

Code:
MiniToolBox by Farbar  Version: 23-07-2012
Ran by Kathrin (administrator) on 11-08-2012 at 22:39:54
Microsoft Windows 7 Ultimate  (X64)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.


========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================

"network.proxy.http", ""
"network.proxy.http_port", ""
"network.proxy.type", ""

"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================



127.0.0.1 im.adtech.de
127.0.0.1 adserver.adtech.de
127.0.0.1 adtech.de
127.0.0.1 atwola.com
127.0.0.1 adserver.71i.de
127.0.0.1 adicqserver.71i.de
127.0.0.1 71i.de

========================= IP Configuration: ================================

Broadcom NetLink (TM)-Gigabit-Ethernet = LAN-Verbindung (Media disconnected)
Qualcomm Atheros AR5B93 Wireless Network Adapter = Drahtlosnetzwerkverbindung (Media disconnected)


# ----------------------------------
# IPv4-Konfiguration
# ----------------------------------
pushd interface ipv4

reset


popd
# Ende der IPv4-Konfiguration



Windows-IP-Konfiguration

  Hostname  . . . . . . . . . . . . : Kathrin-PC
  Prim„res DNS-Suffix . . . . . . . :
  Knotentyp . . . . . . . . . . . . : Hybrid
  IP-Routing aktiviert  . . . . . . : Nein
  WINS-Proxy aktiviert  . . . . . . : Nein

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR5B93 Wireless Network Adapter
  Physikalische Adresse . . . . . . : C4-17-FE-42-3D-33
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter LAN-Verbindung:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Broadcom NetLink (TM)-Gigabit-Ethernet
  Physikalische Adresse . . . . . . : 00-26-2D-7B-7C-A0
  DHCP aktiviert. . . . . . . . . . : Ja
  Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{706E9064-0B01-4B5F-8E0E-3AD3133384F2}:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

  Medienstatus. . . . . . . . . . . : Medium getrennt
  Verbindungsspezifisches DNS-Suffix:
  Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP aktiviert. . . . . . . . . . : Nein
  Autokonfiguration aktiviert . . . : Ja
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "google.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "yahoo.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.
Server:  UnKnown
Address:  127.0.0.1

Ping-Anforderung konnte Host "bleepingcomputer.com" nicht finden. šberprfen Sie den Namen, und versuchen Sie es erneut.

Ping wird ausgefhrt fr 127.0.0.1 mit 32 Bytes Daten:
Antwort von 127.0.0.1: Bytes=32 Zeit=7ms TTL=128
Antwort von 127.0.0.1: Bytes=32 Zeit=2ms TTL=128

Ping-Statistik fr 127.0.0.1:
    Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 2ms, Maximum = 7ms, Mittelwert = 4ms
===========================================================================
Schnittstellenliste
 12...c4 17 fe 42 3d 33 ......Qualcomm Atheros AR5B93 Wireless Network Adapter
 11...00 26 2d 7b 7c a0 ......Broadcom NetLink (TM)-Gigabit-Ethernet
  1...........................Software Loopback Interface 1
 17...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
    Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
        127.0.0.0        255.0.0.0  Auf Verbindung        127.0.0.1    306
        127.0.0.1  255.255.255.255  Auf Verbindung        127.0.0.1    306
  127.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306
        224.0.0.0        240.0.0.0  Auf Verbindung        127.0.0.1    306
  255.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306
===========================================================================
St„ndige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel            Gateway
  1    306 ::1/128                  Auf Verbindung
  1    306 ff00::/8                Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\SysWOW64\NLAapi.dll [51712] (Microsoft Corporation)
Catalog5 02 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog5 03 C:\Windows\SysWOW64\winrnr.dll [20992] (Microsoft Corporation)
Catalog5 04 C:\Windows\SysWOW64\napinsp.dll [52224] (Microsoft Corporation)
Catalog5 05 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 06 C:\Windows\SysWOW64\pnrpnsp.dll [65024] (Microsoft Corporation)
Catalog5 07 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Catalog9 01 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 02 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 03 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 04 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 05 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 06 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 07 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 08 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 09 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
Catalog9 10 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation)
x64-Catalog5 01 C:\Windows\System32\NLAapi.dll [70144] (Microsoft Corporation)
x64-Catalog5 02 C:\Windows\System32\mswsock.dll [320000] (Microsoft Corporation)
x64-Catalog5 03 C:\Windows\System32\winrnr.dll [28672] (Microsoft Corporation)
x64-Catalog5 04 C:\Windows\System32\napinsp.dll [68096] (Microsoft Corporation)
x64-Catalog5 05 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)
x64-Catalog5 06 C:\Windows\System32\pnrpnsp.dll [86016] (Microsoft Corporation)

========================= Memory info: ===================================

Percentage of memory in use: 26%
Total physical RAM: 4094.36 MB
Available physical RAM: 3019.99 MB
Total Pagefile: 8186.87 MB
Available Pagefile: 6889.86 MB
Total Virtual: 4095.88 MB
Available Virtual: 3954.31 MB

========================= Partitions: =====================================

1 Drive c: () (Fixed) (Total:453.94 GB) (Free:150.52 GB) NTFS
2 Drive d: (KRD10) (CDROM) (Total:0.26 GB) (Free:0 GB) CDFS
3 Drive e: (EOS_DIGITAL) (Removable) (Total:30.22 GB) (Free:28.6 GB) FAT32
5 Drive h: () (Removable) (Total:7.71 GB) (Free:7.47 GB) FAT32

========================= Users: ========================================

Benutzerkonten fr \\KATHRIN-PC

Administrator            Gast                    Kathrin                 
sebastian               
Der Befehl wurde erfolgreich ausgefhrt.


**** End of log ****

t'john 11.08.2012 19:46
Wie stellst du die Verbindung ins Inernet her?

Funktioniert sie?

Bunk 11.08.2012 19:54
Das Notebook hat keine Internetverbindung. Transportiere die Logs per USB-Stick auf den Desktop und poste sie von dort aus.

Konnte den Fehler selbst auch schon ein wenig eingrenzen, aber leider nicht beheben.

Der Benachrichtigungsdienst, der DHCP-Client und TCP/IP-Netbios Dienst sind alle auf dem Status "wird gestartet" nur leider tut sich nichts.

Bin für ein paar Stunden erstmal nicht da. Falls dir noch was einfällt, wäre super. Aber ich denke das eigentliche Trojaner Problem ist ja erstmal behoben. Es sei denn der hat die Windows Dienste irgendwie kaputt gemacht. :)

Vielen Dank für die super Hilfe!

Ein weiterer Neustart hat ohne Änderungen geholfen.

[Thread kann geschlossen werden]

t'john 11.08.2012 20:49
Speichere das manuelle Update von MBAM auf den Stick: http://data-cdn.mbamupdates.com/tools/mbam-rules.exe

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Bunk 11.08.2012 23:51
Hi,

soweit läuft das Notebook jetzt wieder einwandfrei. Werde heute nach noch mal einen Vollscan mit Malwarebytes (aktuelle Version) laufen lassen. Irgendwelche Tipps zum weiteren absichern, damit das nicht wieder passiert?

Lieben Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:26 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19