Trojaner-Board - BRD-Trojaner - PC gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen (https://www.trojaner-board.de/121896-brd-trojaner-pc-gesperrt-nur-adminaccs-betroffen.html)

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen

Guten Tag Trojaner-Board,
schonmal im voraus möchte ich mich bei euch bedanken. Ohne Anmeldung habe ich hier schon viel über mein Problem lesen können. Aber um es laut Boardregeln richtig zu machen eröffne ich jetzt diesen Thread.

Nun zu meinem Problem:
Mein Problem wurde hier schonmal besprochen... hier der Thread.( http://www.trojaner-board.de/120701-...-bockiert.html )

Ich habe den selben Trojaner... das angezeigte Bild, sieht folgendermaßen aus (siehe Anhang).

Besonderheit bei meinem Problem... ich habe für Benutzerkonten(unter winxp sp3), 2 davon Admins, 2 davon normale nutzer. Es sind nur die admins betroffen, jedoch nicht die normalen nutzer.

Habe den PC im Abgesicherten Modus gestartet und unter Administrator einen weiteren admin-nutzer hinzugefügt um programminstallationen durchführen zu können. Hat soweit funktioniert.

defogger habe ich ausgeführt und ist so durchgelaufen, wie ihr es beschrieben habt. die datei hänge ich trotzdem an.

otl habe ich scannen lassen und die dateien zusätzlich angehängt.

Gmer habe ich auch durchgeführt und auch diese datei befindet sich im Anhang.

Dann habe ich den Malware-Scanner durchlaufen lassen... soweit lief alles gut, doch dann kam dieser Bildschirm auch bei meinem neu erstellten Administrators... sodass ich diesen Bericht nicht posten kann.

Habe gerade einen weiteren Admin erstellt und probiere es erneut.

Ich habe in Mara_1205s Thread gelesen, wie sie den wegbekommen hat, doch durch diese Benuterdefinierte Scans/Fixes steige ich nicht ganz durch.. da dort Maras Pfade angegeben sind, habe ich dies natürlich noch nicht ausprobiert, da ich davon ausgehe, dass ich wahrscheinlich mehr kaputt machen wuerde als wieder heile.

Ich hoffe, dass ich soweit alles richtig gemacht habe, falls etwas fehlt bitte melden. Falles ich etwas unklar erklärt habe, versuche ich es gerne nochmal anders zu erklären.

Schonmal vielen Dank im voraus für jede erdenkliche Hilfe.
Bis dahin verlbeibe ich
mit den allerbesten grüßen
d3rchris

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - (WDICA) -- File not found 

DRV - (PDRFRAME) -- File not found 

DRV - (PDRELI) -- File not found 

DRV - (PDFRAME) -- File not found 

DRV - (PDCOMP) -- File not found 

DRV - (PCIDump) -- File not found 

DRV - (lbrtfdc) -- File not found 

DRV - (i2omgmt) -- File not found 

DRV - (Changer) -- File not found 

IE - HKLM\..\SearchScopes,DefaultScope = {5663AE3B-7C8A-4921-9386-5170A890BDB1} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKLM\..\SearchScopes\{5663AE3B-7C8A-4921-9386-5170A890BDB1}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 

IE - HKCU\..\SearchScopes,DefaultScope = {4F9B428B-5A06-40B6-9609-D77D933D6E5E} 

IE - HKCU\..\SearchScopes\{25594AAF-11E6-4922-986A-3A36BE1228A9}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=twiki&q={searchTerms}&dia=tie8 

IE - HKCU\..\SearchScopes\{304FD1C3-57BE-494D-B843-1C86F186EAB3}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tportal&q={searchTerms}&dia=tie8 

IE - HKCU\..\SearchScopes\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tweb&q={searchTerms}&dia=tie8 

IE - HKCU\..\SearchScopes\{7ACFE0ED-9387-4750-B046-2F6F74514686}: "URL" = http://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tonline_internetexplorer-browser-suche-21&index=blended&linkCode=ur2&camp=1638&creative=6742 

IE - HKCU\..\SearchScopes\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}: "URL" = http://rover.ebay.com/rover/1/707-1403-27640-2/4?mpre=http://search.ebay.de/search/search.dll?shortcut=4&query={searchTerms} 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

O4 - HKLM..\Run: [sxstrace] C:\Dokumente und Einstellungen\Test-Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\4872\sxstrace.exe () 

O4 - HKLM..\Run: [WcnEapAuthProxy] C:\Dokumente und Einstellungen\Dominik.KLAUS-G1V1QPBPR.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\739\WcnEapAuthProxy.exe File not found 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) 

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2009.02.17 13:34:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

[2012.08.12 12:01:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3807157D-FE5E-45F3-80B1-BCC40119E323}.job 

[2012.08.12 11:59:00 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{866913BA-AC63-4E48-B820-9ED372F637BB}.job 

[2012.08.12 11:47:11 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 

[2012.08.12 11:43:28 | 000,186,097 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml 

[2012.08.12 11:43:25 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 

[2012.08.12 11:23:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 

:Files
 
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

4. Schritt

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Sry, für die verspätete Rückantwort. Also hier die angeforderten Daten. Schonmal vielen lieben dank für die hilfe.

Zur Information. Der malwarebytes anti-malware scan konnte noch durchgeführt werden. Habe darüberhinaus über tuneup die temps und cache löschen lassen. Hoffe das verfälscht das ergebnis nichts. Das ganze war noch vor der antwort. Hoffe das macht jetzt nichts kaputt.

Aber nun...

in chronologischer Reihenfolge

1.Schritt

Code:

All processes killed

========== OTL ==========

Service WDICA stopped successfully!

Service WDICA deleted successfully!

File  File not found not found.

Service PDRFRAME stopped successfully!

Service PDRFRAME deleted successfully!

File  File not found not found.

Service PDRELI stopped successfully!

Service PDRELI deleted successfully!

File  File not found not found.

Service PDFRAME stopped successfully!

Service PDFRAME deleted successfully!

File  File not found not found.

Service PDCOMP stopped successfully!

Service PDCOMP deleted successfully!

File  File not found not found.

Service PCIDump stopped successfully!

Service PCIDump deleted successfully!

File  File not found not found.

Service lbrtfdc stopped successfully!

Service lbrtfdc deleted successfully!

File  File not found not found.

Service i2omgmt stopped successfully!

Service i2omgmt deleted successfully!

File  File not found not found.

Service Changer stopped successfully!

Service Changer deleted successfully!

File  File not found not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5663AE3B-7C8A-4921-9386-5170A890BDB1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5663AE3B-7C8A-4921-9386-5170A890BDB1}\ not found.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{25594AAF-11E6-4922-986A-3A36BE1228A9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25594AAF-11E6-4922-986A-3A36BE1228A9}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{304FD1C3-57BE-494D-B843-1C86F186EAB3}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{304FD1C3-57BE-494D-B843-1C86F186EAB3}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7ACFE0ED-9387-4750-B046-2F6F74514686}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ACFE0ED-9387-4750-B046-2F6F74514686}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}\ not found.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sxstrace not found.

File C:\Dokumente und Einstellungen\Test-Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\4872\sxstrace.exe not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WcnEapAuthProxy not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.

Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.

Starting removal of ActiveX control DirectAnimation Java Classes

Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.

File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.

Starting removal of ActiveX control Microsoft XML Parser for Java

Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

C:\WINDOWS\tasks\User_Feed_Synchronization-{3807157D-FE5E-45F3-80B1-BCC40119E323}.job moved successfully.

C:\WINDOWS\tasks\User_Feed_Synchronization-{866913BA-AC63-4E48-B820-9ED372F637BB}.job moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.

C:\WINDOWS\system32\nvapps.xml moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.

C:\WINDOWS\tasks\Adobe Flash Player Updater.job moved successfully.

========== FILES ==========
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Test-Admin\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Test-Admin\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 2547712 bytes

->Temporary Internet Files folder emptied: 151307 bytes

 

User: All Users

 

User: All Users.WINDOWS

 

User: Daniel

->Temp folder emptied: 12371790003 bytes

->Temporary Internet Files folder emptied: 615129387 bytes

->Google Chrome cache emptied: 113042469 bytes

->Flash cache emptied: 210174 bytes

 

User: Daniel.KLAUS-G1V1QPBPR

->Temp folder emptied: 26744313 bytes

->Temporary Internet Files folder emptied: 73627353 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 1256412654 bytes

->Flash cache emptied: 2003 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User.WINDOWS

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Dominik

 

User: Dominik.KLAUS-G1V1QPBPR

->Temp folder emptied: 1149808 bytes

->Temporary Internet Files folder emptied: 125236480 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 1216520854 bytes

->Flash cache emptied: 8978 bytes

 

User: Dominik.KLAUS-G1V1QPBPR.000

->Temp folder emptied: 2061730 bytes

->Temporary Internet Files folder emptied: 730165403 bytes

->Java cache emptied: 13671 bytes

->Flash cache emptied: 8783924 bytes

 

User: Klaus

->Temp folder emptied: 322414048 bytes

->Temporary Internet Files folder emptied: 241040805 bytes

->Flash cache emptied: 24099 bytes

 

User: KLAUS.KLAUS-G1V1QPBPR

->Temp folder emptied: 172500783 bytes

->Temporary Internet Files folder emptied: 23002853 bytes

->Java cache emptied: 348104 bytes

->FireFox cache emptied: 288632040 bytes

->Flash cache emptied: 87964 bytes

 

User: LocalService

->Temp folder emptied: 82513 bytes

->Temporary Internet Files folder emptied: 17330429 bytes

 

User: LocalService.NT-AUTORITÄT

->Temp folder emptied: 66094 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Maria

->Temp folder emptied: 70218112 bytes

->Temporary Internet Files folder emptied: 1018354172 bytes

->Flash cache emptied: 27773 bytes

 

User: Maria.KLAUS-G1V1QPBPR

->Temp folder emptied: 6447028 bytes

->Temporary Internet Files folder emptied: 66499804 bytes

->Java cache emptied: 112831 bytes

->FireFox cache emptied: 1115459410 bytes

->Flash cache emptied: 829 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService.NT-AUTORITÄT

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33237 bytes

 

User: Test-Acc2

->Temp folder emptied: 710903 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Test-Admin

->Temp folder emptied: 37504111 bytes

->Temporary Internet Files folder emptied: 1107195 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1119649 bytes

%systemroot%\System32 .tmp files removed: 1903499 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 3331620 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 19.009,00 mb

 

 

OTL by OldTimer - Version 3.2.55.0 log created on 08142012_074045
 

Files\Folders moved on Reboot...

File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\PU240WVS\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!

File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\place=postroll1&Site=myvideode&tcountry=DE&subsite=watch&tcluster=erotik&tword=bommelberg&tword=maedels&tword=girl&tword=sexy&tword=hot&tword=boxershort&tword=sport&tword=[1].xml not found!

File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!
 

PendingFileRenameOperations files...

File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\PU240WVS\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!

File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\place=postroll1&Site=myvideode&tcountry=DE&subsite=watch&tcluster=erotik&tword=bommelberg&tword=maedels&tword=girl&tword=sexy&tword=hot&tword=boxershort&tword=sport&tword=[1].xml not found!

File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!
 

Registry entries deleted on Reboot...

2ter Schritt
es wurde nichts gefunden. Habe trotzdem den log im Anhang angefügt.

3ter Schritt

R1 befindet sich im Anhang

4ter Schritt

S1 befindet sich im Anhang

Vielen vielen Dank.

Was darf ich weiteres tun.

lg
d3rchris

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.