Trojaner-Board - Bitte um Hilfe, Ordner öffnet sich automatisch nach jeder neustart

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe, Ordner öffnet sich automatisch nach jeder neustart (https://www.trojaner-board.de/132946-bitte-um-hilfe-ordner-oeffnet-automatisch-neustart.html)

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:Files

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[resethosts]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Code:

All processes killed

========== FILES ==========

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Cache folder moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} folder moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\skin folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\META-INF folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\locale\en-US folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\locale folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\defaults\preferences folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\defaults folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\content folder moved successfully.

D:\Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com folder moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: All Users

 

User: All Users.WINDOWS

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Default User.WINDOWS

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService.NT-AUTORITÄT

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService.NT-AUTORITÄT

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 49286 bytes

 

User: Pietro

 

User: Pietro.COMPUTERCASA

->Temp folder emptied: 156787330 bytes

->Temporary Internet Files folder emptied: 518282 bytes

->FireFox cache emptied: 70057263 bytes

->Flash cache emptied: 21907 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2129337 bytes

%systemroot%\System32 .tmp files removed: 2951 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 1207771 bytes

 

Total Files Cleaned = 220,00 mb

 

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.69.0 log created on 04082013_190733
 

Files\Folders moved on Reboot...

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\{AD9CE3A5-106A-4D24-90BB-4268831E6E4C}\{F0F563C4-D4AD-41C4-A8A6-26664C027D11}\BrDbgOut.dll moved successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\{AD9CE3A5-106A-4D24-90BB-4268831E6E4C}\{F0F563C4-D4AD-41C4-A8A6-26664C027D11}\isrt.dll moved successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\{AD9CE3A5-106A-4D24-90BB-4268831E6E4C}\{F0F563C4-D4AD-41C4-A8A6-26664C027D11}\_IsRes.dll moved successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\ispB1.tmp\_Setup.dll moved successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\9681.rra moved successfully.

C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Lokale Einstellungen\Temp\SetAD.tmp moved successfully.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Code:

das einzige problem ist dass nach jeder neustart ändern sich automatisch meine grafik einstellung zurück, ich bin dabei noch ein scan mit eset zu führen. hat inzwischen wieder die selbe Tarma file gefunden, werde ich den log noch mal posten sobald der fertig ist.

Code:

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=94862f2ad1e97542a8ddeb084c9a863c

# engine=13577

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-04-09 03:09:22

# local_time=2013-04-09 05:09:22 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# scanned=147884

# found=6

# cleaned=0

# scan_time=16680

sh=D9F91FA435BDBB0764D4CEC8ED99BFF722D87F93 ft=1 fh=602781cac6882f06 vn="a variant of Win32/Adware.Yontoo.A application" ac=I fn="C:\System Volume Information\_restore{CB5C8FD2-5438-4188-888F-E6B7E5FE958C}\RP32\A0003022.dll"

sh=75DFDC05C5D5F0C3B930B5B6871B6528EC9C22EA ft=1 fh=cff868ace0c06f1a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\System Volume Information\_restore{CB5C8FD2-5438-4188-888F-E6B7E5FE958C}\RP35\A0003176.dll"

sh=410B32FD3FE4642644AD91AC60C69B86EC2762DD ft=1 fh=0e378a435beab91a vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\System Volume Information\_restore{CB5C8FD2-5438-4188-888F-E6B7E5FE958C}\RP41\A0006102.dll"

sh=3AEF532A0211CE7869F0EB51E940D9E0C7CAE321 ft=1 fh=c7560653d3ee2314 vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\_OTL\MovedFiles\04082013_190733\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll"

sh=D84249CE051B0513391DECC5419C0F27AEC7F645 ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\_OTL\MovedFiles\04082013_190733\D_Dokumente und Einstellungen\Pietro\Anwendungsdaten\Mozilla\Firefox\Profiles\4yyze240.default\extensions\plugin@yontoo.com\content\overlay.js"

sh=5B80FC504E8CA6B6BEB68C2B398DEAFCE811426C ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="D:\Firefox 12.0 (de) - 2012-05-07.pcv"

Code:

ich habe der letzte step noch mal gemacht, vielleicht habe was falsches gemacht. Hier noch mal den log von jrt: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.8.3 (04.05.2013:1)

OS: Microsoft Windows XP x86

Ran by Pietro on 09.04.2013 at  8:54:07,14

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
 
 
 

~~~ Services
 
 
 

~~~ Registry Values
 
 
 

~~~ Registry Keys
 
 
 

~~~ Files
 
 
 

~~~ Folders
 
 
 
 
 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 09.04.2013 at  9:12:46,87

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Code:

# AdwCleaner v2.200 - Datei am 09/04/2013 um 09:17:42 erstellt

# Aktualisiert am 02/04/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)

# Benutzer : Pietro - COMPUTERCASA

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Pietro.COMPUTERCASA\Desktop\adwcleaner(2).exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v6.0.2900.2180
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v20.0 (de)
 

*************************
 

AdwCleaner[R1].txt - [826 octets] - [08/04/2013 14:45:15]

AdwCleaner[S1].txt - [1214 octets] - [04/04/2013 14:28:44]

AdwCleaner[S2].txt - [375 octets] - [08/04/2013 19:04:45]

AdwCleaner[S3].txt - [819 octets] - [09/04/2013 09:17:42]
 

########## EOF - C:\AdwCleaner[S3].txt - [878 octets] ##########

Bitte poste deine Kommtare nicht in CODE-Tags, nur die Logs sollen in CODE-Tags

Die Fude von ESET kann man ignorieren, da sind nur Funde in System VOlume Information (Systemwiederherstellung) und in der Q von OTL. Das andere File ist eine altere Mozilla-Sicherung

Was genau meinst du mit Grafikeinstellungen?`

Die Farben einstellung über Eigenschaft von Anzeigen unte Darstellung erweitert. Bis vor ein paar Wochen war kein problem. Seitdem, nach jeder neustart stellen sich automatisch auf die default windows Farben zurück und muss jedes mal meine Farben neu einstellen.

Da hab ich keine wirklich Idee zu. Probier mal dieses Tool und berichte => http://www.trojaner-board.de/126216-...tml#post946713

ich habe schon viele male versucht aber ich komme mit diesen tool nicht weiter, beim backup der registry schaltet sich mein PC einfach aus und startet neu. Was könnte der Grund sein ?

Dann hat meiner Meinung nach dein Rechner schon grundlegende Hardwareprobleme. Vllt ist deine Windows-Installation auch schon völlig vermurkst, das lässt sicht nicht immer und v.a. nicht zuverlässig mit Logs zeigen

Ich würde erstmal versuchen rauszufinden, ob das nur unter Windows so ist, oder auch mit anderen Betriebssystemen.

So kann man sehen ob sich da ein Hardwareproblem abzeichnet oder der Fehler eher in der Konfig in Windows und/oder im Dateisystem ist.

Lad dir mal sowas wie Knoppix oder Xubuntu herunter, brenn die iso Datei per Imagebrennfunktion auf eine CD und boote den Rechner davon.
Teste dann mal ausgiebig das System unter Linux und berichte ob es dort normal läuft.

Hi, ich habe mit knoppix gebootet aber nach ein paar minuten von suche nach Knoppix dann kommt diese Meldung und geht nicht mehr weiter:
Könnte Disk nich nach mnt-System mounten. Starte debugging shell.
Sh: can't access tty; job control turned off.

Probier dochmal xubuntu oder lubuntu im Ausprobiermodus :)

wie meinst du in ausprobiermodus ?

Einfach mal von der Xubuntu-CD booten und dann siehst du was ich meine:

http://malwareanalyse.de/chip/img/xu...ue-live_03.png

Ich habe es probiert und scheint stabil und ohne probleme zu laufen. Habe auch den Speicher test geführt und ist alles ok. Muss man irgendwie in asuprobiermodus ein bestimmtes test führen ?

Hm, wenn Linux völlig normal läuft steckt in Windows wohl noch ein Fehler drin. Aber welcher ist nicht einfach einzukreisen.
Hast du schonmal eine Reperaturinstallation (inplace update) probiert? Du brauchst dazu eine Win7-DVD siehe http://www.trojaner-board.de/100776-...tml#post676887