Habe am 11.04. Rechnung und zip-Datei geöffnet von My-Dirty-Hobby (mone-lisa@...)
 

Guten Morgen an das Team,

vorgestern früh erhielt ich eine Mail von My-Dirty-Hobby (mone-lisa@...).

Leider kann ich nicht mehr von der Originaladresse erkennen. Habe mir die Mail zwar ausgedruckt, aber diese in meinem E-Mail-account gelöscht.

Ich habe in einer 24 stündigen Aktion sämtliche Passwörter geändert (über 55 Stück) und meinen googlechrome browser so eingestellt, dass er neue Passwörter nicht mehr automatisch speichert.

Die ZIP-Datei (102,3 kb) habe ich geöffnet, weil ich sehen wollte, ob in der Rechnung mein Name erscheint.Aber es passierte nichts. Nach ca. 25 Minuten habe ich dann den Rechner heruntergefahren und am nächsten Tag zuerst eine Systemwiederherstellung auf Ende März 2013 vorgenommen und einen knapp 2 stündigen Suchlauf mit meinem Free Avira Antivirenprogramm gestartet.

Nach knapp 2 Stunden ist der Suchlauf unterbrochen worden, weshalb ich nach dieser Mail einen zweiten starten werde. Auf jeden Fall sind 19 schädliche Programme bzw. Viren gefunden worden. Weil die infizierten Dateien in Archiven nicht repariert werden konnten, hat Avira sie in Quarantäneverzeichnisse verschoben.
Weiter unten habe ich den Bericht meines Programms als Anhang drangeheftet und weil er mit fast 40 kb zu gro0 erscheint, auch in diesen Text weiter unten hineinkopiert, damit Sie es genauer verfolgen können.

Meine 2 Fragen:
1) Reichen die Maßnahmen meines Antivirenprogramms aus, damit ich wieder einen sicheren Rechner, wie früher, habe oder muss der Rechner komplett neu aufgesetzt werden?
2) Auf meinem Desktop befindet sich seit kurz nach 3 Uhr eine WRL0001.temp Datei, welche O Bytes hat, aber nicht gelöscht werden kann. Was könnte dies für eine Datei sein?

Ich verbleibe mit freundlichen Grüßen aus Krefeld und danke im Voraus

Giovani Di Fabio



Erstellungsdatum der Reportdatei: Donnerstag, 11. April 2013 11:03


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GIOVANNI-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 27.03.2013 23:01:39
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:25:22
LUKE.DLL : 13.6.0.902 67808 Bytes 27.03.2013 23:01:48
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 19.03.2013 20:12:02
AVREG.DLL : 13.6.0.940 250592 Bytes 19.03.2013 20:12:02
avlode.dll : 13.6.2.940 434912 Bytes 27.03.2013 23:01:38
avlode.rdf : 13.0.0.46 15591 Bytes 29.03.2013 08:18:35
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 13:19:34
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 13:19:35
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 13:19:35
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 13:19:35
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 13:19:35
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 13:19:35
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 13:19:36
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 13:19:36
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 13:19:36
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 13:19:36
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 13:19:36
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 13:19:37
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 13:19:37
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 13:19:37
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 00:00:05
VBASE015.VDF : 7.11.70.183 183808 Bytes 06.04.2013 14:53:37
VBASE016.VDF : 7.11.71.9 145920 Bytes 08.04.2013 09:15:38
VBASE017.VDF : 7.11.71.115 169472 Bytes 10.04.2013 06:36:04
VBASE018.VDF : 7.11.71.116 2048 Bytes 10.04.2013 06:36:04
VBASE019.VDF : 7.11.71.117 2048 Bytes 10.04.2013 06:36:04
VBASE020.VDF : 7.11.71.118 2048 Bytes 10.04.2013 06:36:04
VBASE021.VDF : 7.11.71.119 2048 Bytes 10.04.2013 06:36:04
VBASE022.VDF : 7.11.71.120 2048 Bytes 10.04.2013 06:36:04
VBASE023.VDF : 7.11.71.121 2048 Bytes 10.04.2013 06:36:04
VBASE024.VDF : 7.11.71.122 2048 Bytes 10.04.2013 06:36:04
VBASE025.VDF : 7.11.71.123 2048 Bytes 10.04.2013 06:36:04
VBASE026.VDF : 7.11.71.124 2048 Bytes 10.04.2013 06:36:04
VBASE027.VDF : 7.11.71.125 2048 Bytes 10.04.2013 06:36:05
VBASE028.VDF : 7.11.71.126 2048 Bytes 10.04.2013 06:36:05
VBASE029.VDF : 7.11.71.127 2048 Bytes 10.04.2013 06:36:05
VBASE030.VDF : 7.11.71.128 2048 Bytes 10.04.2013 06:36:05
VBASE031.VDF : 7.11.71.194 120832 Bytes 11.04.2013 08:19:36
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 13:19:48
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 14:52:08
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 15:57:54
AEPACK.DLL : 8.3.2.6 827767 Bytes 29.03.2013 08:18:34
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 19:39:15
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 13:19:46
AEHELP.DLL : 8.1.25.2 258423 Bytes 16.10.2012 10:36:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 26.03.2013 14:52:07
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 13:19:50
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:59:34
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:03:47
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 16:56:58
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 16:57:47
AVREP.DLL : 13.6.0.480 178544 Bytes 05.02.2013 16:55:40
AVARKT.DLL : 13.6.0.902 260832 Bytes 27.03.2013 23:01:36
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 27.03.2013 23:01:37
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 16:57:48
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 16:57:59
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:25:18
RCTEXT.DLL : 13.6.0.976 69344 Bytes 27.03.2013 23:00:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 11. April 2013 11:03

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'rndlresolversvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtlService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWlan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'DKTray.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pmsb.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHRE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyUtility.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSpeed.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXRCV.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXSTM.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSPPSVC.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1576' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Packard Bell>
C:\Users\Giovanni\AppData\Local\Temp\eeoapoiudl.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\kgxlnudajr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\llzynnstyp.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\vwzfhghjkr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\ysfppqudma.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\yzxamwpngv.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\ish9540615\DAT\DSiteU.dat
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCore.E
[0] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-6u39-windows-i586-iftw.exe
[1] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-7u15-windows-i586-iftw.exe
[2] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
[3] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[4] Archivtyp: ZIP
--> My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[6] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57753a64.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fb815f8.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1de74f10.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bd000d2.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e542dec.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '414f1f8d.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\ish9540615\DAT\DSiteU.dat
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCore.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0dab33ed.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\yzxamwpngv.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71a27396.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\ysfppqudma.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5cea5cd0.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\vwzfhghjkr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ae674e.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\llzynnstyp.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '29f24b43.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\kgxlnudajr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '587572db.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\eeoapoiudl.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5664421e.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 11. April 2013 12:53
Benötigte Zeit: 1:49:54 Stunde(n)

Der Suchlauf wurde abgebrochen!

36002 Verzeichnisse wurden überprüft
695067 Dateien wurden geprüft
19 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
13 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
695048 Dateien ohne Befall
16319 Archive wurden durchsucht
6 Warnungen
13 Hinweise
801870 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

WRL0001.temp Datei, die leer ist und die ich nicht löschen kann!

Vielen Dank und freundliche Grüße aus Krefeld von Giovanni

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 11. April 2013 11:03


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GIOVANNI-PC

Versionsinformationen:
BUILD.DAT : 13.0.0.3499 49286 Bytes 19.03.2013 16:29:00
AVSCAN.EXE : 13.6.0.986 639712 Bytes 27.03.2013 23:01:39
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 16:25:22
LUKE.DLL : 13.6.0.902 67808 Bytes 27.03.2013 23:01:48
AVSCPLR.DLL : 13.6.0.986 94944 Bytes 19.03.2013 20:12:02
AVREG.DLL : 13.6.0.940 250592 Bytes 19.03.2013 20:12:02
avlode.dll : 13.6.2.940 434912 Bytes 27.03.2013 23:01:38
avlode.rdf : 13.0.0.46 15591 Bytes 29.03.2013 08:18:35
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 13:19:34
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 13:19:35
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 13:19:35
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 13:19:35
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 13:19:35
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 13:19:35
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 13:19:36
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 13:19:36
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 13:19:36
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 13:19:36
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 13:19:36
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 13:19:37
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 13:19:37
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 13:19:37
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 00:00:05
VBASE015.VDF : 7.11.70.183 183808 Bytes 06.04.2013 14:53:37
VBASE016.VDF : 7.11.71.9 145920 Bytes 08.04.2013 09:15:38
VBASE017.VDF : 7.11.71.115 169472 Bytes 10.04.2013 06:36:04
VBASE018.VDF : 7.11.71.116 2048 Bytes 10.04.2013 06:36:04
VBASE019.VDF : 7.11.71.117 2048 Bytes 10.04.2013 06:36:04
VBASE020.VDF : 7.11.71.118 2048 Bytes 10.04.2013 06:36:04
VBASE021.VDF : 7.11.71.119 2048 Bytes 10.04.2013 06:36:04
VBASE022.VDF : 7.11.71.120 2048 Bytes 10.04.2013 06:36:04
VBASE023.VDF : 7.11.71.121 2048 Bytes 10.04.2013 06:36:04
VBASE024.VDF : 7.11.71.122 2048 Bytes 10.04.2013 06:36:04
VBASE025.VDF : 7.11.71.123 2048 Bytes 10.04.2013 06:36:04
VBASE026.VDF : 7.11.71.124 2048 Bytes 10.04.2013 06:36:04
VBASE027.VDF : 7.11.71.125 2048 Bytes 10.04.2013 06:36:05
VBASE028.VDF : 7.11.71.126 2048 Bytes 10.04.2013 06:36:05
VBASE029.VDF : 7.11.71.127 2048 Bytes 10.04.2013 06:36:05
VBASE030.VDF : 7.11.71.128 2048 Bytes 10.04.2013 06:36:05
VBASE031.VDF : 7.11.71.194 120832 Bytes 11.04.2013 08:19:36
Engineversion : 8.2.12.24
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.104 475517 Bytes 04.04.2013 13:19:48
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 14:52:08
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 15:57:54
AEPACK.DLL : 8.3.2.6 827767 Bytes 29.03.2013 08:18:34
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 19:39:15
AEHEUR.DLL : 8.1.4.278 5828985 Bytes 04.04.2013 13:19:46
AEHELP.DLL : 8.1.25.2 258423 Bytes 16.10.2012 10:36:27
AEGEN.DLL : 8.1.7.2 442741 Bytes 26.03.2013 14:52:07
AEEXP.DLL : 8.4.0.16 192886 Bytes 04.04.2013 13:19:50
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 21:59:34
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 15:03:47
AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 16:56:58
AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 16:57:47
AVREP.DLL : 13.6.0.480 178544 Bytes 05.02.2013 16:55:40
AVARKT.DLL : 13.6.0.902 260832 Bytes 27.03.2013 23:01:36
AVEVTLOG.DLL : 13.6.0.902 167648 Bytes 27.03.2013 23:01:37
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 16:57:48
NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 16:57:59
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 16:25:18
RCTEXT.DLL : 13.6.0.976 69344 Bytes 27.03.2013 23:00:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 11. April 2013 11:03

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S50RPB.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcAppFlt.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'rndlresolversvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtlService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWlan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'DKTray.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pmsb.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_IATIHRE.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyUtility.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSpeed.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXRCV.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUFAXSTM.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '123' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSPPSVC.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1576' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Packard Bell>
C:\Users\Giovanni\AppData\Local\Temp\eeoapoiudl.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\kgxlnudajr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\llzynnstyp.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\vwzfhghjkr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\ysfppqudma.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\yzxamwpngv.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
C:\Users\Giovanni\AppData\Local\Temp\ish9540615\DAT\DSiteU.dat
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCore.E
[0] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-6u39-windows-i586-iftw.exe
[1] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-7u15-windows-i586-iftw.exe
[2] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
[3] Archivtyp: Runtime Packed
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[4] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
--> C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[4] Archivtyp: ZIP
--> My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[5] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.zip
[6] Archivtyp: ZIP
--> Rechnung 10.04.2013 MyDirtyHobby.com
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Giovanni\Downloads\Rechnung My-Dirty-Hobby Online Nummer 355175089.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57753a64.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung.zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fb815f8.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (4).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1de74f10.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (3).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bd000d2.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (2).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e542dec.qua' verschoben!
C:\Users\Giovanni\Downloads\My-Dirty-Hobby Online 10.04.2013 Rechnung (1).zip
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '414f1f8d.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\ish9540615\DAT\DSiteU.dat
[FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCore.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0dab33ed.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\yzxamwpngv.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71a27396.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\ysfppqudma.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5cea5cd0.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\vwzfhghjkr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ae674e.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\llzynnstyp.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '29f24b43.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\kgxlnudajr.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '587572db.qua' verschoben!
C:\Users\Giovanni\AppData\Local\Temp\eeoapoiudl.pre
[FUND] Ist das Trojanische Pferd TR/Fukjoor.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5664421e.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 11. April 2013 12:53
Benötigte Zeit: 1:49:54 Stunde(n)

Der Suchlauf wurde abgebrochen!

36002 Verzeichnisse wurden überprüft
695067 Dateien wurden geprüft
19 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
13 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
695048 Dateien ohne Befall
16319 Archive wurden durchsucht
6 Warnungen
13 Hinweise
801870 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Bitte keine derartigen Anhänge mehr öffnen!
Wir schauen uns deinen Rechner erst mal etwas genauer an. ;)





Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!








Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von DeFogger,
• die Logdatei von GMER.

die beiden Log Dateien und die defogger_disable Datei
 

Hallo Matthias,

vielen Dank für deine Anweisungen.

Habe dir die beiden Logdateien (OTL.txt und Extras.txt) und die Log-Datei defogger_disable.txt
in diesen Thread hineinkopiert und warte dann im Übrigen auf deine "enable" Anweisung, um auch die letzte geforderte Log-Datei (= GMer.txt) in diesen Thread hineinzukopieren.

1. OTL-LogdateiOTL Logfile:
--- --- ---

2.OTL Logfile:
--- --- ---

3. Die defogger_disable Log-Datei

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:43 on 16/04/2013 (Giovanni)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Mit freundlichen Grüßen aus Krefeld

Giovanni

Servus,


bei DeFogger kannst du wieder auf Enable drücken.

Bitte poste die Logdatei von GMER, danach sehen wir weiter. :)

Hallo Matthias,

habe gmer heruntergeladen, aber ich weiß nicht wie ich mein Avira von Antivir deaktivieren kann?

Das wäre ja der nächste Schritt

Gruß Giovanni

Links neben der Uhrzeit befindet sich auf der Taskleiste ein Symbol für AntiVir (roter Schirm).
Rechtsklicke darauf. Mit einer der Optionen kannst du den Guard deaktivieren.

Guten Abend Matthias,

hat geklappt mit dem Deaktivieren von Antivir.

Hier nun also die 4. Logdatei:


GMER Logfile:
--- --- ---


Vielen Dank und viele Grüße aus Krefeld

von Giovanni Di Fabio

Servus,





Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

5) Logdatei von AdwCleanerAdwCleaner Logfile:
--- --- ---


6) Logdatei von JRT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.8.5 (04.17.2013:1)
OS: Windows 7 Home Premium x64
Ran by Giovanni on 18.04.2013 at 19:09:38,43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\windows nt\currentversion\windows\\AppInit_DLLs



~~~ Registry Keys



~~~ Files

Successfully deleted: [File] C:\Windows\prefetch\APNSTUB.EXE-5B731B15.pf
Successfully deleted: [File] C:\Windows\prefetch\ASKPARTNERCOBRANDINGTOOL.EXE-038E509C.pf
Successfully deleted: [File] C:\Windows\prefetch\ASKSLIB.EXE-2B511E3A.pf



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\browserprotect"
Successfully deleted: [Folder] "C:\ProgramData\ytd video downloader"
Successfully deleted: [Folder] "C:\Users\Giovanni\appdata\locallow\datamngr"
Successfully deleted: [Folder] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ytd video downloader"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 18.04.2013 at 19:19:42,79
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

7) Logdatei von ComboFix

Combofix Logfile:
--- --- ---


Mit freundlichen Grüßen Giovanni

Servus,




Schritt 1
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code:

  ---

  Folder::
c:\users\Giovanni\AppData\Roaming\1B99D9A4

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.






Schritt 3
Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :filefind
*babylon*
*funmood*
*askcom*
*asksearch*
*Search_Results*

:folderfind
BrowserProtect*
babylon*
Search_Results*
funmoods*
Askcom*
PutLockerDownloader*
AskSearch*
SearchYa*
yourfiledownloader*

:regfind
BrowserProtect
babylon
Search_Results
funmoods
Askcom
PutLockerDownloader
AskSearch
SearchYa
yourfiledownloader

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix,
• die Logdateien von OTL,
• die Logdatei von SystemLook.

Guten Tag,

hier habe ich die neue Logdatei reinkopiert.

Das habe ich als Textdatei gemacht.

Deine Anweisung "Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein." verstehe ich nicht, das heißt, ich weiß nicht, was ich da machen muss.

Vielleicht kannst du mir helfen?

Combofix Logfile:
--- --- ---

Mit freundlichen Güßen

Giovanni

Combofix Logfile:
--- --- ---

Dies ist die ComboFix.txt. Ich habe siue hineinkopiert, weil ich nicht weiß, wie es mit dem # gemacht wird.

Servus,




führe bitte Schritt 2 und 3 meiner letzten Antwort aus und poste die Logdateien.

8. Die OTL Datei
OTL Logfile:
--- --- ---

Servus,


fehlt noch die Extras.txt von OTL und die Logdatei von SystemLook. ;)

die beiden OTL-Dateien

a) mOTL Logfile:
--- --- ---


die Extras.txt Datei

mOTL Logfile:
--- --- ---

Die Log-Datei von SystemLook

SystemLook 30.07.11 by jpshortstuff
Log created at 03:25 on 20/04/2013 by Giovanni
Administrator - Elevation successful

========== filefind ==========

Searching for "*babylon*"
C:\Users\Giovanni\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\http_search.babylon.com_0.localstorage --a---- 3072 bytes [17:03 18/04/2013] [17:26 19/04/2013] BA2DC9532AF5873EAED80ABCFE541692
C:\Users\Giovanni\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\http_search.babylon.com_0.localstorage-journal --a---- 3608 bytes [17:03 18/04/2013] [17:26 19/04/2013] 08CA2D1C657A39DBA36E3CED158D1D76
C:\Users\Giovanni\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0ES5EWSC\BabylonToolbar_634704201315010000[1].png --a---- 1164 bytes [07:31 06/11/2012] [07:31 06/11/2012] 8825081F585628FA6E2F2236ACB5C018

Searching for "*funmood*"
C:\Windows\System32\Tasks\Funmoods --a---- 3532 bytes [11:42 23/02/2013] [11:42 23/02/2013] 8784B193F0B7426889499F8CB80906C2

Searching for "*askcom*"
C:\Windows\System32\taskcomp.dll --a---- 473600 bytes [12:56 29/08/2012] [13:27 20/11/2010] 6DC4A7242F565C9E9C9CCC7BB0FA75C7
C:\Windows\System32\de-DE\taskcomp.dll.mui --a---- 14848 bytes [02:41 31/12/2010] [02:41 31/12/2010] BD0A09B79E8F7F89908E2C94DAE064AF
C:\Windows\SysWOW64\taskcomp.dll --a---- 305152 bytes [12:56 29/08/2012] [12:21 20/11/2010] 1C3E8371377E988B683797A132EFFE1B
C:\Windows\SysWOW64\de-DE\taskcomp.dll.mui --a---- 14848 bytes [02:41 31/12/2010] [02:41 31/12/2010] E758D59C883A37BBF8A72CFE431FBFB7
C:\Windows\winsxs\amd64_microsoft-windows-t..atibility.resources_31bf3856ad364e35_6.1.7600.16385_de-de_ad0d764a76dfc578\taskcomp.dll.mui --a---- 14848 bytes [02:41 31/12/2010] [02:41 31/12/2010] BD0A09B79E8F7F89908E2C94DAE064AF
C:\Windows\winsxs\amd64_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.16385_none_c489ed71f5ecb9f6\taskcomp.dll --a---- 473600 bytes [23:47 13/07/2009] [01:41 14/07/2009] AEFBD8D2C9CE363F84AE0F89036412A6
C:\Windows\winsxs\amd64_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.16699_none_c483245ff5f132b8\taskcomp.dll --a---- 473600 bytes [14:26 28/08/2012] [05:17 02/11/2010] 1B547066D0A6CD40EB3BAAC6A9C7E7A9
C:\Windows\winsxs\amd64_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.20830_none_c5449fff0ee643f4\taskcomp.dll --a---- 473600 bytes [14:26 28/08/2012] [05:23 02/11/2010] B5D8684725908A0E72DCF488DF31F95E
C:\Windows\winsxs\amd64_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7601.17514_none_c6bb0139f2db3d90\taskcomp.dll --a---- 473600 bytes [12:56 29/08/2012] [13:27 20/11/2010] 6DC4A7242F565C9E9C9CCC7BB0FA75C7
C:\Windows\winsxs\x86_microsoft-windows-t..atibility.resources_31bf3856ad364e35_6.1.7600.16385_de-de_50eedac6be825442\taskcomp.dll.mui --a---- 14848 bytes [02:41 31/12/2010] [02:41 31/12/2010] E758D59C883A37BBF8A72CFE431FBFB7
C:\Windows\winsxs\x86_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.16385_none_686b51ee3d8f48c0\taskcomp.dll --a---- 304640 bytes [23:30 13/07/2009] [01:16 14/07/2009] 0D4E8439AD3159A335FA720E043EA22E
C:\Windows\winsxs\x86_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.16699_none_686488dc3d93c182\taskcomp.dll --a---- 305152 bytes [14:26 28/08/2012] [04:40 02/11/2010] EF8808FEA65723214D79734BDB79EBF6
C:\Windows\winsxs\x86_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7600.20830_none_6926047b5688d2be\taskcomp.dll --a---- 305152 bytes [14:26 28/08/2012] [04:28 02/11/2010] 1918ABE8B8670AF68D50FBCFB69FAA52
C:\Windows\winsxs\x86_microsoft-windows-t..duler-compatibility_31bf3856ad364e35_6.1.7601.17514_none_6a9c65b63a7dcc5a\taskcomp.dll --a---- 305152 bytes [12:56 29/08/2012] [12:21 20/11/2010] 1C3E8371377E988B683797A132EFFE1B

Searching for "*asksearch*"
No files found.

Searching for "*Search_Results*"
No files found.

========== folderfind ==========

Searching for "BrowserProtect*"
No folders found.

Searching for "babylon*"
C:\ProgramData\WildTangent\Packard Bell Game Console\UI\htdocs2\Common\product\babylonia d------ [03:51 31/08/2010]
C:\Users\All Users\WildTangent\Packard Bell Game Console\UI\htdocs2\Common\product\babylonia d------ [03:51 31/08/2010]

Searching for "Search_Results*"
No folders found.

Searching for "funmoods*"
No folders found.

Searching for "Askcom*"
No folders found.

Searching for "PutLockerDownloader*"
No folders found.

Searching for "AskSearch*"
No folders found.

Searching for "SearchYa*"
No folders found.

Searching for "yourfiledownloader*"
No folders found.

========== regfind ==========

Searching for "BrowserProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B342C325-5D2D-40A3-8748-FC6651877AC0}]
"Path"="\BrowserProtect"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BrowserProtect]

Searching for "babylon"
[HKEY_CURRENT_USER\Software\BI]
"is"="babylon1browsernew"
[HKEY_CURRENT_USER\Software\BI]
"ui_path_babylon1browsernew"="HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}"
[HKEY_CURRENT_USER\Software\BI]
"ui_key_babylon1browsernew"="UninstallString"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}]
"DllName"="BabylonToolbar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}]
"DllName"="BabylonToolbar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}]
"DllName"="BabylonToolbarTlbr.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}]
"DllName"="BabylonToolbar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}]
"DllName"="BabylonToolbar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}]
"DllName"="BabylonToolbarTlbr.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar]
"UninstallString"=""C:\Users\Giovanni\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Babylon Chrome Toolbar" -rmkey -ask -bname bbl"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar]
"OrigUninstString"=""C:\Users\Giovanni\AppData\Roaming\BabSolution\Shared\BUSUninstall.exe" -name="Babylon Chrome Toolbar""
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar]
"Publisher"="Babylon Ltd."
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar]
"DisplayName"="Babylon Chrome Toolbar"
[HKEY_USERS\S-1-5-21-3818570180-557909104-4182673626-1000\Software\BI]
"is"="babylon1browsernew"
[HKEY_USERS\S-1-5-21-3818570180-557909104-4182673626-1000\Software\BI]
"ui_path_babylon1browsernew"="HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}"
[HKEY_USERS\S-1-5-21-3818570180-557909104-4182673626-1000\Software\BI]
"ui_key_babylon1browsernew"="UninstallString"

Searching for "Search_Results"
No data found.

Searching for "funmoods"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7D08BC5-2283-4A96-B23C-3F03744477D3}]
"Path"="\Funmoods"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Funmoods]

Searching for "Askcom"
No data found.

Searching for "PutLockerDownloader"
No data found.

Searching for "AskSearch"
No data found.

Searching for "SearchYa"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B75EB821-36B4-46B6-83AA-7BDF5BE4D31E}]
"Path"="\Searchya"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Searchya]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchYa_1302-7f59da1c_RASAPI32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchYa_1302-7f59da1c_RASMANCS]

Searching for "yourfiledownloader"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7F952F2E-D9FF-4C1B-9757-4A3A219E8407}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{9C804108-D395-457A-ACF5-C0988DCCE05B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{F74E3EC3-AB5E-4554-93A0-6689411152D1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A6B61D48-1766-4B94-88B5-7ADB5D8DDE5B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7F952F2E-D9FF-4C1B-9757-4A3A219E8407}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{9C804108-D395-457A-ACF5-C0988DCCE05B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{F74E3EC3-AB5E-4554-93A0-6689411152D1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A6B61D48-1766-4B94-88B5-7ADB5D8DDE5B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{7F952F2E-D9FF-4C1B-9757-4A3A219E8407}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{9C804108-D395-457A-ACF5-C0988DCCE05B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\Downloader.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{F74E3EC3-AB5E-4554-93A0-6689411152D1}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{A6B61D48-1766-4B94-88B5-7ADB5D8DDE5B}"="v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files (x86)\YourFileDownloader\YourFile.exe|Name=YourFile Downloader|"

-= EOF =-

Servus,


wir entfernen noch ein paar Reste und kontrollieren nochmal alles. :)






Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

zu Schritt 1: Fixen mit OTL


All processes killed
========== OTL ==========
C:\Users\Giovanni\Documents\Rechnung 10.04.2013 MyDirtyHobby folder moved successfully.
ADS C:\ProgramData\TEMP:373E1720 deleted successfully.
========== FILES ==========
c:\users\Giovanni\AppData\Roaming\1B99D9A4 folder moved successfully.
C:\Users\Giovanni\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\http_search.babylon.com_0.localstorage moved successfully.
C:\Users\Giovanni\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\http_search.babylon.com_0.localstorage-journal moved successfully.
File\Folder C:\Windows\System32\Tasks\Funmoods not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B342C325-5D2D-40A3-8748-FC6651877AC0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B342C325-5D2D-40A3-8748-FC6651877AC0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BrowserProtect\ not found.
Registry key HKEY_CURRENT_USER\Software\BI\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Babylon Chrome Toolbar\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-3818570180-557909104-4182673626-1000\Software\BI\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7D08BC5-2283-4A96-B23C-3F03744477D3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B7D08BC5-2283-4A96-B23C-3F03744477D3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Funmoods\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B75EB821-36B4-46B6-83AA-7BDF5BE4D31E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B75EB821-36B4-46B6-83AA-7BDF5BE4D31E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Searchya\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchYa_1302-7f59da1c_RASAPI32\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchYa_1302-7f59da1c_RASMANCS\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F74E3EC3-AB5E-4554-93A0-6689411152D1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F74E3EC3-AB5E-4554-93A0-6689411152D1}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{A6B61D48-1766-4B94-88B5-7ADB5D8DDE5B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6B61D48-1766-4B94-88B5-7ADB5D8DDE5B}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Giovanni
->Temp folder emptied: 40215 bytes
->Temporary Internet Files folder emptied: 246319016 bytes
->Java cache emptied: 31563469 bytes
->FireFox cache emptied: 3762748 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 596903 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 95343 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 269,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04202013_135618

Files\Folders moved on Reboot...
C:\Users\Giovanni\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Giovanni\AppData\Local\Temp\FXSTIFFDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

das nächste Logfie (zu Schritt 2)

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.04.20.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Giovanni :: GIOVANNI-PC [Administrator]

Schutz: Aktiviert

20.04.2013 14:12:13
mbam-log-2013-04-20 (14-12-13).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 241332
Laufzeit: 7 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Fehlen noch ESET und SecurityCheck. :)

Hallo Matthias,

dies ist Schritt 3 eset.log.txt

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=ebee11472f8f2848b8b48b18dd1f82cf
# engine=13659
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-20 02:04:06
# local_time=2013-04-20 04:04:06 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 0 231889937 14575 0
# compatibility_mode=5893 16776573 100 94 21479 118096497 0 0
# scanned=106117
# found=0
# cleaned=0
# scan_time=5141

Nun folgt der 4. Schritt:

die checkup.txt Datei vom SecurityCheck meines Rechners:

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 17
Adobe Flash Player 11.7.700.169
Adobe Reader XI
Mozilla Firefox 18.0.1 Firefox out of Date!
Google Chrome 26.0.1410.43
Google Chrome 26.0.1410.64
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````


MfG Giovanni

Servus,



Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier:
  Java Download (32 bit)
• Speichere die Datei auf deinem Desktop.
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 21 ) installieren.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

schneller Plugin-Test: PluginCheck





Schritt 2

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig) ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Schritt 3
Sofern verwendet, starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.





Schritt 4
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
• Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.

Schritt 5
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.


Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• WOT (Web of trust)
  Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC


Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein paar ( englische ) Links:
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )


Was du vermeiden solltest:

• Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
• Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias,

vielen Dank für die Anleitung und die Tipps. Alles läuft gut und ich bin sehr zufrieden.

Viele Grüße aus Krefeld und weiterhin eine gute und erfolgreiche Arbeit

von Giovanni

Guten Morgen Matthias,

ich habe - glaube ich - die gleichen Trojaner auch auf meinem älteren Rechner (aus dem Jahre 2000) mit dem Betriebssystem Windows XP.

Kann ich da die gleichen Schritte (adwcleaner, Junkware Removal Tool, Combofix usw.) durchführen, die du mir für meinen neuen Rechner (der ja unter Windows 7 läuft) in dieser Woche hier im Thread angewiesen hast, durchführen?

Freundliche Grüße aus Krefeld

Giovanni

Servus,



Jeder Rechner bedarf einer individuellen Behandlung.
Wenn du möchtest, können wir uns nun um den XP-Rechner kümmern.

Dazu bitte folgendes auf dem XP-Rechner ausführen:







Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!








Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von DeFogger,
• die Logdatei von GMER.

1) die OTL.exeOTL Logfile:
--- --- ---


OTL EXTRAS Logfile:
--- --- ---

Schritt 1, 2. Extra.txtOTL EXTRAS Logfile:
--- --- ---

Schritt 2, die defogger_disable.txt Datei:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:39 on 21/04/2013 (Studio0812)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

zu Schritt 4:

GMER Logfile:
--- --- ---

Mit freundlichen Grüßen Giovanni

Servus,





AdwCleaner bitte zweimal hintereinander ausführen und beide Logdateien davon posten. Anschließend mit JRT und ComboFix weitermachen!







Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.