Nachtrag:

grade nochmal durch die anwendungsdaten Ordner geklickt:

I:\Dokumente und Einstellungen\luexx\Anwendungsdaten\Google Inc\{21F997AA-CC95-4BB3-87E3-15818E93D1A7}
da ist mal wieder ein upgradeChecker.exe drin, und im autostart auch eingetragen..

nein, ich bin nicht tim taylor ;)
nen rod hab ich auch nich.. aber ich find die geil.... hatte mit nem kumpel an seinem audi geschraubt..

soo, hier ist der log:

Führ bitte erstmal CF aus!

erledigt, siehe oben drüber ;)

Wieso hast du nur das SP2 und den IE6 für dein WinXP drauf? Man muss sein System schon aktuell halten! Machen wir später!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

alles klar, wird gleich gemacht.

IE hatte ich noch NIE benutzt, daher war mir der bis dato vollkommen egal...
SP2.. ja.. ich bin auch so ein gebrandmarktes kind.. einmal nen rechner gehabt mit automatischen updates, nach nem update ging nichts mehr.. deswegen habe ich seit dem schön nach der devise gelebt: Never touch a running system!

;)

bis gleich

so, rechner ist neugestartet, firewall ist automatisch an...

hier log:

Ist die Upgradechecker immer noch da? CF meldet, dass es diese nicht löschen konnte :confused:

jep ist immernoch noch da... sehr strange.. manuell löschen kann ich die datei ja.. aber hinter der datei muss ja noch irgendne andere stecken, die diesen upgradechecker immer wieder erstellt...

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

so..hier nun gmer:
und osam:

und hier die aswMBR:

Hm, versuchen wir nochmal einen OTL-Fix um die Upgradechecker zu löschen

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hier ist das log:

kannst du mir sagen, für was bzw was in den ordnern in: Anwendungsdaten\xxx ist oder sein sollte,

bzw was in:
Anwendungsdaten\Identities sein sollte, lt.. google in unterordnern dieser cryptischen zahlen, zb outlook save.. aber die sind entweder alle leer, oder haben eine xxxxx.dat datei drin...

können die auch von der infizierung sein? - sonst war nach dem neustart erstmal kein upgradechecker mehr da...

Das sind idR automatisch angelegte Ordner, mach dir darüber keine Sorgen
Schonmal gut, dass die Upgradechecker nun auch weg ist :)

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

ahjo.. na denne.. ;)

so, malwarebytes hatte ich (ich kann wohl gedankenlesen) 2minuten bevor ich ins forum geschaut hatte gemacht :party:

SASW:

holla... da war doch noch einiges an müll druff..

DIese Registrywerte bedeuten, dass die Einstellungen im Sicherheitscenter deaktiviert wurden und du keine Nachricht bekommt, wenn die Windows-Firewall und die automatischen Updates deaktiviert sind und der Virenscanner zu alte Signaturen hat

Ist wenn überhaupt nur ein Überbleibsel in einem Wiederherstellungspunkt. In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Auf Laufwerk F:? Was ist Laufwerk F: denn bei dir?
SPTD ist eigentlicher ein Treiber von den Daemon-Tools...

Was ist das? :wtf:

Ansonsten nur eine Menge Cookies und noch etwas mehr Müll in den Wiederherstellungspunkten

weiss ich, hab die vor jedem scan ausgeschalten ;)

F: ist meine alte platte vom alten rechner, hatte die einfach angeklemmt um die daten zu haben, die windowsdateien plattgemacht und wenn ich mal zeit habe wollte ich sie aussortieren-- das is nu gute 6 jahre her ;)

eigentlich ein tool was automatisch bei private servern von silkroad pottet (hp tränke nutzt) aber das hab ich gleich mit entfernt, ich spiel schon lange keine P server mehr :)


2 kurze fragen noch, irgendwo hier hatte ich mal ne anleitung gelesen, wie man die alten javaversionen entfernen kann, mit nem tool, ich finds aber nich mehr...weisst du das zufällig?

und:
meine taskleiste ist fixiert auf doppelzeile, nach jedem neustart ist die immer noch fixiert, aber nur einzeilig, ne idee? :)