Trojaner-Board - Ukash Trojaner Windows Update 100 Euro zahlen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ukash Trojaner Windows Update 100 Euro zahlen (https://www.trojaner-board.de/121309-ukash-trojaner-windows-update-100-euro-zahlen.html)

Ukash Trojaner Windows Update 100 Euro zahlen

Hallo
vor drei Tagen habe ich mir einen Ukash Trojaner eingefangen. Das ist ein Windows Update Trojaner. Der hat mir diesen Pc gesperrt und ich konnte nichts machen. Dann habe ich mich im internet, weil ich keine Ahnung Viren und so habe, darüber informiert, wie ich das Problem lösen kann.
Ich habe dann versucht den Abgesicherten Modus zu starten und es hat nicht funktioniert. Es wurde angezeigt, dass Windows aus Sicherheitsgründen herunter gefahren wurde. Das war bei allen drei Abgesicherten Modi so. Durch Zufall habe ich in den Windows Domänekontroller gestartet und ich kam in den Abgesicherten Modus. Vorher hatte ich auf dieser Seite ,,hxxp://www.helpster.de/ukash-entfernen-so-werden-sie-den-trojaner-los_107762" gefunden wie ich einen Trojaner aus dem Autostart entferne. Ich kam aber nicht in die Systemkonfigurationen rein. Dann habe ich Malewarebytes Anti-Maleware installiert und einen System Scan gemacht. Das Programm hatte ich vorher von einem zweiten Pc heruntergeladen und es war eine ältere Version. Danach konnte ich den Trojaner im Autostart ausstellen und im Normalen Modus hochfahren. Dann habe ich Malewarebytes geupdated und einen Quik Scan gemacht. Ebenso einen Avira System Scan.
Dannach habe ich in den Systemkonfigurationen geguckt ob der Trojaner noch zur Auswahl steht und er war noch da. Am nächsten Tag habe ich Malewarbytes nochmal geupdatet und einen Quik Scan gemacht. Außerdem habe ich versucht den Trojaner Manuel zulöschen nach der Anleitung von dieser Seite: ,,hxxp://www.ostblog-online.de/ukash-trojaner-sicher-entfernen/". Das war die dritte Möglichkeit und die Schritte für Windows XP. Ich habe das aber nicht im Abgesicherten Modus gemacht sondern im Normalen. Der fünfte Schritt hat nicht funktioniert, weil der Ordner ,,vasja" nicht da war.
Dann habe ich die Anleitung von euch befolgt und Defogger, OTL und GMER scanen lassen. Im Anhang sind in der Reihenfolge wie die Scans gelaufen sind die Ergebnisse.
Vielen Dank im Voraus für eure Hilfe

PS: Die von Malewarebytes gefundenen Sachen habe ich in Quarantäne gestellt und gelöscht.

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PLCMPR5.SYS -- (PLCMPR5) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 

DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 

DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) 

DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\yaxgxlfm.sys -- (etlk) 

DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 

FF - prefs.js..browser.startup.homepage: "www.google.de" 

FF - user.js - File not found 

O4 - HKLM..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe () 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-1078081533-746137067-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-1078081533-746137067-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 

O16 - DPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab (Java Plug-in 1.6.0_33) 

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2009.11.01 09:50:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

O33 - MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\Shell - "" = AutoRun 

O33 - MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\Shell\AutoRun\command - "" = "E:\WD SmartWare.exe" autoplay=true 

O33 - MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\Shell - "" = AutoRun 

O33 - MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\Shell\AutoRun\command - "" = F:\MediaManager.exe 

O33 - MountPoints2\F\Shell - "" = AutoRun 

O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play 

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\MediaManager.exe 
 

 

[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.08.04 18:50:06 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\h79wg25v.exe 
 

@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Administrator\Desktop\locked-Bewerbungsanschreiben Teatertotal.doc.venv:SummaryInformation 
 

[2012.08.01 04:05:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh320 

[2012.08.01 04:05:00 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh322 

[2012.08.01 04:04:56 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh321 

[2012.08.01 04:04:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh325 

[2012.08.01 04:04:32 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh323 

[2012.08.01 04:04:20 | 000,960,056 | ---- | M] () -- C:\WINDOWS\System32\winsh324 
 

[2012.07.27 17:15:51 | 000,000,408 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hier ist Logfile

Code:

All processes killed

========== OTL ==========

Service WDICA stopped successfully!

Service WDICA deleted successfully!

Service PLCMPR5 stopped successfully!

Service PLCMPR5 deleted successfully!

File C:\WINDOWS\system32\PLCMPR5.SYS not found.

Service PDRFRAME stopped successfully!

Service PDRFRAME deleted successfully!

Service PDRELI stopped successfully!

Service PDRELI deleted successfully!

Service PDFRAME stopped successfully!

Service PDFRAME deleted successfully!

Service PDCOMP stopped successfully!

Service PDCOMP deleted successfully!

Service PCIDump stopped successfully!

Service PCIDump deleted successfully!

Service lbrtfdc stopped successfully!

Service lbrtfdc deleted successfully!

Service i2omgmt stopped successfully!

Service i2omgmt deleted successfully!

Service etlk stopped successfully!

Service etlk deleted successfully!

File System32\drivers\yaxgxlfm.sys not found.

Service Changer stopped successfully!

Service Changer deleted successfully!

Prefs.js: "www.google.de" removed from browser.startup.homepage

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SNPSTD2 deleted successfully.

C:\WINDOWS\vsnpstd2.exe moved successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.

Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1078081533-746137067-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1078081533-746137067-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.

Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.

Starting removal of ActiveX control {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}\ not found.

Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48049b74-7967-11e0-9e68-f1ead25f43c0}\ not found.

File "E:\WD SmartWare.exe" autoplay=true not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67f6cde1-c46e-11e1-a063-00301b3cad29}\ not found.

File F:\MediaManager.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F\ not found.

File F:\MediaManager.exe not found.

C:\WINDOWS\System32\CONFIG.TMP deleted successfully.

C:\WINDOWS\System32\tmp21.tmp deleted successfully.

C:\WINDOWS\System32\tmp22.tmp deleted successfully.

C:\Dokumente und Einstellungen\Administrator\Desktop\h79wg25v.exe moved successfully.

ADS C:\Dokumente und Einstellungen\Administrator\Desktop\locked-Bewerbungsanschreiben Teatertotal.doc.venv:SummaryInformation deleted successfully.

C:\WINDOWS\system32\winsh320 moved successfully.

C:\WINDOWS\system32\winsh322 moved successfully.

C:\WINDOWS\system32\winsh321 moved successfully.

C:\WINDOWS\system32\winsh325 moved successfully.

C:\WINDOWS\system32\winsh323 moved successfully.

C:\WINDOWS\system32\winsh324 moved successfully.

C:\WINDOWS\tasks\1-Klick-Wartung.job moved successfully.

========== FILES ==========
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Administrator\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 41103679 bytes

->Temporary Internet Files folder emptied: 26653768 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 670779578 bytes

->Flash cache emptied: 6834 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1939535 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 49389968 bytes

RecycleBin emptied: 65467774 bytes

 

Total Files Cleaned = 816,00 mb

 

 

[EMPTYFLASH]

 

User: Administrator

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.43.0 log created on 08062012_201842
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Vielen Dank für die Hilfe!!!! Ich habe gesperrte Dateien auf dem Pc und von defogger das Ergebniss nicht als Anhang hochladen können. Der Inhalt der Datei kommt jetzt offen:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:56 on 04/08/2012 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hier ist der Logfile von Malewarebytes:

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.07.06
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

Administrator :: HOME-PC [Administrator]
 

07.08.2012 20:31:57

mbam-log-2012-08-07 (20-31-57).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 257157

Laufzeit: 1 Stunde(n), 1 Minute(n), 35 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

und der von adwcleaner

Code:

# AdwCleaner v1.800 - Logfile created 08/07/2012 at 21:42:35

# Updated 01/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)

# User : Administrator - HOME-PC

# Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe

# Option [Search]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 
 

***** [Registry] *****
 

Key Found : HKLM\SOFTWARE\Wise Solutions
 

***** [Registre - GUID] *****
 
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v6.0.2900.5512
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [604 octets] - [07/08/2012 21:42:35]
 

########## EOF - C:\AdwCleaner[R1].txt - [731 octets] ##########

Der PC läuft denke ich so wie vorher, aber er macht nach jedem Hochfahren die Meldung, dass nicht alle Autostart Programme aktiviert sind. In den Systemkonfigurationsprogrammen unter Systemstart ist immer noch ein Programm mit der Bezeichnung D6823970C0845518F114, dem Befehl C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ppfuolxrqa\D6823970C0845518F114.exe und dem Pfad SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Wenn ich den Befehl auf der Festplatte nachgehe gibt es den Ordner Ppfuolxrqa nicht, er ist auch nicht versteckt, auch war der Pfad nicht vollstandig als ich das letzte Mal geguckt ( ich weiß gerade nicht mehr wie man das findet). Als ich das Programm wieder aktiviert hatte war der Pc wieder gesperrt, aber ich habe es nicht nochmal ausprobiert, seit dem ich angefangen habe an euch zu schreiben. :dankeschoen:

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Ich habe das gemacht. Hier ist die Logdatei von adwcleaner

Code:

# AdwCleaner v1.800 - Logfile created 08/08/2012 at 17:40:51

# Updated 01/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)

# User : Administrator - HOME-PC

# Running from : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 
 

***** [Registry] *****
 

Key Deleted : HKLM\SOFTWARE\Wise Solutions
 

***** [Registre - GUID] *****
 
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v6.0.2900.5512
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [731 octets] - [07/08/2012 21:42:35]

AdwCleaner[S1].txt - [665 octets] - [08/08/2012 17:40:51]
 

########## EOF - C:\AdwCleaner[S1].txt - [792 octets] ##########

und das Logfile von Emisoft

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 08.08.2012 17:49:19
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        08.08.2012 17:49:57
 

C:\Programme\Total.Commander.6.54a\Warcraft III - Netzwerk\War3.exe         gefunden: possible-Threat.Patch.WarcraftIII!E2
 

Gescannt        543326

Gefunden        1
 

Scan Ende:        08.08.2012 20:02:46

Scan Zeit:        2:12:49
 

C:\Programme\Total.Commander.6.54a\Warcraft III - Netzwerk\War3.exe        Quarantäne possible-Threat.Patch.WarcraftIII!E2
 

Quarantäne        1

Vor dem Scan von Emisoft habe ich ,,Am Anti-Maleware-Network teilnehmen" ausgeschaltet, war das in Ordnung???
Die von Emisoft gefundene Datei habe ich eigendlich schon seit Jahren, bevor ich diesen Pc ans Internet angeschlossen habe.
Das Programm im Systemstart ist noch da.
Vielen Dank!!!!!!

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Vor dem Scan von combofix habe ich aus versehen die Firewall nicht deaktiviert!!!!! :stirn:, aber sie hat keinen Alarm oder dergleichen geschlagen und hier ist der Log von combofix
Combofix Logfile:

Code:

ComboFix 12-08-08.03 - Administrator 09.08.2012  10:54:21.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.572 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Administrator\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\pi.exe

c:\windows\pkunzip.pif

c:\windows\pkzip.pif

c:\windows\system32\Thumbs.db

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-07-09 bis 2012-08-09  ))))))))))))))))))))))))))))))

.

.

2012-08-08 15:44 . 2012-08-09 06:24        --------        d-----w-        c:\programme\Emsisoft Anti-Malware

2012-08-06 18:18 . 2012-08-06 18:18        --------        d-----w-        C:\_OTL

2012-08-03 10:29 . 2012-08-03 10:29        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2012-08-03 10:29 . 2012-08-03 10:29        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-08-03 10:29 . 2012-08-03 10:29        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-08-03 10:29 . 2012-07-03 11:46        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-08-02 17:17 . 2012-08-03 18:15        --------        d-----w-        c:\windows\system32\NtmsData

2012-08-02 14:28 . 2012-08-02 14:28        --------        d-----w-        c:\windows\Sun

2012-07-28 07:50 . 2012-08-03 21:23        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype

2012-07-28 07:49 . 2012-07-28 07:49        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype

2012-07-28 07:49 . 2012-07-28 07:49        --------        d-----r-        c:\programme\Skype

2012-07-28 07:49 . 2012-08-03 20:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype

2012-07-27 17:30 . 2012-07-27 17:30        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan

2012-07-27 17:30 . 2012-07-27 17:30        --------        d-----w-        c:\programme\McAfee Security Scan

2012-07-27 17:30 . 2012-07-27 17:30        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2012-07-27 17:30 . 2012-07-27 17:30        70344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-07-27 17:30 . 2012-07-27 17:30        426184        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-07-27 17:18 . 2012-07-27 17:18        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2012-07-27 17:18 . 2012-07-27 17:18        --------        d-----w-        c:\programme\Mozilla Maintenance Service

2012-07-27 17:12 . 2012-07-27 17:12        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira

2012-07-27 17:06 . 2012-04-27 08:20        137928        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-07-27 17:06 . 2012-04-24 22:32        83392        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-07-27 17:06 . 2012-04-16 19:17        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-07-27 17:06 . 2012-07-27 17:06        --------        d-----w-        c:\programme\Avira

2012-07-27 17:06 . 2012-07-27 17:06        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2012-07-27 16:56 . 2012-07-27 16:56        --------        d-----w-        c:\windows\ServicePackFiles

2012-07-27 16:03 . 2012-07-27 16:03        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2012-07-27 16:02 . 2012-07-27 16:02        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2012-07-27 16:02 . 2012-07-27 16:02        476976        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-07-27 16:02 . 2012-07-27 16:02        --------        d-----w-        c:\programme\Java

2012-07-27 14:05 . 2012-07-27 14:05        --------        d-----w-        c:\programme\devolo

2012-07-19 19:16 . 1998-08-10 20:21        132096        ----a-w-        c:\windows\system32\eaexec.exe

2012-07-19 19:16 . 1998-08-10 20:20        24576        ----a-w-        c:\windows\system32\ealtest.exe

2012-07-19 18:46 . 2012-07-19 18:46        --------        d-s---w-        c:\dokumente und einstellungen\Administrator\UserData

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-27 16:02 . 2011-10-30 12:18        472880        ----a-w-        c:\windows\system32\deployJava1.dll

2012-06-17 10:13 . 2012-06-17 10:13        86528        ----a-w-        c:\windows\bnetunin.exe

2012-06-17 10:13 . 2012-06-17 10:13        61440        ----a-w-        c:\windows\diabunin.exe

2012-06-04 15:35 . 2009-11-01 07:48        210968        ----a-w-        c:\windows\system32\wuweb.dll

2012-07-14 00:15 . 2012-07-27 17:18        136672        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]

"SoundMan"="SOUNDMAN.EXE" [2006-06-01 67072]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]

"emsisoft anti-malware"="c:\programme\Emsisoft Anti-Malware\a2guard.exe" [2012-07-30 3408288]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.207\SSScheduler.exe [2011-6-17 272528]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 7 (0x7)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\DOW1\\Soulstorm.exe"=

"c:\\Programme\\DOW1\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

"c:\\Programme\\devolo\\informer\\devinf.exe"=

"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.

R1 A2DDA;A2 Direct Disk Access Support Driver;c:\programme\Emsisoft Anti-Malware\a2ddax86.sys [08.08.2012 17:44 17904]

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [27.07.2012 19:06 36000]

R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [10.05.2011 18:16 120320]

R2 a2AntiMalware;Emsisoft Anti-Malware 6.6 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [08.08.2012 17:44 3075920]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2012 19:06 86224]

R2 litsgt;litsgt;c:\windows\system32\drivers\litsgt.sys [06.01.2012 19:44 137344]

R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [17.05.2004 11:21 17280]

R2 tansgt;tansgt;c:\windows\system32\drivers\tansgt.sys [06.01.2012 19:44 12032]

S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 13:28 160944]

S3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [08.08.2012 17:44 54072]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.207\McCHSvc.exe [17.06.2011 19:33 237008]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [27.07.2012 19:18 113120]

S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [08.05.2011 14:03 11520]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\0o3fvfw2.default\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

MSConfigStartUp-C0B45518 - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ppfuolxrqa\D6823970C0B45518F114.exe

AddRemove-KnightsAndMerchants - c:\windows\unin0407.exe

AddRemove-Nox - c:\westwood\Nox\Uninstll.EXE

AddRemove-Populous: The Beginning - c:\windows\IsUn0407.exe

AddRemove-Reise nach Nordland - c:\windows\IsUn0407.exe

AddRemove-WOLAPI - c:\westwood\Internet\UnstllAP.EXE

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-08-09 11:00

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-08-09  11:01:50

ComboFix-quarantined-files.txt  2012-08-09 09:01

.

Vor Suchlauf: 6.749.962.240 Bytes frei

Nach Suchlauf: 7.110.201.344 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

.

- - End Of File - - C5B5882017BCD5EB33AD87F9971D73B1

sonst hat alles soweit funktioniert
und Vielen vielen Dank

Verdammt ich habe die zweite Datei vergessen hier ist sie

Code:

Adobe Flash Player 11 Plugin

Adobe Photoshop CS2

Adobe Reader 6.0.1

AGEIA PhysX v7.07.24

ANNO 1503

Asterix and Obelix XXL2

Avira Free Antivirus

Battle.net

Counter-Strike 1.6

devolo dLAN-Konfigurationsassistent

devolo EasyClean

devolo EasyShare

devolo Informer

Diablo

Diablo II

DIE SIEDLER - Das Erbe der Könige - Gold Edition

Emsisoft Anti-Malware

Gemeinsam genutzte Internet-Komponenten von Westwood

Gothic 2 Gold

Heroes of Might & Magic V: Hammers of Fate

Heroes of Might and Magic V

Heroes of Might and Magic V - Tribes of the East

HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs

Java Auto Updater

Java(TM) 6 Update 33

KnightsAndMerchants

Malwarebytes Anti-Malware Version 1.62.0.1300

McAfee Security Scan Plus

Microsoft Office Professional Edition 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Mozilla Firefox 14.0.1 (x86 de)

Mozilla Maintenance Service

Nox

OpenAL

Populous: The Beginning

Prince of Persia T2T

Prince of Persia The Sands of Time

Prince of Persia The Two Thrones

Prince of Persia Warrior Within

Reise nach Nordland

Roll

Rome - Total War - Gold Edition

SE A3 USB 1200 Pro v1.0

SES Driver

Sexy Beach 3 - Complete English Edition (remove only)

Sicherheitsupdate für Windows Media Player 10 (KB911565)

Sicherheitsupdate für Windows XP (KB913433)

Skype™ 5.10

Sonic & Knuckles Killer !

The Bard's Tale

Total Commander 6.54a

TuneUp Utilities 2006

VideoCAM Look

WebFldrs XP

Windows Media Format 11 runtime

Windows Media Player 11

Windows XP Service Pack 3

Das Programm aus dem Systemkonfigurationsprogramm im Systemstart ist weg:singsing:

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier ist der Log von ESET

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e70df025ce8e5d4388d8a0bd92d59747

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-09 11:47:54

# local_time=2012-08-09 01:47:54 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1792 16777175 100 0 1099442 1099442 0 0

# compatibility_mode=8192 67108863 100 0 381 381 0 0

# scanned=82764

# found=0

# cleaned=0

# scan_time=4661

Sind damit alle Trojaner, Vieren, etc. entfernt????
Ich habe auch noch locked Dateien auf dem PC. Endungen sind z.B. .myrm .ulju .ykly.

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Java ist aktualisiert und alle alten Versionen sind gelöscht.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Wegen der verschluesselten Dateien: http://www.trojaner-board.de/116851-...strojaner.html

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?

Es ist alles gemacht, bis auf die gesperrten Dateien und die Lektüren, aber die werde ich auch noch lesen.
Für deine Hilfe kann ich mich nur bedanken, die war sehr gut. Und einen Dank daran, dass es eine solche Hompage gibt und ihr das Team euch einfach so die Zeit nehmt Leuten einfach so zu helfen. Also:
Vielen vielen herzlichen Dank!!!!!!!!!!!!!:dankeschoen::dankeschoen::dankeschoen: