Trojaner-Board - Weißer Bildschirm, "Diese Website kann nicht angezeigt werden"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Weißer Bildschirm, "Diese Website kann nicht angezeigt werden" (https://www.trojaner-board.de/126348-weisser-bildschirm-diese-website-angezeigt.html)

Weißer Bildschirm, "Diese Website kann nicht angezeigt werden"

Hallo Community

Ich habe mir letzten Monat einen Trojaner eingefangen: wenn ich meinen Laptop normal aufstarte, kommt nach ca. 10 Sekunden ein weisser Bildschirm und danach "Die Webseite kann nicht angezeigt werden. Den Laptop kann ich immer noch im abgesicherten Modus mit Netzwerktreiber laufen lassen, aber das ist hald schon nicht so das wahre:). Deshalb bitte ich euch hier um hilfe.
Laptop läuft mit Windows Vista Home Basic, 32-Bit-Version, CD-Laufwerk ist kaputt, USB-Anschlüsse funktionieren.
Hab schon einige Beiträge in diesem Forum gelesen und je nach Problem wird ein bisschen etwas anderes angewiesen, deshalb habe ich noch keine scans ausgeführt.

Vielen Dank
Mit freundlichen Grüssen
Nicolas Ehrenberg

:hallo:

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Starte deinen Rechner erneut im abgesicherten Modus mit Netzwerkunterstützung und führe dort die folgenden Schritte aus:

Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

Starte bitte dds mit einem Doppelklick.
Der Desktop wird verschwinden, das ist normal.
Setze bitte einen Haken bei
- dds.txt ( Sollte angehakt sein )
- attach.txt
Ändere keine Einstellungen ohne Anweisung
Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
- dds.txt
- attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 3
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 4
Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Bitte poste mit deiner nächsten Antwort

die beiden Logdateien von DDS,
die Logdatei von DeFogger,
die Logdatei von aswMBR,
die Logdatei von TDSSKiller.

Hallo Matthias

Vielen Dank erstmal für die Antwort!

Ich habe deine Anweisungen befolgt und es hat alles geklappt (glaube zumindest :)).

Im Anhang sind die Logfiles. Hier das dds.txt file:

DDS Logfile:

Code:

DDS (Ver_2012-10-19.01) - NTFS_x86 NETWORK

Internet Explorer: 7.0.6001.18000  BrowserJavaVersion: 10.5.1

Run by Nick at 17:33:32 on 2012-11-03

Microsoft® Windows Vista™ Home Basic   6.0.6001.1.1252.41.1031.18.2038.1275 [GMT 1:00]

.

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ================

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Program Files\Google\Chrome\Application\chrome.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://mystart.incredibar.com/mb119?a=6R8nAjEL9z&i=26

uWindow Title = Internet Explorer bereitgestellt von Dell

uDefault_Page_URL = hxxp://www.google.ch/ig/dell?hl=de&client=dell-row&channel=ch&ibd=3070717

uProxyServer = hxxp=127.0.0.1:8074

uProxyOverride = <local>;*.local

mSearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=34b0eb59000000000000001b77676c55&tlver=1.4.19.19&ss=1&affID=17395

uURLSearchHooks: pdfforge Toolbar: {B922D405-6D13-4A2B-AE89-08A030DA4402} - c:\program files\pdfforge toolbar\ie\4.6\pdfforgeToolbarIE.dll

uURLSearchHooks: Freeware.de Toolbar: {7e111a5c-3d11-4f56-9463-5310c3c69025} - c:\program files\freeware.de\prxtbFree.dll

mURLSearchHooks: IsoBuster Toolbar: {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - c:\program files\isobuster\tbIsoB.dll

mURLSearchHooks: Freeware.de Toolbar: {7e111a5c-3d11-4f56-9463-5310c3c69025} - c:\program files\freeware.de\prxtbFree.dll

BHO: Adobe PDF Reader Link Helper: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: Premiumplay Codec-C: {11111111-1111-1111-1111-110011041135} - c:\program files\premiumplay codec-c\Premiumplay Codec-C.dll

BHO: Codecv Class: {20001C5A-B85F-45AC-9C78-D4365888A3A6} - c:\programdata\codecv\bhoclass.dll

BHO: IsoBuster Toolbar: {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - c:\program files\isobuster\tbIsoB.dll

BHO: Conduit Engine: {30F9B915-B755-4826-820B-08FBA6BD249D} - c:\program files\conduitengine\prxConduitEngine.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - <orphaned>

BHO: Incredibar.com Helper Object: {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - c:\program files\incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll

BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\program files\oracle\javafx 2.1 runtime\bin\ssv.dll

BHO: Freeware.de Toolbar: {7e111a5c-3d11-4f56-9463-5310c3c69025} - c:\program files\freeware.de\prxtbFree.dll

BHO: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - c:\program files\alwil software\avast5\aswWebRepIE.dll

BHO: Windows Live Anmelde-Hilfsprogramm: {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Skype Plug-In: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

BHO: Google Toolbar Notifier BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - c:\program files\google\googletoolbarnotifier\5.7.7725.1624\swg.dll

BHO: pdfforge Toolbar: {B922D405-6D13-4A2B-AE89-08A030DA4402} - c:\program files\pdfforge toolbar\ie\4.6\pdfforgeToolbarIE.dll

BHO: CBrowserHelperObject Object: {CA6319C0-31B7-401E-A518-A07C3DB8F777} - c:\program files\bae\BAE.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\program files\oracle\javafx 2.1 runtime\bin\jp2ssv.dll

TB: Google Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: IsoBuster Toolbar: {266FCDCA-7BB3-4DA7-B3BF-F845DEA2EBD6} - c:\program files\isobuster\tbIsoB.dll

TB: FreeRIP.com Toolbar: {081230F8-EA50-42A9-983C-D22ABC2EED3B} - c:\program files\freerip3\toolband.dll

TB: Freeware.de Toolbar: {7E111A5C-3D11-4F56-9463-5310C3C69025} - c:\program files\freeware.de\prxtbFree.dll

TB: IsoBuster Toolbar: {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - c:\program files\isobuster\tbIsoB.dll

TB: FreeRIP.com Toolbar: {081230F8-EA50-42A9-983C-D22ABC2EED3B} - c:\program files\freerip3\toolband.dll

TB: Freeware.de Toolbar: {7e111a5c-3d11-4f56-9463-5310c3c69025} - c:\program files\freeware.de\prxtbFree.dll

TB: Conduit Engine: {30F9B915-B755-4826-820B-08FBA6BD249D} - c:\program files\conduitengine\prxConduitEngine.dll

TB: pdfforge Toolbar: {B922D405-6D13-4A2B-AE89-08A030DA4402} - c:\program files\pdfforge toolbar\ie\4.6\pdfforgeToolbarIE.dll

TB: Incredibar Toolbar: {F9639E4A-801B-4843-AEE3-03D9DA199E77} - c:\program files\incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll

TB: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - c:\program files\alwil software\avast5\aswWebRepIE.dll

TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

uRun: [ISUSPM Startup] c:\progra~1\common~1\instal~1\update~1\ISUSPM.exe -startup

uRun: [{808EAEC3-8AA0-3CC4-7330-77B7D65DF317}] c:\users\nick\appdata\roaming\tuuwci\ucvoo.exe

uRun: [Groqohilofe] rundll32.exe  "c:\users\nick\appdata\local\splashc9.dll",Startup

uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [rsafybqiuntdqdk] c:\programdata\rsafybqi.exe

mRun: [Windows Defender] c:\program files\windows defender\MSASCui.exe -hide

mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe

mRun: [IgfxTray] c:\windows\system32\igfxtray.exe

mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe

mRun: [Persistence] c:\windows\system32\igfxpers.exe

mRun: [ISUSScheduler] "c:\program files\common files\installshield\updateservice\issch.exe" -start

mRun: [RoxWatchTray] "c:\program files\common files\roxio shared\9.0\sharedcom\RoxWatchTray9.exe"

mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup

mRun: [PCMService] "c:\program files\dell\mediadirect\PCMService.exe"

mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe

mRun: [ISUSPM Startup] c:\progra~1\common~1\instal~1\update~1\isuspm.exe -startup

mRun: [VirtualCloneDrive] "c:\program files\elaborate bytes\virtualclonedrive\VCDDaemon.exe" /s

mRun: [avast5] "c:\program files\alwil software\avast5\avastUI.exe" /nogui

mRun: [Zune Launcher] "c:\program files\zune\ZuneLauncher.exe"

mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

StartupFolder: c:\users\nick\appdata\roaming\micros~1\windows\startm~1\programs\startup\partme~1.lnk - c:\program files\java\jre6\bin\javaw.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adober~1.lnk - c:\program files\adobe\acrobat 7.0\reader\reader_sl.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\digita~1.lnk - c:\program files\digital line detect\DLG.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\quickset.lnk - c:\windows\installer\{7f0c4457-8e64-491b-8d7b-991504365d1e}\NewShortcut2_53A01CC614B04512A2E710D39BF83DC4.exe

mPolicies-System: EnableUIADesktopToggle = dword:0

IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}

DPF: {233C1507-6A77-46A4-9443-F871F945D258} - hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} - hxxps://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

TCP: NameServer = 192.168.1.1

TCP: Interfaces\{4C62B759-B2F0-4E1E-98CC-F88990504774} : DHCPNameServer = 194.230.1.71 194.230.1.39

TCP: Interfaces\{88C321A6-8EA3-4BA2-B4D8-A7225B253D45} : DHCPNameServer = 192.168.1.1

TCP: Interfaces\{DFF1DDCD-96C2-4AD2-9355-CB4BAC1094F5} : DHCPNameServer = 138.188.101.186 138.188.101.189

Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program files\common files\skype\Skype4COM.dll

Notify: igfxcui - igfxdev.dll

LSA: Security Packages =  kerberos msv1_0 schannel wdigest tspkg

mASetup: {61E3FE32-07B9-4563-A3E0-2DE2D620FE10} - c:\program files\pixiepack codec pack\InstallerHelper.exe

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\users\nick\appdata\roaming\mozilla\firefox\profiles\bz5scuju.nick\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2736476&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/

FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb119/?loc=IB_DS&a=6R8nAjEL9z&&i=26&search=

FF - plugin: c:\program files\google\update\1.3.21.123\npGoogleUpdate3.dll

FF - plugin: c:\program files\microsoft\office live\npOLW.dll

FF - plugin: c:\program files\oracle\javafx 2.1 runtime\bin\plugin2\npjp2.dll

FF - plugin: c:\users\nick\appdata\roaming\mozilla\firefox\profiles\bz5scuju.nick\extensions\{7e111a5c-3d11-4f56-9463-5310c3c69025}\plugins\np-mswmp.dll

FF - plugin: c:\windows\system32\npDeployJava1.dll

FF - plugin: c:\windows\system32\npmproxy.dll

.

---- FIREFOX POLICIES ----

FF - user.js: extensions.incredibar_i.newTab - false

FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6R8nAjEL9z&loc=IB_TB&i=26&search=

FF - user.js: extensions.incredibar_i.id - 34b0eb59000000000000001b77676c55

FF - user.js: extensions.incredibar_i.instlDay - 15421

FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1411:03:14

FF - user.js: extensions.incredibar_i.prtnrId - Incredibar

FF - user.js: extensions.incredibar_i.prdct - incredibar

FF - user.js: extensions.incredibar_i.aflt - orgnl

FF - user.js: extensions.incredibar_i.smplGrp - none

FF - user.js: extensions.incredibar_i.tlbrId - base

FF - user.js: extensions.incredibar_i.instlRef - 

FF - user.js: extensions.incredibar_i.dfltLng - 

FF - user.js: extensions.incredibar_i.excTlbr - false

FF - user.js: extensions.incredibar_i.ms_url_id - 

FF - user.js: extensions.incredibar_i.upn2 - 6R8nAjEL9z

FF - user.js: extensions.incredibar_i.upn2n - 92824057467095613

FF - user.js: extensions.incredibar_i.productid - 26

FF - user.js: extensions.incredibar_i.installerproductid - 26

FF - user.js: extensions.incredibar_i.did - 10606

FF - user.js: extensions.incredibar_i.ppd - 61%5F2

.

============= SERVICES / DRIVERS ===============

.

S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-7-24 721000]

S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2008-4-19 353688]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-4-19 21256]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2007-7-27 57656]

S2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2011-1-13 44808]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-4-15 135664]

S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-7-13 160944]

S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\google\google desktop search\GoogleDesktop.exe [2007-7-17 30192]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-4-15 135664]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-7-24 113120]

S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2009-5-29 17408]

S3 WMZuneComm;Zune Windows Mobile Connectivity Service;c:\program files\zune\WMZuneComm.exe [2010-11-11 268528]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

.

=============== Created Last 30 ================

.

2012-10-07 19:34:13        176128        ----a-w-        c:\windows\system32\igfxres.dll

.

==================== Find3M  ====================

.

2012-09-30 17:41:05        86528        ----a-w-        c:\users\nick\ms.exe

2012-09-30 17:41:05        86528        ----a-w-        c:\programdata\rsafybqi.exe

.

============= FINISH: 17:35:35.76 =======

--- --- ---

Servus,

starte deinen Rechner wieder im abgesicherten Modus mit Netzwerkunterstützung und führe dort alle Schritte aus:

Schritt 1

Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
Suche in der Liste Software mit dem folgenden Namen
- Codecv
- Conduit Engine
- Freeware.de Toolbar
- Incredibar Toolbar on IE
- IsoBuster Toolbar
- pdfforge Toolbar v4.6
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

eventuell auftretende Probleme bei den Deinstallationen,
die Logdatei von AdwCleaner,
die Logdatei von ComboFix,

Hallo Matthias

Beim deinstallieren von pdfforge Toolbar v4.6 kommt folgende Meldung:

Windows Installer: auf den Windows Installer Dienst konnte nicht zugegriffen werden. Dies kann auftreten wen der Windows Installer nicht richtig installiert wurde.

Die anderen Programme konnte ich "problemlos" deinstalieren ausser, dass jedes mal kam firefox funktioniert nicht mehr.

Servus,

sollte Firefox nicht mehr funktionieren, so verwende bitte den Internet Explorer, um die Tools für Schritt 2 und Schritt 3 auf deinen Desktop herunterladen zu können.

Um Firefox kümmern wir uns später noch. :)

Fahre bitte mit den Schritten 2 und 3 fort, wieder im abgesicherten Modus mit Netzwerkunterstützung.

Hallo

Nur um ganz sicher zu sein, ich soll fortfahren auch wenn ich pdfforge nicht deinstalieren konnte?

Servus,

Zitat:

Zitat von nickerinio (Beitrag 950334)

Nur um ganz sicher zu sein, ich soll fortfahren auch wenn ich pdfforge nicht deinstalieren konnte?

Ja genau. ;)
AdwCleaner kümmert sich um pdfforge für gewöhnlich. :)

hallo
(siehe Ende) :)

Combofix führt normal aus, aber am Ende kommt folgende Meldung, obwohl ich als Administrator ausgeführt habe und Combofix vom Desktop aus gestartet habe.

Das System hat keinen Meldungstext für die Meldungsnummer 0x8 in der Meldungsdat
ei System gefunden.

Bitte warten.
ComboFix wird vorbereitet, um ausgefhrt zu werden.
Access Denied. Administrator permissions are needed to use the selected options.
Use an administrator command prompt to complete these tasks.
Access Denied. Administrator permissions are needed to use the selected options.
Use an administrator command prompt to complete these tasks.

Versuche, einen neuen Systemwiederherstellungspunkt zu erstellen,

Hat sich geklärt:
Logfiles folgen

Habe jetzt von combofix eine text Datei bekommen welches folgendes problem ergiebt wenn ich es öffnen oder zippen will:
Eswurde versucht einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde

Servus,

Zitat:

Zitat von nickerinio (Beitrag 950355)

Eswurde versucht einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde

manchmal frage ich mich, ob die Anleitungen, die ich poste, auch bis zum Schluss gelesen werden... :wtf:

Wenn du dir die Anleitung zu ComboFix nochmal genau durchliest, wirst du feststellen, dass du bei diesem "Problem" lediglich deinen Rechner neu starten musst und schon ist das "Problem" behoben...

Poste bitte die Logdateien von AdwCleaner und ComboFix.

Hallo

Tut mir Leid, das habe ich übersehen :confused:
Hier die Logfiles:)

Servus,

bitte poste die komplette Logdatei von ComboFix, zu finden unter C:\ComboFix.txt.

Du hast mir lediglich den oberen Abschnitt geschickt. :blabla:

Hallo

Tut mir Leid, dieses File ist alles was ich finden kann... Hab überall gesucht :wtf:
soll ich das ganze nochmals ausführen?

Servus,

wir führen ComboFix erneut aus. :)

Lösche zuerst die vorhandene ComboFix.exe von deinem Desktop und lade es dir mit der folgenden Anleitung neu herunter.

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

hallo

ich habe avast antivirusund antispyware deaktiviert, er reklamiert aber
trotzdem, dass sie nicht ausgeschaltet sind!?
fortfahren oder abbrechen?

Servus,

fahre bitte trotzdem fort. :)

hallo

nach dem neustart habe ich nochmals dasselbe file bekommen,glaube zumindest.
Ich lade combofix ganz normal mit google chrome auf den Desktop herunter,deaktiviere avast, dan führe ich als administrator aus und wenn das blaue command window verschwindet mache ich einen neustart, danach suche ich die combofix.txt Datei und finde wieder dieselbe Datei und eine Verknüpfung zu ihr. So richtig ausgeführt?

Servus,

du brauchst deinen Rechner nicht von alleine neu starten.
Entweder macht ComboFix das von alleine oder ein Neustart ist nicht notwendig.

Für gewöhnlich stehen im "blauen Fenster" die einzelnen Stufen und zum Abschluss, dass die Logdatei erstellt wird. Das kann etwas dauern. Sobald die Datei erstellt wurde, öffnet ComboFix diese für gewöhnlich automatisch.

Kannst du deinen Rechner wieder im normalen Modus starten?
Überprüfe das bitte und berichte mir!

Hallo Matthias

Ich habe den Rechner erst neugestartet als ich das file nicht mehr zippen konnte...

Habe danach den Rechner neugestartet und im normalen Modus laufen lassen und nun funktionierts wieder, juhu
Was ist der nächste Schritt? :)
Ich bin leider ab Donnerstag Abend bis Montag Morgen nicht erreichbar(ausser Landes), Ich kann also erst ab Montag Abend wieder zurückschreiben

Vielen Dank
Nick

Servus,

ok, nochmal Kontrollscan bitte:

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

Starte bitte die OTL.exe.
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
Setze einen Haken bei Scanne alle Benutzer.
Unter Extra Registry, wähle bitte Use SafeList.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

drivers32

safebootminimal

safebootnetwork

hklm\software\clients\startmenuinternet|command /rs

hklm\software\clients\startmenuinternet|command /64 /rs

CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Scan Button.
Am Ende des Suchlaufs werden 2 Logdateien erstellt.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo

Hat alles geklappt, Hier die Logfiles

Servus,

zur Info:
Dein Rechner ist seit mindestens April 2011 infiziert!

warum ist das Service Pack 2 für Windows Vista nicht installiert? :wtf:
hast du den Proxy-Server "http=127.0.0.1:8074" angelegt?

Schritt 1

Folge folgendem Pfad: Start -> Systemsteuerung -> Software / Programme deinstallieren
Suche in der Liste Software mit dem folgenden Namen
- Premiumplay Codec-C
- FreeRIP
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.
Sollte es Probleme mit der Deinstallation geben, so lass es mich bitte wissen.

Schritt 2
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
http://imageshack.us/a/img841/7292/thisisujrt.gif Bitte lade Junkware Removal Tool auf Deinen Desktop.

Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
Das Tool wird sich öffnen und mit dem Scan beginnen.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

IE - HKLM\..\SearchScopes\{081230F8-EA50-42A9-983C-D22ABC2EED3B}: "URL" = http://www.qemit.com/toolbar/hub.php?a=sb&did=8&pid=0&lan=de&day=0&ver=1.01&q={searchTerms}

IE - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - No CLSID value found

IE - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8074

[2012.04.06 10:08:36 | 000,000,000 | ---D | M] (Codecv) -- C:\Users\Nick\AppData\Roaming\mozilla\Firefox\Profiles\bz5scuju.Nick\extensions\4f7dc19df2313@4f7dc19df2315.info

[2012.09.01 01:12:53 | 000,000,000 | ---D | M] ("Codec-V") -- C:\Users\Nick\AppData\Roaming\mozilla\Firefox\Profiles\bz5scuju.Nick\extensions\crossriderapp435@crossrider.com

CHR - default_search_provider: Search the web (Babylon) (Enabled)

CHR - default_search_provider: search_url = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=34b0eb59000000000000001b77676c55&tlver=1.4.19.19&ss=1&affID=17395

CHR - Extension: Codec-V = C:\Users\Nick\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnbdefcbnoefmmcpelplabbkfmfhlho\1.20.61_0\crossrider

CHR - Extension: Codec-V = C:\Users\Nick\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnbdefcbnoefmmcpelplabbkfmfhlho\1.20.61_0\

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O3 - HKLM\..\Toolbar: (FreeRIP.com Toolbar) - {081230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\FreeRIP3\toolband.dll ()

O3 - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000\..\Toolbar\WebBrowser: (FreeRIP.com Toolbar) - {081230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\FreeRIP3\toolband.dll ()

O4 - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000..\Run: [{808EAEC3-8AA0-3CC4-7330-77B7D65DF317}] C:\Users\Nick\AppData\Roaming\Tuuwci\ucvoo.exe File not found

O4 - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000..\Run: [Groqohilofe] rundll32.exe  "C:\Users\Nick\AppData\Local\splashc9.dll",Startup File not found

O4 - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000..\Run: [rsafybqiuntdqdk] C:\ProgramData\rsafybqi.exe File not found

[2012.09.30 18:41:06 | 000,096,177 | ---- | C] () -- C:\ProgramData\vlyyrtabijzdmgd

[2011.05.19 23:14:03 | 000,010,634 | -HS- | C] () -- C:\Users\Nick\AppData\Local\i4m7488cx068t8smn2yvovc217y31a8h10x

[2011.05.19 23:14:03 | 000,010,634 | -HS- | C] () -- C:\ProgramData\i4m7488cx068t8smn2yvovc217y31a8h10x

[2011.04.04 01:56:34 | 000,013,790 | -HS- | C] () -- C:\Users\Nick\AppData\Local\j638u7q3443b5j

[2011.04.04 01:56:34 | 000,013,790 | -HS- | C] () -- C:\ProgramData\j638u7q3443b5j

@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84

@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:364682BC

@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:DFC5A2B2
 

:files

C:\Users\Nick\AppData\Roaming\Tuuwci
 

:commands

[Emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 4

Starte bitte die OTL.exe.
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
Setze einen Haken bei Scanne alle Benutzer.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

C:\ProgramData\*.

C:\Users\Nick\AppData\Local\*.

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Scan Button.
Am Ende des Suchlaufs wird 1 Logdatei erstellt.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
die Logdatei von JRT,
die Logdatei des OTL-Fix,
die Logdatei des neuen OTL-Scans.

Hallo

1. Wann sollte ich denn das Service pack 2 installieren?
2. ich weiss nichts von einem proxy server^^

deiinstalationen waren ok, wenn ich aber JRC als admin ausführen will kommt ein scharzes Fenster, dann drücke beliebige taste, dann kommte eine Fehlermeldung: File could not be saved...

Danke vielmals :)

Servus,

das Service Pack 2 für Vista sollte seit Mai 2009 auf deinem Rechner sein.
Sag mir lieber, warum es das nicht ist. ;)

Führe bitte die beiden letzten Schritte (OTL-Fix und OTL-Scan) aus. :)

Hallo Matthias

Sollte das Service Pack eine Art automatisches update sein? Sonst wüsste ich nicht wieso es nicht installiert ist, hab das Windows Vista mit dem Laptop gekauft, vor etwa 6 Jahren. :)

Im Anhang die Logfiles von Schritt 3 und 4

Ich habe noch bemerkt, dass die Free Rip toolbar immer noch angezeigt wird im Internet explorer...(Die sollte doch eigentlich deinstalliert sein),
Hab jetzt auchnoch bei programmen geschaut und gesehen, dass pdfforge und Pdf primo noch da sind.

Gruss Nick

Servus,

für gewöhnlich wird das Service Pack 2 automatisch angeboten. Wir updaten dein Betriebssystem nach der Bereinigung. :)

Dann schauen wir nochmal nach:

Schritt 1
Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt 2
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:filefind *pdfforge* *Pdf primo* *FreeRIP* :folderfind *pdfforge* *Pdf primo* *FreeRIP* :regfind pdfforge Pdf primo FreeRIP
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist (wird einige Zeit dauern), wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Bitte poste mit deiner nächsten Antwort

die beiden Logdateien von OTL,
die Logdatei von SystemLook.

Hallo

Hier die logfiles

Vielen Dank
LG Nick

Servus,

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

O3 - HKU\S-1-5-21-1868871983-3521562844-1345661872-1000\..\Toolbar\WebBrowser: (no name) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - No CLSID value found.

[2012.09.30 18:41:38 | 000,000,000 | ---D | M] -- C:\ProgramData\ufehkuywuwaqztv

CHR - default_search_provider: Search the web (Babylon) (Enabled)

CHR - default_search_provider: search_url = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=34b0eb59000000000000001b77676c55&tlver=1.4.19.19&ss=1&affID=17395

CHR - default_search_provider: suggest_url = 
 

:files

C:\Program Files\FreeRIP3

C:\ProgramData\FreeRIP

C:\Users\All Users\FreeRIP

C:\Users\Nick\AppData\Local\VirtualStore\Program Files\FreeRIP3
 

:Commands

[emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Downloade Dir bitte Malwarebytes' Anti-Malware

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mit deiner nächsten Antwort

die Logdatei von OTL,
die Logdatei von MBAM,
die Logdatei von ESET,
die Logdatei von SecurityCheck.

Hallo Matthias

mbam-file
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.14.07

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Nick :: NICK-PC [Administrator]

Schutz: Aktiviert

14.11.2012 22:36:12
mbam-log-2012-11-14 (22-36-12).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222046
Laufzeit: 11 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

LG Nick

Servus,

Bitte lösche die folgende Datei per Hand:
C:\Users\Nick\Desktop\Downloads\SoftonicDownloader_fuer_dungeon-defenders.exe
Halte dich in Zukunft fern von Softonic. Damit handelst du dir nur lauter "Mist" ein. ;)

Öffne Google Chrome.
Klicke rechts oben auf Google Chrome anpassen.
Wähle Einstellungen.
Unter Suche klicke auf Suchmachinen verwalten.
Bewege den Mauszeiger auf Google.de und klicke auf den blau hinterlegten Button Als Standard festlegen.
Bewege nun den Mauszeiger auf Search the web (Babylon) und klicke rechts auf das Symbol X.
Entferne alle Suchmachinen von Search the web (Babylon).

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Download und installiere als erstes:
Vista Service Pack 2
Internet Explorer 9

Anschließend geht es so weiter:

Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 9 ) herunter laden.
Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Software / Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
Klicke erneut OK.

Schritt 2
Deine Version von Adobe Flash Player ist veraltet.
Bitte folge diesen Schritte, um Adobe Flash zu aktualisieren:

Bitte besuche diese Seite von Adobe.
Wähle dein Betriebssystem und deinen Internetbrowser ("Internet Explorer" oder "other" für Firefox zum Beispiel)
Deaktiviere gegebenenfalls den Haken vor Google Chrome bzw. McAfee Security Scan.
Installiere die neuste Version auf deinem Computer.

Schritt 3
Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software / Programme deinstallieren--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.

Schritt 4

Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig) ob folgende Links fehlende Updates bei deinen Plugins zeigen:

Schritt 5
Starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.

Schritt 6
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 7
Downloade dir bitte delfix auf deinen Desktop.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Klicke auf Löschen.
Es öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\DelFix[S1].txt.
Klicke abschließend auf Deinstallation.
Bestätige mit Ja.

Schritt 8
Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hallo Matthias

1. Das Service pack 2 lässt sich nicht vollständig installieren. wieso sagt es nicht, hab auch schon im support von windows gesucht. Da gibt es ein vorberitungsprogramm, hat aber auch nicht geholfen...
2. Folglich kann ich den internet explorer 9 nicht installieren :( , es sagt nicht kompatibel mit windows update
3. java hat funktioniert

Servus,

führe bitte die anderen Schritte aus und berichte. :)

Welche Fehlermeldung erscheint bei der Installation des Service Packs?

hallo
Combofix meldet, dass es nicht gefunden werden konnte

Servus,

Zitat:

Zitat von nickerinio (Beitrag 958031)

Combofix meldet, dass es nicht gefunden werden konnte

Ich frag mich manchmal, was du auf deinem Rechner so anstellst... ;)

Dann bitte als Alternative das hier ausführen:

Schritt 1
Downloade dir bitte CF_UNINST.exe und speichere diese auf deinem Desktop.

Starte die CF_UNINST.exe
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Folge den Anweisungen auf dem Desktop.
Wenn das Tool fertig ist, sollte sich ein Fenster mit folgendem Inhalt öffnen: Done

Schritt 2

Klicke auf Start > Alle Programme > Zubehör > Systemprogramme > Datenträgerbereinigung
Klicke auf den Tab Weitere Optionen.
Unter Systemwiederherstellung und Schattenkopien klicke auf Bereinigen.
Bestätige ggf. die Sicherheitsabfrage mit Ja.

HAllo Matthias
hat soweit alles funktioniert, bis auf service pack 2 und IE9
# AdwCleaner v6.2 - Datei am 17/11/2012 um 15:52:53 erstellt
# Aktualisiert am 11/11/2012 von Xplode
# Betriebssystem : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
# Benutzer : Nick - NICK-PC
# Ausgeführt unter : C:\Users\Nick\Desktop\delfix.exe
# Option [Löschen]

~~~~~~ Ordner ~~~~~~

Gelöscht : C:\_OTL
Gelöscht : C:\Combofix

~~~~~~ Datei(en) ~~~~~~

Gelöscht : C:\Users\Nick\Desktop\ComboFix.exe
Gelöscht : C:\log.txt

~~~~~~ Registrierungsdatenbank ~~~~~~

Schlüssel gelöscht : HKLM\SOFTWARE\OldTimer Tools
Schlüssel gelöscht : HKLM\SOFTWARE\AdwCleaner
Schlüssel gelöscht : HKLM\SOFTWARE\Swearware
Schlüssel gelöscht : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

~~~~~~ Sonstiges ~~~~~~

-> Prefetch Geleert

*************************

DelFix[S1].txt - [797 octets] - [17/11/2012 15:52:53]

########## EOF - C:\DelFix[S1].txt - [920 octets] ##########
Lg Nick

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Wegen Service Pack 2 und IE 9 könntest du hier ein neues Thema aufmachen:
Alles rund um Windows