Trojaner-Board - Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung (https://www.trojaner-board.de/130261-mail-bot-keineantwortadresse-web-de-otl-auswertung.html)

Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung

Moin,

bekomme neuerdings ständig Nachrichten "Mail delivery failed: returning message to sender" von "keineantwortadresse@web.de".

Angeblich hätte ich von meiner Web.De Email Adr. an diverse Adr. geschrieben, die ich alle gar nicht kenne. Wird sich wohl ein Mail Bot eingeschlichen haben.
Was tun? Anbei Ergebnisse von OTL -
Avira DE Cleaner hat nix gefunden, weiter hab ich noch nix gemacht. Hätte auch noch nen Sys.Wiederherstellungspunkt.
Wäre nett, wenn ma jemand einen Blick auf die OTL Files wirft.
Danke!
JC

Malwarebytes hat auch nix gefunden...

Code:

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

JoeCool :: ACER-NETBOOK [Administrator]
 

29.01.2013 10:28:13

mbam-log-2013-01-29 (10-28-13).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 246114

Laufzeit: 7 Minute(n), 29 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Keiner ne Idee? Hab jetzt erstmal die Mail Adr. keineantwortadresse@web.de zu den gesperrten Adressen gepackt, aber das kann ja nicht wirklich die Lösung sein.
Vlt. wirklich die Systemwiederherstellung probieren?

:hallo:

Zitat:

Keiner ne Idee?

Pushen ist nicht erwuenscht. Ist das so schwer zu verstehen?

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL
 

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\JoeCool\AppData\Roaming\13001.026 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 

O7 - HKU\S-1-5-21-3899731673-2456997713-1197237625-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

[2012.07.12 13:04:50 | 000,000,051 | ---- | C] () -- C:\Users\JoeCool\AppData\Roaming\blckdom.res 

[2012.07.12 13:05:00 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.022 

[2012.07.12 19:42:42 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.023 

[2012.07.14 06:29:50 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.024 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\JoeCool\*.tmp

C:\Users\JoeCool\AppData\Local\Temp\*.exe

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Moin & Danke.
Hier schonmal das Log neue Log von OTL:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}\ not found.

File C:\Users\JoeCool\AppData\Roaming\13001.026 not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3899731673-2456997713-1197237625-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

C:\Users\JoeCool\AppData\Roaming\blckdom.res moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.022\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.022 folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.023\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.023 folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.024\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.024 folder moved successfully.

========== FILES ==========

C:\ProgramData\FullRemove.exe moved successfully.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

C:\ProgramData\Temp\{C59C179C-668D-49A9-B6EA-0121CCFC1243} folder moved successfully.

C:\ProgramData\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41} folder moved successfully.

C:\ProgramData\Temp\{40BF1E83-20EB-11D8-97C5-0009C5020658} folder moved successfully.

C:\ProgramData\Temp\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47} folder moved successfully.

C:\ProgramData\Temp\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79} folder moved successfully.

C:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} folder moved successfully.

C:\ProgramData\Temp folder moved successfully.

File\Folder C:\Users\JoeCool\*.tmp not found.

C:\Users\JoeCool\AppData\Local\Temp\DivXSetup.exe moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.

File/Folder C:\Users\JoeCool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk not found.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\JoeCool\Desktop\cmd.bat deleted successfully.

C:\Users\JoeCool\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Hanni

->Temp folder emptied: 0 bytes

 

User: JoeCool

->Temp folder emptied: 118741553 bytes

->Temporary Internet Files folder emptied: 1568510 bytes

->FireFox cache emptied: 435241183 bytes

->Google Chrome cache emptied: 8589967 bytes

->Flash cache emptied: 4331 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 27090264 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 11134 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 668 bytes

RecycleBin emptied: 7595908 bytes

 

Total Files Cleaned = 571,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 01292013_143720
 

Files\Folders moved on Reboot...

C:\Users\JoeCool\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

So, Malwarebytes hat nix gefunden. Mach dann jetzt noch den ADWCleaner

Hier das Log:

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1017

www.malwarebytes.org
 

Database version: v2013.01.29.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

JoeCool :: ACER-NETBOOK [administrator]
 

29.01.2013 15:13:53

mbar-log-2013-01-29 (15-13-53).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 32059

Time elapsed: 15 minute(s), 33 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Fertig... Hat einiges gefunden und gelöscht. Wars das dann?

Code:

# AdwCleaner v2.109 - Datei am 29/01/2013 um 15:19:22 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : JoeCool - ACER-NETBOOK

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\JoeCool\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Program Files (x86)\Mozilla Firefox\searchplugins\adawaretb.xml

Datei Gelöscht : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\v2v7uv93.default-1339507078693\searchplugins\Askcom.xml

Ordner Gelöscht : C:\Program Files (x86)\yourfiledownloader

Ordner Gelöscht : C:\Users\JoeCool\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\OpenCandy

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\pdfforge

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\yourfiledownloader
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\InstallCore

Schlüssel Gelöscht : HKLM\Software\Description

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS

Schlüssel Gelöscht : HKLM\Software\YourFileDownloader

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16457
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.1 (de)
 

Datei : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\ohbo7nap.default\prefs.js
 

Gelöscht : user_pref("browser.search.selectedEngine", "Ask.com");

Gelöscht : user_pref("browser.search.order.1", "Ask.com");

Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");

Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com");

Gelöscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10261&loc[...]

Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", "");
 

Datei : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\v2v7uv93.default-1339507078693\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v24.0.1312.56
 

Datei : C:\Users\JoeCool\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S5].txt - [2617 octets] - [29/01/2013 15:19:22]
 

########## EOF - C:\AdwCleaner[S5].txt - [2677 octets] ##########

Sehr gut! :daumenhoc

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Ich hab Emisoft vor einiger Zeit schonmal benutzt.
Jetzt ist die Kostenlose Phase abgelaufen (trotz Neuinstallation).
Kann ich das alte irgendwie komplett deinstallieren, so das es wieder funktioniert?

Habs schon selbst gefunden... "Freeware Modus" :-)

So, hier nun der Report von Emsisoft:

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 29.01.2013 16:43:58
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        29.01.2013 16:48:35
 

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat         gefunden: Trace.Registry.PartyPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller         gefunden: Trace.Registry.PacificPoker (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/catuvtfhvrnvumbqpvbkvn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/emmvuynwdtvevtvpgd.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/frkegksrybmvqatwnqasnbvdn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gvaqehmjdcqmrvegth.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gwbheghvcybpuq.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hmkshqqlldbcfeypmllnygtnk.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hstndyvqyphwhahphmlhaflp.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/lcphgvyrrgjsgknpmjmherj.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/vmnpeehevclys.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\Users\JoeCool\Downloads\a-pdf-lb.exe         gefunden: Trojan.Win32.FakeAV (A)
 

Gescannt        498529

Gefunden        39
 

Scan Ende:        29.01.2013 18:31:14

Scan Zeit:        1:42:39

Zitat:

Habs schon selbst gefunden... "Freeware Modus" :-)

Lesen bildet ;)

HA, ha.
Ja - hab zuerst verzweifelt auf die 30-Tage Kostenlos Version geklickt und erst dann den Freeware Modus entdeckt :singsing:
Hab Emsisoft noch auf - kann ich das Zeugs in Quarantäne verschieben?
Der Patygamekram kann wohl weh, aber was ist mit den Java-Eintragungen?

ja, in die Quara und Log posten.

Hier das Log...

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 29.01.2013 16:43:58
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        29.01.2013 16:48:35
 

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat         gefunden: Trace.Registry.PartyPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller         gefunden: Trace.Registry.PacificPoker (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/catuvtfhvrnvumbqpvbkvn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/emmvuynwdtvevtvpgd.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/frkegksrybmvqatwnqasnbvdn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gvaqehmjdcqmrvegth.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gwbheghvcybpuq.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hmkshqqlldbcfeypmllnygtnk.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hstndyvqyphwhahphmlhaflp.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/lcphgvyrrgjsgknpmjmherj.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/vmnpeehevclys.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\Users\JoeCool\Downloads\a-pdf-lb.exe         gefunden: Trojan.Win32.FakeAV (A)
 

Gescannt        498529

Gefunden        39
 

Scan Ende:        29.01.2013 18:31:14

Scan Zeit:        1:42:39
 

C:\Users\JoeCool\Downloads\a-pdf-lb.exe        Quarantäne Trojan.Win32.FakeAV (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class        Quarantäne Exploit.Java.CVE-2012-1723.P (B)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller        Quarantäne Trace.Registry.PacificPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath        Quarantäne Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID        Quarantäne Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2        Quarantäne Trace.Registry.Pacific Poker (A)
 

Quarantäne        30

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ok, mach ich dann über Nacht und meld mich morgen. Erstmal vielen Dank!

Moin t'john.
Eset ist über nacht durchgelaufen - keine Funde.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=2795bedf0453a1419da4152ec4bfcd29

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-29 07:55:07

# local_time=2013-01-29 08:55:07 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 100 91 395785 136199179 0 0

# compatibility_mode=5893 16776573 100 94 49998 111119157 0 0

# scanned=24214

# found=0

# cleaned=0

# scan_time=1671

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=2795bedf0453a1419da4152ec4bfcd29

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-30 01:09:57

# local_time=2013-01-30 02:09:57 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 100 91 411075 136218069 0 0

# compatibility_mode=5893 16776573 100 94 65288 111138047 0 0

# scanned=197940

# found=0

# cleaned=0

# scan_time=14357

zur Info: Hab eben mal in den Spam Ordner bei Web.de geschaut.
Es kommen weiterhin Mails von "keineantwortadresse@web.de" aber anscheinend nicht mehr so oft.

Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

danach:

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!