Trojaner-Board - Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung (https://www.trojaner-board.de/130261-mail-bot-keineantwortadresse-web-de-otl-auswertung.html)

Mail Bot - "keineantwortadresse@web.de" / OTL Auswertung

Moin,

bekomme neuerdings ständig Nachrichten "Mail delivery failed: returning message to sender" von "keineantwortadresse@web.de".

Angeblich hätte ich von meiner Web.De Email Adr. an diverse Adr. geschrieben, die ich alle gar nicht kenne. Wird sich wohl ein Mail Bot eingeschlichen haben.
Was tun? Anbei Ergebnisse von OTL -
Avira DE Cleaner hat nix gefunden, weiter hab ich noch nix gemacht. Hätte auch noch nen Sys.Wiederherstellungspunkt.
Wäre nett, wenn ma jemand einen Blick auf die OTL Files wirft.
Danke!
JC

Malwarebytes hat auch nix gefunden...

Code:

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

JoeCool :: ACER-NETBOOK [Administrator]
 

29.01.2013 10:28:13

mbam-log-2013-01-29 (10-28-13).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 246114

Laufzeit: 7 Minute(n), 29 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Keiner ne Idee? Hab jetzt erstmal die Mail Adr. keineantwortadresse@web.de zu den gesperrten Adressen gepackt, aber das kann ja nicht wirklich die Lösung sein.
Vlt. wirklich die Systemwiederherstellung probieren?

:hallo:

Zitat:

Keiner ne Idee?

Pushen ist nicht erwuenscht. Ist das so schwer zu verstehen?

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL
 

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: C:\Users\JoeCool\AppData\Roaming\13001.026 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 

O7 - HKU\S-1-5-21-3899731673-2456997713-1197237625-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 

[2012.07.12 13:04:50 | 000,000,051 | ---- | C] () -- C:\Users\JoeCool\AppData\Roaming\blckdom.res 

[2012.07.12 13:05:00 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.022 

[2012.07.12 19:42:42 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.023 

[2012.07.14 06:29:50 | 000,000,000 | ---D | M] -- C:\Users\JoeCool\AppData\Roaming\13001.024 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\JoeCool\*.tmp

C:\Users\JoeCool\AppData\Local\Temp\*.exe

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Moin & Danke.
Hier schonmal das Log neue Log von OTL:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}\ not found.

File C:\Users\JoeCool\AppData\Roaming\13001.026 not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3899731673-2456997713-1197237625-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.

C:\Users\JoeCool\AppData\Roaming\blckdom.res moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.022\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.022 folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.023\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.023 folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.024\components folder moved successfully.

C:\Users\JoeCool\AppData\Roaming\13001.024 folder moved successfully.

========== FILES ==========

C:\ProgramData\FullRemove.exe moved successfully.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

C:\ProgramData\Temp\{C59C179C-668D-49A9-B6EA-0121CCFC1243} folder moved successfully.

C:\ProgramData\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41} folder moved successfully.

C:\ProgramData\Temp\{40BF1E83-20EB-11D8-97C5-0009C5020658} folder moved successfully.

C:\ProgramData\Temp\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47} folder moved successfully.

C:\ProgramData\Temp\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79} folder moved successfully.

C:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} folder moved successfully.

C:\ProgramData\Temp folder moved successfully.

File\Folder C:\Users\JoeCool\*.tmp not found.

C:\Users\JoeCool\AppData\Local\Temp\DivXSetup.exe moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.

File/Folder C:\Users\JoeCool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk not found.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\JoeCool\Desktop\cmd.bat deleted successfully.

C:\Users\JoeCool\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Hanni

->Temp folder emptied: 0 bytes

 

User: JoeCool

->Temp folder emptied: 118741553 bytes

->Temporary Internet Files folder emptied: 1568510 bytes

->FireFox cache emptied: 435241183 bytes

->Google Chrome cache emptied: 8589967 bytes

->Flash cache emptied: 4331 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 27090264 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 11134 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 668 bytes

RecycleBin emptied: 7595908 bytes

 

Total Files Cleaned = 571,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 01292013_143720
 

Files\Folders moved on Reboot...

C:\Users\JoeCool\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

So, Malwarebytes hat nix gefunden. Mach dann jetzt noch den ADWCleaner

Hier das Log:

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1017

www.malwarebytes.org
 

Database version: v2013.01.29.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

JoeCool :: ACER-NETBOOK [administrator]
 

29.01.2013 15:13:53

mbar-log-2013-01-29 (15-13-53).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 32059

Time elapsed: 15 minute(s), 33 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Fertig... Hat einiges gefunden und gelöscht. Wars das dann?

Code:

# AdwCleaner v2.109 - Datei am 29/01/2013 um 15:19:22 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : JoeCool - ACER-NETBOOK

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\JoeCool\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Program Files (x86)\Mozilla Firefox\searchplugins\adawaretb.xml

Datei Gelöscht : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\v2v7uv93.default-1339507078693\searchplugins\Askcom.xml

Ordner Gelöscht : C:\Program Files (x86)\yourfiledownloader

Ordner Gelöscht : C:\Users\JoeCool\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\OpenCandy

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\pdfforge

Ordner Gelöscht : C:\Users\JoeCool\AppData\Roaming\yourfiledownloader
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\InstallCore

Schlüssel Gelöscht : HKLM\Software\Description

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS

Schlüssel Gelöscht : HKLM\Software\YourFileDownloader

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16457
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.1 (de)
 

Datei : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\ohbo7nap.default\prefs.js
 

Gelöscht : user_pref("browser.search.selectedEngine", "Ask.com");

Gelöscht : user_pref("browser.search.order.1", "Ask.com");

Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");

Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com");

Gelöscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10261&loc[...]

Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", "");
 

Datei : C:\Users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\v2v7uv93.default-1339507078693\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v24.0.1312.56
 

Datei : C:\Users\JoeCool\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S5].txt - [2617 octets] - [29/01/2013 15:19:22]
 

########## EOF - C:\AdwCleaner[S5].txt - [2677 octets] ##########

Sehr gut! :daumenhoc

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Ich hab Emisoft vor einiger Zeit schonmal benutzt.
Jetzt ist die Kostenlose Phase abgelaufen (trotz Neuinstallation).
Kann ich das alte irgendwie komplett deinstallieren, so das es wieder funktioniert?

Habs schon selbst gefunden... "Freeware Modus" :-)

So, hier nun der Report von Emsisoft:

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 29.01.2013 16:43:58
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        29.01.2013 16:48:35
 

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat         gefunden: Trace.Registry.PartyPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller         gefunden: Trace.Registry.PacificPoker (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/catuvtfhvrnvumbqpvbkvn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/emmvuynwdtvevtvpgd.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/frkegksrybmvqatwnqasnbvdn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gvaqehmjdcqmrvegth.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gwbheghvcybpuq.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hmkshqqlldbcfeypmllnygtnk.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hstndyvqyphwhahphmlhaflp.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/lcphgvyrrgjsgknpmjmherj.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/vmnpeehevclys.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\Users\JoeCool\Downloads\a-pdf-lb.exe         gefunden: Trojan.Win32.FakeAV (A)
 

Gescannt        498529

Gefunden        39
 

Scan Ende:        29.01.2013 18:31:14

Scan Zeit:        1:42:39

Zitat:

Habs schon selbst gefunden... "Freeware Modus" :-)

Lesen bildet ;)

HA, ha.
Ja - hab zuerst verzweifelt auf die 30-Tage Kostenlos Version geklickt und erst dann den Freeware Modus entdeckt :singsing:
Hab Emsisoft noch auf - kann ich das Zeugs in Quarantäne verschieben?
Der Patygamekram kann wohl weh, aber was ist mit den Java-Eintragungen?

ja, in die Quara und Log posten.

Hier das Log...

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 29.01.2013 16:43:58
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        29.01.2013 16:48:35
 

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2         gefunden: Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall         gefunden: Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat         gefunden: Trace.Registry.PartyPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init         gefunden: Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller         gefunden: Trace.Registry.PacificPoker (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/catuvtfhvrnvumbqpvbkvn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/emmvuynwdtvevtvpgd.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/frkegksrybmvqatwnqasnbvdn.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gvaqehmjdcqmrvegth.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/gwbheghvcybpuq.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hmkshqqlldbcfeypmllnygtnk.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/hstndyvqyphwhahphmlhaflp.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/lcphgvyrrgjsgknpmjmherj.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/vmnpeehevclys.class         gefunden: Exploit.Java.CVE-2012-1723.P (B)

C:\Users\JoeCool\Downloads\a-pdf-lb.exe         gefunden: Trojan.Win32.FakeAV (A)
 

Gescannt        498529

Gefunden        39
 

Scan Ende:        29.01.2013 18:31:14

Scan Zeit:        1:42:39
 

C:\Users\JoeCool\Downloads\a-pdf-lb.exe        Quarantäne Trojan.Win32.FakeAV (A)

C:\_OTL\MovedFiles\01292013_143720\C_Users\JoeCool\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\70c8b149-144060e7 -> mljkccgatytdpepmqr/avbrwneevbmdsajhwrnmg.class        Quarantäne Exploit.Java.CVE-2012-1723.P (B)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pacificpoker\poker\init        Quarantäne Trace.Registry.PacificPoker (A)

Key: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller        Quarantäne Trace.Registry.PacificPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 1        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 10        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 2        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 4        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 5        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 6        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 7        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> 9        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AdsLastKnownState        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> AppPath        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> id        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InitialPort        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> InstallState        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> MuckLosingHand        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> SL        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> TableType        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming\partypoker -> useCount        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> AutoLoginToOtherGames        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> CFDialogShown        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> FreshInstall        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\partygaming -> OldCFformat        Quarantäne Trace.Registry.PartyPoker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> fullpath        Quarantäne Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> INSTALLER_GUID        Quarantäne Trace.Registry.Pacific Poker (A)

Value: hkey_users\s-1-5-21-3899731673-2456997713-1197237625-1001\software\pokerinstaller -> URL_CASINO_2        Quarantäne Trace.Registry.Pacific Poker (A)
 

Quarantäne        30

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ok, mach ich dann über Nacht und meld mich morgen. Erstmal vielen Dank!

Moin t'john.
Eset ist über nacht durchgelaufen - keine Funde.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=2795bedf0453a1419da4152ec4bfcd29

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-29 07:55:07

# local_time=2013-01-29 08:55:07 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 100 91 395785 136199179 0 0

# compatibility_mode=5893 16776573 100 94 49998 111119157 0 0

# scanned=24214

# found=0

# cleaned=0

# scan_time=1671

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=2795bedf0453a1419da4152ec4bfcd29

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-30 01:09:57

# local_time=2013-01-30 02:09:57 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=774 16777213 100 91 411075 136218069 0 0

# compatibility_mode=5893 16776573 100 94 65288 111138047 0 0

# scanned=197940

# found=0

# cleaned=0

# scan_time=14357

zur Info: Hab eben mal in den Spam Ordner bei Web.de geschaut.
Es kommen weiterhin Mails von "keineantwortadresse@web.de" aber anscheinend nicht mehr so oft.

Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

danach:

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hi t'John.

Hier schonmal SecurityCheck:

Code:

 Results of screen317's Security Check version 0.99.57  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  
 ``````````````Antivirus/Firewall Check:`````````````` 

avast! Antivirus   

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 Ad-Aware 

 Spybot - Search & Destroy 

 Malwarebytes Anti-Malware Version 1.70.0.1100  

 Java 7 Update 9  

 Java version out of Date! 

 Adobe Flash Player 11.5.502.146  

 Adobe Reader XI  

 Mozilla Firefox (18.0.1) 

 Google Chrome 24.0.1312.56  
 ````````Process Check: objlist.exe by Laurent````````  

 Ad-Aware AAWService.exe is disabled! 

 Ad-Aware AAWTray.exe is disabled! 

 Spybot Teatimer.exe is disabled! 

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast AvastUI.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Mach jetzt Combofix

Hier ist Combofix:

Code:

ComboFix 12-07-31.03 - JoeCool 30.01.2013  17:25:30.3.2 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.1979.714 [GMT 1:00]

ausgeführt von:: c:\users\JoeCool\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\1&1

c:\users\JoeCool\AppData\Roaming\1&1

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-28 bis 2013-01-30  ))))))))))))))))))))))))))))))

.

.

2013-01-30 16:38 . 2013-01-30 16:38        --------        d-----w-        c:\users\Public\AppData\Local\temp

2013-01-30 16:38 . 2013-01-30 16:38        --------        d-----w-        c:\users\Hanni\AppData\Local\temp

2013-01-30 16:38 . 2013-01-30 16:38        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-01-29 07:01 . 2013-01-15 01:45        9161176        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{8A31E37D-B23A-4701-BEE4-A530075A6E37}\mpengine.dll

2013-01-28 07:33 . 2013-01-28 07:33        --------        d-----w-        c:\users\JoeCool\AppData\Local\DDMSettings

2013-01-25 06:58 . 2012-10-30 22:51        370288        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2013-01-25 06:58 . 2012-10-30 22:51        25232        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2013-01-25 06:58 . 2012-10-15 16:59        54072        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys

2013-01-25 06:58 . 2012-10-30 22:51        59728        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2013-01-25 06:58 . 2012-10-30 22:51        984144        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2013-01-25 06:58 . 2012-10-30 22:51        71600        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2013-01-25 06:58 . 2012-10-30 22:50        285328        ----a-w-        c:\windows\system32\aswBoot.exe

2013-01-25 06:58 . 2012-10-30 22:51        41224        ----a-w-        c:\windows\avastSS.scr

2013-01-25 06:58 . 2012-10-30 22:50        227648        ----a-w-        c:\windows\SysWow64\aswBoot.exe

2013-01-25 06:58 . 2013-01-25 06:58        --------        d-----w-        c:\programdata\AVAST Software

2013-01-25 06:58 . 2013-01-25 06:58        --------        d-----w-        c:\program files\AVAST Software

2013-01-09 23:26 . 2012-11-09 05:45        750592        ----a-w-        c:\windows\system32\win32spl.dll

2013-01-09 23:26 . 2012-11-09 04:43        492032        ----a-w-        c:\windows\SysWow64\win32spl.dll

2013-01-09 23:24 . 2012-11-23 03:13        68608        ----a-w-        c:\windows\system32\taskhost.exe

2013-01-09 23:24 . 2012-11-23 03:26        3149824        ----a-w-        c:\windows\system32\win32k.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-11 11:29 . 2009-12-25 13:09        67599240        ----a-w-        c:\windows\system32\MRT.exe

2013-01-09 08:20 . 2012-04-18 10:39        697864        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2013-01-09 08:20 . 2011-07-24 12:29        74248        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-12-16 17:11 . 2012-12-21 14:34        46080        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-16 14:45 . 2012-12-21 14:34        367616        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-16 14:13 . 2012-12-21 14:34        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll

2012-12-16 14:13 . 2012-12-21 14:34        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll

2012-12-14 15:49 . 2011-12-02 10:13        24176        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-30 04:45 . 2013-01-09 23:25        44032        ----a-w-        c:\windows\apppatch\acwow64.dll

2012-11-14 07:06 . 2012-12-15 07:58        17811968        ----a-w-        c:\windows\system32\mshtml.dll

2012-11-14 06:32 . 2012-12-15 07:58        10925568        ----a-w-        c:\windows\system32\ieframe.dll

2012-11-14 06:11 . 2012-12-15 07:58        2312704        ----a-w-        c:\windows\system32\jscript9.dll

2012-11-14 06:04 . 2012-12-15 07:58        1346048        ----a-w-        c:\windows\system32\urlmon.dll

2012-11-14 06:04 . 2012-12-15 07:58        1392128        ----a-w-        c:\windows\system32\wininet.dll

2012-11-14 06:02 . 2012-12-15 07:58        1494528        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-11-14 06:02 . 2012-12-15 07:58        237056        ----a-w-        c:\windows\system32\url.dll

2012-11-14 05:59 . 2012-12-15 07:58        85504        ----a-w-        c:\windows\system32\jsproxy.dll

2012-11-14 05:58 . 2012-12-15 07:58        816640        ----a-w-        c:\windows\system32\jscript.dll

2012-11-14 05:57 . 2012-12-15 07:58        599040        ----a-w-        c:\windows\system32\vbscript.dll

2012-11-14 05:57 . 2012-12-15 07:58        173056        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-11-14 05:55 . 2012-12-15 07:58        2144768        ----a-w-        c:\windows\system32\iertutil.dll

2012-11-14 05:55 . 2012-12-15 07:58        729088        ----a-w-        c:\windows\system32\msfeeds.dll

2012-11-14 05:53 . 2012-12-15 07:58        96768        ----a-w-        c:\windows\system32\mshtmled.dll

2012-11-14 05:52 . 2012-12-15 07:58        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-11-14 05:46 . 2012-12-15 07:58        248320        ----a-w-        c:\windows\system32\ieui.dll

2012-11-14 02:09 . 2012-12-15 07:58        1800704        ----a-w-        c:\windows\SysWow64\jscript9.dll

2012-11-14 01:58 . 2012-12-15 07:58        1427968        ----a-w-        c:\windows\SysWow64\inetcpl.cpl

2012-11-14 01:57 . 2012-12-15 07:58        1129472        ----a-w-        c:\windows\SysWow64\wininet.dll

2012-11-14 01:49 . 2012-12-15 07:58        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe

2012-11-14 01:48 . 2012-12-15 07:58        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll

2012-11-14 01:44 . 2012-12-15 07:58        2382848        ----a-w-        c:\windows\SysWow64\mshtml.tlb

2012-11-13 20:29 . 2012-11-13 20:29        354216        ----a-w-        c:\windows\SysWow64\DivXControlPanelApplet.cpl

2012-11-09 05:45 . 2012-12-12 17:19        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-11-09 04:42 . 2012-12-12 17:19        2048        ----a-w-        c:\windows\SysWow64\tzres.dll

2012-11-02 05:59 . 2012-12-12 17:18        478208        ----a-w-        c:\windows\system32\dpnet.dll

2012-11-02 05:11 . 2012-12-12 17:18        376832        ----a-w-        c:\windows\SysWow64\dpnet.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}]

@="{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}"

[HKEY_CLASSES_ROOT\CLSID\{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}]

2012-09-24 15:47        868352        ----a-w-        c:\program files (x86)\1&1\1&1 Office-Drive Manager\SHNDLERS.DLL

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]

@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"

[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]

2009-09-10 13:41        120104        ----a-w-        c:\program files (x86)\EgisTec\MyWinLocker 3\x86\PSDProtect.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-09-24 825864]

"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-09-13 283160]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-10-25 421888]

"DivXMediaServer"="c:\program files (x86)\DivX\DivX Media Server\DivXMediaServer.exe" [2012-11-13 450560]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]

"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2012-11-30 1263512]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Google Calendar Sync.lnk - c:\program files (x86)\Google\Google Calendar Sync\GoogleCalendarSync.exe [2011-4-8 542264]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

"ConsentPromptBehaviorAdmin"= 5 (0x5)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 7 (0x7)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"EgisTecLiveUpdate"="c:\program files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"LexwareInfoService"=c:\program files (x86)\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"

.

R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]

R1 SBRE;SBRE;c:\windows\system32\drivers\SBREdrv.sys [x]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-13 135664]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]

R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-09 251400]

R3 AMPPALP;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed Protokoll;c:\windows\system32\DRIVERS\amppal.sys [2011-08-08 299008]

R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-05-26 40448]

R3 cpudrv64;cpudrv64;c:\program files (x86)\SystemRequirementsLab\cpudrv64.sys [2009-12-18 17864]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-13 135664]

R3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtpt64.sys [x]

R3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbs64.sys [x]

R3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmdm64.sys [x]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2013-01-19 115608]

R3 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-09-10 305448]

R3 netr28ux;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28ux.sys [2009-06-10 867328]

R3 NETw1v64;Intel(R) Wireless WiFi Link 1000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw1v64.sys [x]

R3 NETw5s64;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 64-Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [2009-09-15 6952960]

R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 157672]

R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 16872]

R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 177640]

R3 SWDUMon;SWDUMon;c:\windows\system32\DRIVERS\SWDUMon.sys [2011-07-23 15672]

R3 TFsExDisk;TFsExDisk;c:\windows\System32\Drivers\TFsExDisk.sys [2010-09-06 16392]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]

R4 DBService;DATA BECKER Update Service;c:\program files (x86)\Common Files\DATA BECKER Shared\DBService.exe [2009-01-08 187456]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2009-06-02 22576]

S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2009-06-02 20016]

S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2009-06-02 60464]

S1 ui11drdr;ui11drdr;c:\windows\system32\DRIVERS\ui11drdr.sys [2012-09-24 201072]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-12-18 65192]

S2 AMPPALR3;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed Service;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe [2011-08-31 1166848]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-30 71600]

S2 BTHSSecurityMgr;Intel(R) Centrino(R) Wireless Bluetooth(R) 3.0 + High Speed Security Service;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe [2011-06-03 134928]

S2 dgdersvc;Device Error Recovery Service;c:\windows\system32\dgdersvc.exe [2010-09-06 119632]

S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe [2009-09-30 844320]

S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-08-28 1150496]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-09-13 13336]

S2 msftesql$COMBIT_CRM;SQL Server-Volltextsuche (COMBIT_CRM);c:\program files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe [2010-03-26 91992]

S2 MSSQL$COMBIT_CRM;SQL Server (COMBIT_CRM);c:\program files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2010-12-10 29293408]

S2 RS_Service;Raw Socket Service;c:\program files (x86)\Acer\Acer VCM\RS_Service.exe [2009-07-10 253952]

S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]

S3 AMPPAL;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed - Virtueller Adapter;c:\windows\system32\DRIVERS\AMPPAL.sys [2011-08-08 299008]

S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-09-06 20552]

S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-09 139264]

S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2000-01-01 76912]

S3 NETwNs64;___ Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 64-Bit;c:\windows\system32\DRIVERS\NETwNs64.sys [2011-08-03 8604672]

S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 23040]

S3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [2009-07-14 25088]

.

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-01-25 06:59        1607120        ----a-w-        c:\program files (x86)\Google\Chrome\Application\24.0.1312.56\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-30 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-18 08:20]

.

2013-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-13 16:29]

.

2013-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-13 16:29]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}]

@="{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}"

[HKEY_CLASSES_ROOT\CLSID\{6A86DAFA-242F-4E90-A4AD-D01E6B56E6EA}]

2012-09-24 15:48        944128        ----a-w-        c:\program files (x86)\1&1\1&1 Office-Drive Manager\SHNDLERS64.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-10-30 22:50        133400        ----a-w-        c:\program files\AVAST Software\Avast\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]

@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"

[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]

2009-09-10 13:44        137512        ----a-w-        c:\program files (x86)\EgisTec\MyWinLocker 3\x64\PSDProtect.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Acer ePower Management"="c:\program files\Acer\Acer ePower Management\ePowerTray.exe" [2009-09-30 823840]

"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 159232]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 380928]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 358912]

"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2000-01-01 11780712]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_1810tz&r=273612090016l0333z125t4851a38n

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = <local>

IE: {{0221703C-6E84-4915-9960-593A66B3D84E} - c:\program files (x86)\ELOoffice\EloArcConnect.exe

IE: {{39FC0E7F-84EA-4962-AB58-33913BC63CAB} - c:\program files (x86)\ELOoffice\EloInternetExplorer.htm

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\JoeCool\AppData\Roaming\Mozilla\Firefox\Profiles\v2v7uv93.default-1339507078693\

FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\msftesql$COMBIT_CRM]

"ImagePath"="\"c:\program files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:COMBIT_CRM"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2013-01-30  17:45:20

ComboFix-Add-Remove Programs.txt  2012-11-01 07:26

ComboFix-quarantined-files.txt  2013-01-30 16:45

.

Vor Suchlauf: 24 Verzeichnis(se), 155.707.965.440 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 155.394.723.840 Bytes frei

.

- - End Of File - - 2DB9D4A06723968EF546AEBCFE8BE8C8

...C:\Qoobox\Add-Remove Programs.txt

Code:



 Update for Microsoft Office 2007 (KB2508958)

1&1 Office-Drive Manager

A-PDF Label

Acer Crystal Eye webcam Ver:1.1.95.714

Acer ePower Management

Acer eRecovery Management

Acer GameZone Console

Acer GridVista

Acer Registration

Acer ScreenSaver

Acer Updater

Acer VCM

Acrobat.com

ActiveTrader 5.1.2_b2

Ad-Aware Browsing Protection

Adobe AIR

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader XI (11.0.01) - Deutsch

Adobe Shockwave Player 11.6

Advanced Renamer

Akamai NetSession Interface

Alcor Micro USB Card Reader

Apple Application Support

Apple Software Update

Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver

avast! Free Antivirus

AVM FRITZ!Box Dokumentation

BGBlitz 2.7.0

BitTorrent

BMWi-Businessplaner Gründung

C:\Users\JoeCool\AppData\Local\Temp\Rar$EX00.762\SDSD DEMO CPEditor

C:\Users\JoeCool\MARICON\06_VENDORS\SDSD\CPED\Charter Party Editor 32bit (2006)

C:\Users\JoeCool\VAIO\Joe Cool\Eigene Dateien\MariCon\SDL Complete\Charter Party Editor 32bit (2006)

Calculatem Pro

Canon Easy-PhotoPrint EX

Canon Easy-WebPrint EX

CANON iMAGE GATEWAY MyCamera Download Plugin

CANON iMAGE GATEWAY Task for ZoomBrowser EX

Canon Inkjet Printer/Scanner/Fax Extended Survey Program

Canon MG5200 series Benutzerregistrierung

Canon MOV Decoder

Canon MOV Encoder

Canon MovieEdit Task for ZoomBrowser EX

Canon MP Navigator EX 4.0

Canon My Printer

Canon Solution Menu EX

Canon Utilities CameraWindow DC 8

Canon Utilities CameraWindow Launcher

Canon Utilities Movie Uploader for YouTube

Canon Utilities MyCamera

Canon Utilities PhotoStitch

Canon Utilities ZoomBrowser EX

Canon ZoomBrowser EX Memory Card Utility

CD-LabelPrint

Charter Party Viewer

Compatibility Pack für 2007 Office System

CSS3 Menu

CyberLink PowerDVD 8

DATA BECKER TWIN 7 Tweaker

Dia (nur entfernen)

DivX-Setup

DSL-Speedtest

ELO Pdf Drucker

ELOoffice

ElsterFormular

Google Apps Migration For Microsoft Outlook® 2.3.12.34

Google Calendar Sync

Google Chrome

Google Update Helper

GPL Ghostscript

GSview 5.0

Hotfix for Microsoft .NET Framework 4 Client Profile (KB2461678)

Identity Card

IKEA Home Planner

Inkscape 0.48.3.1

Intel PROSet Wireless

Intel(R) Rapid Storage Technology

IrfanView (remove only)

Java 7 Update 9

Java Auto Updater

JellyFish Light 3.5

Junk Mail filter update

K-Lite Codec Pack 5.6.1 (Basic)

KompoZer 0.8b3

Launch Manager

Lexware Abschreibungsrechner

Lexware büro easy 2007

Lexware büro easy 2012 Vorteilsedition

Lexware Elster

Lexware Info Service

Lexware online banking

Lexware online banking 4.80

Lexware Zeiterfassung

LG CyberLink LabelPrint

LG CyberLink Power2Go

LG CyberLink PowerBackup

LG CyberLink YouCam

LG Power Tools

LG United Mobile Drivers

LG USB Modem Drivers

Logitech Harmony Remote Software 7

Malwarebytes Anti-Malware Version 1.70.0.1100

Microsoft Choice Guard

Microsoft Office 2007 Primary Interop Assemblies

Microsoft Office 2007 Service Pack 3 (SP3)

Microsoft Office Access MUI (German) 2007

Microsoft Office Enterprise 2007

Microsoft Office Excel MUI (German) 2007

Microsoft Office File Validation Add-In

Microsoft Office Groove MUI (German) 2007

Microsoft Office InfoPath MUI (German) 2007

Microsoft Office Language Pack 2007 - German/Deutsch

Microsoft Office Live Add-in 1.5

Microsoft Office O MUI (German) 2007

Microsoft Office OneNote MUI (German) 2007

Microsoft Office Outlook MUI (German) 2007

Microsoft Office PowerPoint MUI (German) 2007

Microsoft Office PowerPoint Viewer 2007 (German)

Microsoft Office Proof (English) 2007

Microsoft Office Proof (French) 2007

Microsoft Office Proof (German) 2007

Microsoft Office Proof (Italian) 2007

Microsoft Office Proofing (German) 2007

Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

Microsoft Office Publisher MUI (German) 2007

Microsoft Office Shared MUI (German) 2007

Microsoft Office SharePoint Designer 2007 Service Pack 3 (SP3)

Microsoft Office SharePoint Designer MUI (German) 2007

Microsoft Office Suite Activation Assistant

Microsoft Office Word MUI (German) 2007

Microsoft Office X MUI (German) 2007

Microsoft Silverlight

Microsoft SQL Server 2005

Microsoft SQL Server 2005 (COMBIT_CRM)

Microsoft SQL Server 2005 Compact Edition [ENU]

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Mozilla Firefox 18.0.1 (x86 de)

Mozilla Maintenance Service

MSVCRT

MSXML 4.0 SP2 (KB927978)

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

MyWinLocker

Netpas Distance

Nvu 1.0

OutlookAddInNet3Setup

PC Inspector File Recovery

PDFCreator

Picasa 3

PNMD

QuickSteuer 2010

QuickTime

Realtek High Definition Audio Driver

Remote Control USB Driver

Samsung Kies

Security Update for CAPICOM (KB931906)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2736428)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)

Security Update for Microsoft .NET Framework 4 Extended (KB2487367)

Security Update for Microsoft .NET Framework 4 Extended (KB2656351)

Security Update for Microsoft .NET Framework 4 Extended (KB2736428)

Security Update for Microsoft .NET Framework 4 Extended (KB2742595)

Security Update for Microsoft Office 2007 suites (KB2596615) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2596672) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2596744) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2596754) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition

Security Update for Microsoft Office 2007 suites (KB2596792) 32-Bit Edition

Security Update for Microsoft Office 2007 suites (KB2596871) 32-Bit Edition

Security Update for Microsoft Office 2007 suites (KB2597969) 32-Bit Edition

Security Update for Microsoft Office 2007 suites (KB2687311) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2687439) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2687441) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2687499) 32-Bit Edition 

Security Update for Microsoft Office 2007 suites (KB2760416) 32-Bit Edition 

Security Update for Microsoft Office Excel 2007 (KB2687307) 32-Bit Edition 

Security Update for Microsoft Office InfoPath 2007 (KB2687440) 32-Bit Edition 

Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition

Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition

Security Update for Microsoft Office Publisher 2007 (KB2596705) 32-Bit Edition

Security Update for Microsoft Office Word 2007 (KB2760421) 32-Bit Edition 

Servicepack Datumsaktualisierung

Skype™ 6.0

Spybot - Search & Destroy

SSF Editor

swMSM

System Requirements Lab for Intel

Tinypic 3.18

Tools für Microsoft SQL Server 2005

TreeSize Free V2.5

TVersity Codec Pack 1.7

TVersity Media Server 1.9.7

Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)

Update für Microsoft Office Excel 2007 Help (KB963678)

Update für Microsoft Office Outlook 2007 Help (KB963677)

Update für Microsoft Office Powerpoint 2007 Help (KB963669)

Update für Microsoft Office Word 2007 Help (KB963665)

Update for 2007 Microsoft Office System (KB967642)

Update for Microsoft .NET Framework 4 Client Profile (KB2468871)

Update for Microsoft .NET Framework 4 Client Profile (KB2533523)

Update for Microsoft .NET Framework 4 Client Profile (KB2600217)

Update for Microsoft .NET Framework 4 Extended (KB2468871)

Update for Microsoft .NET Framework 4 Extended (KB2533523)

Update for Microsoft .NET Framework 4 Extended (KB2600217)

Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition

Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition

Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition

Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2760586) 32-Bit Edition

VC80CRTRedist - 8.0.50727.6195

Visual C++ 2008 x86 Runtime - (v9.0.30729)

Visual C++ 2008 x86 Runtime - v9.0.30729.01

Voyage Distance

WebCam

Welcome Center

Windows Live-Uploadtool

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Fotogalerie

Windows Live Mail

Windows Live Messenger

Windows Live Movie Maker

Windows Live Sync

Windows Live Writer

WinRAR

WOW Slider

Xiph.Org Open Codecs 0.85.17777

Moin
Hab ma wieder in den Spam ordener geschaut... Inzwischen kommt da etwa alle 20min. ne mail von "keineantwortadresse" und das rund um die Uhr :-(

Bitte poste mal hier eine dieser Mails.

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Moin,

hier ist die letzte Mail (hab meine IP und email adr. unkenntlich gemacht:

Code:

This message was created automatically by mail delivery software.
 

A message that you sent could not be delivered to one or more of

its recipients. This is a permanent error. The following address

failed:
 

"kustlicht@gmx.de":

SMTP error from remote server in greeting:

host: mx00.gmx.net:

gmx.net (mxgmx001) Nemesis ESMTP Service not available

No SMTP service

IP address is black listed.

For explanation visit hxxp://postmaster.gmx.com/en/error-messages?ip=*********
 
 

--- The header of the original message is following. ---
 

Received: from acer-40b1f378bf ([*********]) by smtp.web.de (mrweb002)

with ESMTPSA (Nemesis) id 0MRl2f-1UPVKD3a3t-00TRuI for <kustlicht@gmx.de>;

Thu, 31 Jan 2013 18:35:23 +0100

From: <*********@web.de>

To: "Ingo Meier" <kustlicht@gmx.de>

Subject: Ingo Meier Zweite Abmahnung Ihrer Bestellung Nr.: 659356247694

Date: Thu, 31 Jan 2013 15:34:52 GMT

MIME-Version: 1.0

X-Mailer: Microsoft Outlook Express 6.00.2800.1106

X-Priority: 3

Content-Type: multipart/mixed; boundary="=-XC88E81890"

Message-ID: <0MC1RI-1U9lrH1sDg-009R1D@smtp.web.de>

X-Provags-ID: V02:K0:JC/W14J9ZeCEDWan/Ui23qI0NCbh4x0kWS/Qvwq82f2

pEekbL+SBZzpYTGWwM4ewtFjuS1i4MZ/4Z+BIuYNimFATZGLns

ozBOkJ3s2CT75HSbN4Q1rljN9pN9c5q9dqVkgl/nODYofqtniO

RxvIA7RIKQBh+x9iYLB9MFckTJTIY+bnUtdJNGJe3BsnX6TczU

jPRX+sfCk28tgPrW2eAYA==

Ich werd dann ma Java update machen

Hier der Plugin Check...

Firefox 18.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java (1,7,0,11) ist aktuell.

Adobe Reader 11,0,1,36 ist aktuell.

Hast du dein Passowrt fuer Mails an einem anderen PC mal geandert?

Wenn nicht, tue das mal!

Wie lautet die IP, die du da entfernt hast?

Hab keinen anderen Rechner zur Hand. Könnte es höchstens übers Smartphone versuchen.

Original stand da:
Received: from acer-40b1f378bf ([82.113.98.209]) by smtp.web.de

Das ist aber gar nicht meine IP.
Ist allerdings ein ACER

So, hab das Passwort via Smartphone geändert.

Diese gehoert zu Telefonica / O2

sagt dir das was?

Nö. Hab nie einen Vertrag oder so bei o2 gehabt.
Vieleicht liegt der Fehler ja auch wirklich bei Web.De ?

Vermutlich wird einfach nur deine eMail-Adresse missbraucht.
Als absender kann alles eingetragen werden.

Es sei denn irgendwo hast du noch einen Rechner laufen, der deine Zugangsdaten gespeichert hat ;)

Ne, hab nur meinen Laptop. Und übers Smartphone ziehe ich mir bur die Mails von meinem Google Mail Account - der ist ja nicht betroffen.
Naja, hab ja das Passwort erstmal geändert. Ma sehen, obs aufört. Sonst könnte ich evt. auch auf den Web.de account verzichten, bzw. ich lass es einfach so laufen - der Spam Filter funktioniert ja.

Auf jeden Fall vielen Dank!
Werd ma vorsorglich über Nacht nochmal OTL und Malwarebytes durchlaufen lassen - wenn was gefunden werden sollte meld ich mich nochmal.
:party:

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

Moin,

ich hatte mein Passort geändert und auch dem Support bei Web.de bescheid gesagt.
Nach etwa 2 Tagen war der Spuk dann vorbei.
Mein Laptop dürfte im Moment auch sauber sein (Dank Dir! :abklatsch:) - ist zwar sau lahm geworden, aber das dürfte an meinem neuen Exchange Server liegen. Egal - kommt sowieso bald nen neuer und dann wird der alte nur noch zum Surfen und als Multimediaspeicher genutzt.

Btw... Sollte ich mich für den neuen Laptop aufs Abenteuer Win8 einlassen oder besser beim guten Win7 bleiben? Bin mit 7 eigentlich sehr zufrieden.

LG