Trojaner-Board - Fehler 0x80070424

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Fehler 0x80070424 (https://www.trojaner-board.de/130575-fehler-0x80070424.html)

Hallo t'john, habe combofix exe gelöscht und erneut Download nach Anleitung durchgeführt nur bekomme ich kein CFscript hin. Hast du noch eine Idee woran es liegen könnte???. Etwas anderes das Malewarebytes läuft morgrn ab.Soll ich es kaufen?

Gruß

Viseo

Zitat:

nur bekomme ich kein CFscript hin

Was genau klappt nicht?

Ich habe dir die Datei angefertigt.
ade sie auf den Desktop und ziehe sie auf die Combofix-Datei.

Zitat:

Etwas anderes das Malewarebytes läuft morgrn ab.Soll ich es kaufen?

Musst du entscheiden, aber ich kann es dir empfehlen.

Hallo t'john, danke für deine Geduld mit mir,aber wie Anfangs erwähnt bin ich ein Computer Dino(nicht besonders fit computertechnisch). So ich habe das von dir erstellte CFscript vom Desktop in die Combofix exe gezogen. Combofix exe startete aber nicht automatisch. Kam nur Datei öffnen Sicherheitswarnung.
Ich habe ausführen angeklickt und den Scan damit ausgelöst. Ich weiß nicht ob dies der Sinn der Aktion war.
P.S. Danke für die Empfehlung,hat geholfen.

Gruß
Viseo

Sehr gut!

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hier sind die Log Dateien von Malwarebytes .Es wurden keine Funde gemacht. Der Rest kommt später.

Gruß

Viseo

So jetzt ist ESET Online Scan durch,mit einem Fund.Schau Ihn bitte mal an.Soll ich den Security Check trotzdem noch durchführen?

Viele Grüße
Viseo

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a6681db16d318d41aa65eb7f20b1ef7d
# engine=13173
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-16 11:04:48
# local_time=2013-02-17 12:04:48 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5892 16777213 88 94 12303100 25676729 0 0
# scanned=63715
# found=1
# cleaned=0
# scan_time=5370
sh=946132F150CA0C0330CCCE1472F3AC2CC18B8639 ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\WINDOWS\pss\wpbt0.dll.lnkStartup"

Ja bitte SecurityCheck durchfuehren!

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

File:: C:\WINDOWS\pss\wpbt0.dll.lnkStartup

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Hallo t'john,
neue Woche neues Glück. Ich habe den Security Check u. Combofix durchlaufen lassen.
An dieser Stelle muß ich mich bei Dir mal ganz ganz herzlich bedanken für deine Hilfe u. die Zeit, die du opferst.(gigantisch)

Gruß
Viseo

Combofix Logfile:

Code:

ComboFix 13-02-18.02 - egg 18.02.2013  19:25:14.6.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1279.801 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\egg\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\egg\Desktop\CFscript.txt

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

FILE ::

"c:\windows\pss\wpbt0.dll.lnkStartup"

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-18 bis 2013-02-18  ))))))))))))))))))))))))))))))

.

.

2013-02-16 21:31 . 2013-02-16 21:31        --------        d-----w-        c:\programme\ESET

2013-02-16 13:23 . 2013-02-17 10:17        --------        d-----w-        c:\windows\system32\XPSViewer

2013-02-16 13:23 . 2013-02-16 13:23        --------        d-----w-        c:\programme\MSBuild

2013-02-16 13:23 . 2013-02-16 13:23        --------        d-----w-        c:\programme\Reference Assemblies

2013-02-16 13:22 . 2008-07-06 12:06        89088        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll

2013-02-16 13:22 . 2013-02-16 13:22        --------        d-----w-        C:\d59ea5bf82542d9484deac4c82ae

2013-02-16 13:22 . 2008-07-06 12:06        89088        -c----w-        c:\windows\system32\dllcache\filterpipelineprintproc.dll

2013-02-16 13:22 . 2008-07-06 12:06        575488        -c----w-        c:\windows\system32\dllcache\xpsshhdr.dll

2013-02-16 13:22 . 2008-07-06 12:06        575488        ------w-        c:\windows\system32\xpsshhdr.dll

2013-02-16 13:22 . 2008-07-06 12:06        1676288        -c----w-        c:\windows\system32\dllcache\xpssvcs.dll

2013-02-16 13:22 . 2008-07-06 12:06        1676288        ------w-        c:\windows\system32\xpssvcs.dll

2013-02-16 13:22 . 2008-07-06 12:06        117760        ------w-        c:\windows\system32\prntvpt.dll

2013-02-16 13:22 . 2008-07-06 10:50        597504        -c----w-        c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2013-02-16 13:22 . 2008-07-06 10:50        597504        ------w-        c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

2013-02-16 13:01 . 2013-02-16 13:02        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\QuickScan

2013-02-15 16:37 . 2013-02-15 16:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Systweak

2013-02-15 16:31 . 2013-01-29 17:17        18800        ----a-w-        c:\windows\system32\roboot.exe

2013-02-12 15:47 . 2013-02-12 15:47        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\TuneUp Software

2013-02-12 15:46 . 2013-02-12 15:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software

2013-02-12 15:46 . 2013-02-12 15:46        --------        d--h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files

2013-02-12 15:46 . 2013-02-12 21:51        --------        d-----w-        c:\programme\ChatZum Toolbar

2013-02-12 09:53 . 2013-02-12 09:53        --------        d-----w-        C:\_OTL

2013-02-11 12:16 . 2013-02-11 12:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos

2013-02-09 20:33 . 2013-02-15 16:48        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\Systweak

2013-02-06 18:51 . 2013-02-06 18:51        --------        d-----w-        c:\dokumente und einstellungen\egg\AppData

2013-02-06 18:51 . 2013-02-06 18:51        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\searchquband

2013-02-06 17:12 . 2013-02-06 17:13        --------        d-----w-        c:\dokumente und einstellungen\egg\Lokale Einstellungen\Anwendungsdaten\jZip

2013-02-06 17:12 . 2013-02-06 18:52        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\searchqutoolbar

2013-02-06 17:12 . 2013-02-06 17:12        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\boost_interprocess

2013-02-06 17:11 . 2013-02-06 17:12        --------        d-----w-        c:\programme\jZip

2013-02-03 13:15 . 2013-02-03 13:15        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\Malwarebytes

2013-02-03 13:15 . 2013-02-03 13:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2013-02-03 13:15 . 2013-02-03 18:36        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2013-02-03 13:15 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2013-02-03 12:00 . 2013-02-03 12:00        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\DriverCure

2013-02-03 12:00 . 2013-02-03 12:00        --------        d-----w-        c:\dokumente und einstellungen\egg\Anwendungsdaten\SpeedMaxPc

2013-02-03 11:59 . 2013-02-03 18:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpeedMaxPc

2013-02-02 17:38 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{4B99EB17-0FCE-4837-B17B-21CEBEA05530}\mpengine.dll

2013-01-31 15:43 . 2013-01-08 04:57        6991832        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-15 16:43 . 2011-10-07 16:52        1409        ----a-w-        c:\windows\QTFont.for

2013-01-30 10:53 . 2011-09-25 13:53        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-26 03:55 . 2001-08-18 12:00        552448        ----a-w-        c:\windows\system32\oleaut32.dll

2013-01-07 07:24 . 2001-08-18 12:00        2195328        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24 . 2001-08-18 04:28        2072064        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09 . 2001-08-18 12:00        1867392        ----a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49 . 2001-08-18 12:00        148992        ----a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49 . 2001-08-18 12:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2012-12-26 20:06 . 2001-08-18 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2012-12-26 20:06 . 2001-08-18 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-12-26 20:06 . 2001-08-18 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-12-24 06:40 . 2007-02-23 17:36        385024        ------w-        c:\windows\system32\html.iec

2012-12-16 12:23 . 2001-08-18 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Lexmark X74-X75"="c:\programme\Lexmark X74-X75\lxbbbmgr.exe" [2002-07-31 57344]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-03-06 77824]

"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak EasyShare Software.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk

backup=c:\windows\pss\Kodak EasyShare Software.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Kodak software updater.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Kodak software updater.lnk

backup=c:\windows\pss\Kodak software updater.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

2005-06-23 19:33        57344        -c--a-w-        c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-10-15 00:04        39792        -c--a-w-        c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]

2001-11-15 10:08        1216512        ----a-w-        c:\windows\mixer.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 06:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-14 06:52        1695232        ------w-        c:\programme\Messenger\msmsgs.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

2001-07-09 09:50        155648        -c--a-w-        c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2007-03-06 18:18        77824        ----a-w-        c:\programme\QuickTime\qttask.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

.

R2 COSIDS_TB;COSIDS_TB;c:\progra~1\cosids\tbcd\TBMUX32.EXE [12.12.2007 20:30 146944]

R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [03.02.2013 14:15 398184]

R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [03.02.2013 14:15 682344]

R3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\drivers\CTXH51.sys [04.01.2002 08:00 454815]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [03.02.2013 14:15 21104]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - APPMGMT

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-02-01 11:03        1607120        ----a-w-        c:\programme\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-03-26 16:12]

.

2013-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-03-26 16:12]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://www.google.de/

mStart Page = hxxp://search.chatzum.com/?orig=HP&affid=61&cztbid=685753146

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-18 19:32

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,97,95,85,51,4e,10,4b,98,00,62,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,a9,97,95,85,51,4e,10,4b,98,00,62,\

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3484)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2013-02-18  19:34:50

ComboFix-quarantined-files.txt  2013-02-18 18:34

ComboFix2.txt  2013-02-16 10:10

.

Vor Suchlauf: 16 Verzeichnis(se), 93.034.151.936 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 93.173.616.640 Bytes frei

.

- - End Of File - - EEFEB770D5B847D6E0CAE512E0F4FC8F

--- --- ---

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo der Adobe ist aktualisiert u. der Fabar Scanner ist auch durch.

Gruß

Viseo

Farbar Service Scanner Version: 18-02-2013
Ran by egg (administrator) on 19-02-2013 at 20:32:32
Running from "C:\Dokumente und Einstellungen\egg\Desktop"
Microsoft Windows XP Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error. Google IP is offline
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.

Windows Firewall:
=============

Firewall Disabled Policy:
==================

System Restore:
============

System Restore Disabled Policy:
========================

Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================

File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2001-08-18 13:00] - [2008-04-14 07:52] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2001-08-18 13:00] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07

C:\WINDOWS\system32\ipnathlp.dll
[2001-08-18 13:00] - [2008-04-14 07:52] - 0334336 ____A (Microsoft Corporation) CAD058D5F8B889A87CA3EB3CF624DCEF

C:\WINDOWS\system32\netman.dll
[2001-08-18 13:00] - [2008-04-14 07:52] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2007-02-23 18:03] - [2008-04-14 07:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\srsvc.dll
[2007-02-23 18:05] - [2008-04-14 07:52] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182

C:\WINDOWS\system32\Drivers\sr.sys
[2007-02-23 18:05] - [2008-04-14 07:32] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F

C:\WINDOWS\system32\wscsvc.dll
[2007-02-23 18:36] - [2008-04-14 07:52] - 0080896 ____A (Microsoft Corporation) 300B3E84FAF1A5C1F791C159BA28035D

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2007-02-23 18:03] - [2008-04-14 07:52] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\wuauserv.dll
[2007-02-23 18:03] - [2008-04-14 07:52] - 0006656 ____A (Microsoft Corporation) 7B4FE05202AA6BF9F4DFD0E6A0D8A085

C:\WINDOWS\system32\qmgr.dll
[2007-02-23 18:06] - [2008-04-14 07:52] - 0409088 ____A (Microsoft Corporation) D6F603772A789BB3228F310D650B8BD1

C:\WINDOWS\system32\es.dll
[2001-08-18 13:00] - [2008-07-07 21:26] - 0253952 ____A (Microsoft Corporation) AF4F6B5739D18CA7972AB53E091CBC74

C:\WINDOWS\system32\cryptsvc.dll
[2001-08-18 13:00] - [2008-04-14 07:52] - 0062464 ____A (Microsoft Corporation) 611F824E5C703A5A899F84C5F1699E4D

C:\WINDOWS\system32\svchost.exe
[2001-08-18 13:00] - [2008-04-14 07:53] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2001-08-18 13:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2001-08-18 13:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC

Extra List:
=======
Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4)
0x0700000005000000010000000200000003000000040000000600000007000000
IpSec Tag value is correct.

**** End of log ****

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Hallo t'john, ich verneige mich zu tiefst.Wir haben es geschafft.Juhu,Juhu. Vielen vielen Dank!!! Ich habe hier sehr sehr viel gelenrt. RESPEKT. Eins ist aber geblieben. Mein MSE ist immer noch "rot" und läßt sich nicht aktivieren(Fehler 0X80070424) Muß ich MSE löschen und neu installieren??

Gruß

Viseo

Komisch bei Farbar wurde der Fehler nicht angezeigt.

Ja, versuche es bitte.

Falls es nicht klappt, nochmal melden dann probieren wir noch was.

Hallo t'john,
ich habe MSE gelöscht,Computer neugestartet u. wollte MSE herunter laden.Kommt immer Fehlermeldung msnstall.exe von msedlservice.microsoft.com kann nicht heruntergeladen werden.

Gruß

Viseo

Ja, Microsoft hat da enen falschen Link auf der Seite.

Probier mal: Microsoft Security Essentials - Download - Filepony