Trojaner-Board - Nach GVU - ist mein Rechner sauber?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach GVU - ist mein Rechner sauber? (https://www.trojaner-board.de/131953-gvu-rechner-sauber.html)

Nach GVU - ist mein Rechner sauber?

Hallo,

vor einiger Zeit (so ca. 4 Wochen) hab ich mir den GVU(?) eingefangen. "Ihr Rechner wurde gesperrt bla, bla" und es ging nichts mehr. Auf dem Bildschirm erschien nur im Vollbild die Meldung und Aufforderung 100,- € zu zahlen. Habe dann auf einem Zweitrechner im Internet nach der Lösung gesucht (bin aber leider nicht gleich auf eure Seite gestossen) und dann entsprechend gehandelt:
1. Windows im abgesicherten Modus gestartet
2. Alten Systemwiederherstellungspunkt geladen (von 2 Tage vor Befall)
3. Mit Virenscanner gescannt (1 Fund, allerdings in irgend einer *.Zip Datei), diese dann gelöscht.
4. Kaspersky Rescure Disk erstellt, damit gestartet und gescannt (6 Funde in unterschiedlichen Dateien u.a. wieder in *.zip Dateien) alle gelöscht.
5. Rechner "normal" gestartet und mit Malwarebyte gescannt (wieder 1 oder 2 Funde) gelöscht
Zwischen Punkt 2 und 5 auch CCleaner rüberlaufen lassen.

Seit dem läuft der Rechner wieder und es gibt auch keine Meldungen mehr über Funde. Weder vom üblichen (AVAST) Virenscanner noch von Malwarebyte.

So ganz wohl fühl ich mich aber trotzdem noch nicht. Mir fiel nämlich vor etwa 2-3 Wochen auf, dass auf meinen Homepages (insgesamt 3 auf 3 verschiedenen Servern) ein seltsames "Kästchen" erscheint, ähnlich einem Textfeld wie in Formularen nur viel kleiner - habe dazu vor 2 Tagen schon einen Post hier erstellt.

Naja, meine Befürchtung ist, dass das kleine Mistvieh doch noch nicht ganz weg ist. Wäre super, wenn ich hier Hilfe finde.

Die OTL.txt und EXTRAS.txt ist anbei - als Desktop.zip, weil die OTL.txt zu groß ist. Beim Ausführen von Gmer ist mir der Rechner eingefroren. Es ging nichts mehr, auch kein Strg-Alt-Entf und ich musste den Reset-Knopf drücken. Bevor ich Gmer nochmal starte wollte ich lieber erst hier Bescheid geben.

Ich sag schon jetzt vielen Dank für die Hilfe

Gruß
Thomas

:hallo:

Bitte das Malwarebytes-Logfile posten, das du schon gemacht hast!
(Reiter Logdateien)

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL
 

[2013.02.12 12:02:50 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3167418.pad 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\*.exe

C:\Dokumente und Einstellungen\Besitzer\*.exe

C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t`john,

erstmal herzlichen Dank, dass du dir die Zeit nimmst um mir bei meinem Problem zu helfen.

Seit dem damaligen GVU-Befall, hab ich Malwarebytes mehrmals durchgeführt. Hier die Logdatei des ersten Durchlaufs nach dem Befall:

Code:

Malwarebytes Anti-Malware (Test) 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.02.14.06
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

Besitzer :: T-FA5A28874B174 [Administrator]
 

Schutz: Aktiviert
 

14.02.2013 18:39:03

mbam-log-2013-02-14 (18-39-03).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 345515

Laufzeit: 2 Stunde(n), 54 Minute(n), 42 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 3

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

D:\daten\GRAFIK\Grafik Paket\09-BannerDev\BannerDev_with_Rebrander_MRR\BannerDev_Regular.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\daten\GRAFIK\Grafik Paket\27-SqueezePage\SqueezePage\SQZiab2_inst.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Sicherung\DATEN\GRAFIK\Grafik Paket\09-BannerDev\BannerDev_with_Rebrander_MRR\BannerDev_Regular.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Logfile nach OTL Fix:

Code:

All processes killed

========== OTL ==========

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3167418.pad moved successfully.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.

File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\jre-7u17-windows-i586-iftw.exe moved successfully.

File\Folder C:\Dokumente und Einstellungen\Besitzer\*.exe not found.

File\Folder C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ctfmon.lnk not found.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Auflösungscache wurde geleert.

C:\Dokumente und Einstellungen\Besitzer\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Besitzer\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Besitzer

->Temp folder emptied: 142516794 bytes

->Temporary Internet Files folder emptied: 1204245 bytes

->Java cache emptied: 396048 bytes

->FireFox cache emptied: 329420311 bytes

->Flash cache emptied: 60394 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 57616 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 212992 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 452,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 03132013_075802
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Logfile Malwarebytes Anti-Rootkit:

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1021

www.malwarebytes.org
 

Database version: v2013.03.13.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

Besitzer :: T-FA5A28874B174 [administrator]
 

13.03.2013 08:24:05

mbar-log-2013-03-13 (08-24-05).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 25426

Time elapsed: 12 minute(s), 34 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Und AdwCleaner sagt:

Code:

# AdwCleaner v2.114 - Datei am 13/03/2013 um 08:32:20 erstellt

# Aktualisiert am 05/03/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : Besitzer - T-FA5A28874B174

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\7cdzlqgw.default\searchplugins\babylon1.xml

Datei Gelöscht : C:\Programme\Mozilla Firefox\searchplugins\babylon.xml

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon

Ordner Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Babylon

Ordner Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\DesktopIconForAmazon

Ordner Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OCS

Ordner Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenCandy

Ordner Gelöscht : C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\OpenCandy
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\d68adcb36ebf40

Schlüssel Gelöscht : HKCU\Software\DataMngr

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Softonic

Schlüssel Gelöscht : HKLM\Software\AskToolbar

Schlüssel Gelöscht : HKLM\Software\Babylon

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap

Schlüssel Gelöscht : HKLM\Software\DataMngr

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v6.0.2900.5512
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v19.0.2 (de)
 

Datei : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\7cdzlqgw.default\prefs.js
 

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\7cdzlqgw.default\user.js ... Gelöscht !
 

Gelöscht : user_pref("extensions.BabylonToolbar.admin", false);

Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");

Gelöscht : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");

Gelöscht : user_pref("extensions.BabylonToolbar.autoRvrt", "false");

Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "en");

Gelöscht : user_pref("extensions.BabylonToolbar.excTlbr", false);

Gelöscht : user_pref("extensions.BabylonToolbar.id", "f0d57bc1000000000000485b39a149bf");

Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15691");

Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "sst");

Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");

Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");

Gelöscht : user_pref("extensions.BabylonToolbar.rvrt", "false");

Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "base");

Gelöscht : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]

Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.8.4.9");

Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.8.4.9");

Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", "");

Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=109727&tt=5112_5");

Gelöscht : user_pref("extensions.BabylonToolbar_i.excTlbr", false);

Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false);

Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");

Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");

Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.4.918:27:44");
 

*************************
 

AdwCleaner[S1].txt - [7307 octets] - [13/03/2013 08:32:20]
 

########## EOF - C:\AdwCleaner[S1].txt - [7367 octets] ##########

Gruß
Thomas

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hi,

aswMBR.txt

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-03-13 17:06:37

-----------------------------

17:06:37.984    OS Version: Windows 5.1.2600 Service Pack 3

17:06:37.984    Number of processors: 3 586 0x203

17:06:37.984    ComputerName: T-FA5A28874B174  UserName: Besitzer

17:06:38.609    Initialize success

17:06:38.671    AVAST engine defs: 13031300

17:07:02.531    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5

17:07:02.531    Disk 0 Vendor: Hitachi_HDS721025CLA382 JP1OA3EA Size: 238475MB BusType: 3

17:07:02.531    Disk 0 MBR read successfully

17:07:02.531    Disk 0 MBR scan

17:07:02.546    Disk 0 Windows XP default MBR code

17:07:02.546    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       158461 MB offset 63

17:07:02.546    Disk 0 Partition - 00     0F Extended LBA             80003 MB offset 324529065

17:07:02.578    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        80003 MB offset 324529128

17:07:02.578    Disk 0 scanning sectors +488376000

17:07:02.687    Disk 0 scanning C:\WINDOWS\system32\drivers

17:07:10.875    Service scanning

17:07:17.078    Service GMSIPCI E:\INSTALL\GMSIPCI.SYS **LOCKED** 21

17:07:33.140    Modules scanning

17:07:44.656    Disk 0 trace - called modules:

17:07:44.671    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys pciide.sys PCIIDEX.SYS 

17:07:44.671    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a56aab8]

17:07:44.671    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000073[0x8a60ff18]

17:07:44.671    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-5[0x8a546940]

17:07:44.687    \Driver\atapi[0x8a64f478] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> prosync1.sys[0xba5ae661]

17:07:49.375    AVAST engine scan C:\WINDOWS

17:07:55.906    AVAST engine scan C:\WINDOWS\system32

17:09:36.703    AVAST engine scan C:\WINDOWS\system32\drivers

17:09:50.031    AVAST engine scan C:\Dokumente und Einstellungen\Besitzer

17:11:00.187    AVAST engine scan C:\Dokumente und Einstellungen\All Users

17:12:31.171    Scan finished successfully

17:13:00.546    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Besitzer\Desktop\MBR.dat"

17:13:00.546    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Besitzer\Desktop\aswMBR.txt"

Die Frage, ob mit der aktuellen Virendefinition von AVAST! gescannt werden soll, wurde nicht gestellt. Quick Scan war in der Auswahlliste voreingestellt und wurde von mir so übernommen.

log.txt von ESET Online Scanner:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=c7807b9835bb114b914e6c454fd0828f

# engine=13375

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-03-13 06:19:35

# local_time=2013-03-13 07:19:35 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=774 16777213 85 93 285641 139908647 0 0

# scanned=217194

# found=2

# cleaned=0

# scan_time=7154

sh=5C36E2972E91240D3F9C62A2D48FC2D96D9EDF9E ft=0 fh=0000000000000000 vn="probably unknown NewHeur_PE virus" ac=I fn="D:\german giveaway\IM_Tools.zip"

sh=03CCCDAD74DCACBA66D46CF99EA6F86283C99885 ft=1 fh=5020e8c66299c0c3 vn="Win32/Adware.IGetNet application" ac=I fn="G:\Sicherung\Downloads\Themes\Nightmare on Elmstreet\21592.exe"

Unter Laufwerk G wurde (nur für diesen Scan) eine externe Festplatte angestöpselt.
Laufwerk D ist die 2. Partition meiner Festplatte.

checkup.txt von Security Check:

Code:

 Results of screen317's Security Check version 0.99.59  

 Windows XP Service Pack 3 x86   

 Internet Explorer 6 Out of date! 
 ``````````````Antivirus/Firewall Check:`````````````` 

 avast! Free Antivirus    
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.70.0.1100  

 TuneUp Utilities 2006   

 CCleaner     

 Eusing Free Registry Cleaner  

 Java 7 Update 17  

 Java version out of Date! 

 Adobe Flash Player         11.6.602.171  

 Adobe Reader XI  

 Mozilla Firefox (19.0.2) 

 Mozilla Thunderbird (17.0.4) 
 ````````Process Check: objlist.exe by Laurent````````  

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast avastUI.exe  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C::  
 ````````````````````End of Log``````````````````````

Kleine Zwischenfrage so am Rande: Wenn ein Virenscanner einen Schädling findet, was ist grundsätzlich empfehlenswerter: Den Fund löschen, oder in Quarantäne stellen?

Beste Grüße
Thomas

Zitat:

Kleine Zwischenfrage so am Rande: Wenn ein Virenscanner einen Schädling findet, was ist grundsätzlich empfehlenswerter: Den Fund löschen, oder in Quarantäne stellen?

Immer Quarataene.
Falscherkennung passiert oefters als man denkt und aus der Quarantaene kann man diese Dateien wieder zurueckholen.

Alles Windows Updates einspielen, inkl. Internet Explorer!
http://windowsupdate.microsoft.com

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Hinweis: Registry Cleaner

Ich sehe, dass du sogenannte Registry Cleaner installiert hast.
In deinem Fall TuneUp Utilities 2006, CCleaner, Eusing Free Registry Cleaner.

Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab.

Der Grund ist ganz einfach:
Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler.
Zerstörst du die Registry, zerstörst du Windows.

Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich.

Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über

Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)

zu deinstallieren.

Updates hab ich durchgeführt (auch IE). Es wurden zwei zusätzliche Symbole in der Taskleiste angelegt: Windows Deskbar und rechts (wo die Autostartprogramme sind) eine Lupe, welche wohl den Computer indiziert. Der Rechner braucht jetzt wesentlich länger zum starten. Kann ich die beiden Symbole wieder entfernen und wenn ja, wie mach ich das am besten?

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 19.0 ist aktuell

Flash (11,6,602,171) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,2,0 ist aktuell.

Deinen Rat, die Registry-Cleaner zu deinstallieren werde ich beherzigen. CCleaner kam sowieso nur drauf, weil mir das damals bei meinen Recherchen nach dem GVU empfohlen wurde (nicht von eurer Seite). Den Eusing nehm ich kaum her, werde den also auch nicht wirklich vermissen. Nur der TuneUp..., dem werd ich wohl schon ein bisschen nachtrauern. :heulen: War ne feine Sache damit Windows Einstellungen vorzunehmen, den Autostart anzupassen und den Rechner von sinnlosen Dateien zu befreien. Aber vielleicht erfahr ich ja, wie ich das in Zukunft selbst manuell erledigen kann :pfeiff:

Gruß
Thomas

Zitat:

Kannst du mal Screenshots machen?

Sind unter Start --> Systemsteuerung --> Software diese deinstallierbar, dann tue es am besten dort.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Hi t´john,

nochmals vielen Dank für deine Hilfe. :applaus:

Die letzten Punkte / Tipps habe ich durchgeführt und war heute auch schon fleissig beim Lesen der Lektüren.

Noch eine Frage:
Die beiden Funde, die ESET Online Scanner gefunden hat, was mach ich mit denen? Wurden damals ja nicht gelöscht, oder?

Beste Grüße
Thomas

Die beiden Funde sind eher Adware also nur Werbemuell.

Kannst du auch von hand loeschen.

Wuensche eine virenfreie Zeit ;)

Danke für die Hilfe :party: