Trojaner-Board - Internet Explorer öffnet ständig neue Fenster

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internet Explorer öffnet ständig neue Fenster (https://www.trojaner-board.de/87667-internet-explorer-oeffnet-staendig-neue-fenster.html)

Internet Explorer öffnet ständig neue Fenster

Hoi!

Ich habe seit heute das Problem, dass mein Internet Explorer in (anscheinend unregelmäßigen) Abständen immer wieder kleine Fenster öffnet und diverse Seiten öffnet (soweit ich das sehe keine XXX-Seiten, sondern reine Werbe-Seiten). Ich habe mich, gemäß den Forenregeln, bereits schlau gemacht, dabei auch zwei Threads in diesem Forum gefunden, die das gleiche Thema behandelt haben, bei denen die Lösung mir aber nicht geholfen hat (h**p://www.trojaner-board.de/53006-ie-fenster-wird-automatisch-gestartet-mit-werbung.html bzw. h**p://www.trojaner-board.de/26665-internet-explorer-oeffnet-immer-neue-fenster.html).

Ich habe schon so ziemlich alle Programme von Spyware Doctor über Malwarebytes und diverse andere ausprobiert, aber keines konnte das Problem lösen.

Hier mein HiJack Log:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:06:25, on 30.06.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\Uhixoa.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Mozilla Firefox\plugin-container.exe

C:\Dokumente und Einstellungen\Damian\Desktop\HiJackThis204.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QIP] "C:\Programme\QIP\qip.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f

O4 - HKCU\..\Run: [{BED0C616-4585-82F7-580E-5C589BEC2D1B}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Ocze\ugcee.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - S-1-5-18 Startup: ntuser_mssec.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: ntuser_mssec.exe (User 'Default user')

O4 - Startup: sisytj32.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6A93BE-BBF5-4CF5-A5B2-0EF2067D981D}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B47EFC2-61A7-4449-BA8D-23481FB1D4C0}: NameServer = 192.168.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6A93BE-BBF5-4CF5-A5B2-0EF2067D981D}: NameServer = 192.168.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6A93BE-BBF5-4CF5-A5B2-0EF2067D981D}: NameServer = 192.168.2.1

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Computerbrowser BrowserRDSessMgr (BrowserRDSessMgr) - Unknown owner - C:\WINDOWS\system32\ADODCf.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Taskplaner ScheduleTapiSrv (ScheduleTapiSrv) - BitTorrent, Inc. - C:\WINDOWS\system32\12520850s.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 4391 bytes

--- --- ---

Bei dem

Zitat:

O4 - Startup: sisytj32.exe

handelt es sich offenbar um ein sehr gefährliches Programm, leider funktioniert keiner der Lösungsansätze (zwecks Elimination), die ich bisher ausprobiert habe.

Ich hoffe, mir kann jemand behilflich sein.

mfG

Apehead

PS: Ich benutze standardmäßig den FF, der IE ist bei mir eigentlich überflüssig.

Check mal bitte folgende Dateien bei Virustotal.com

Zitat:

C:\WINDOWS\Uhixoa.exe
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Ocze\ugcee.exe
sysytj32.exe

Poste hier dann die einzelnen Links zu den Ergebnissen

Hi!

Erstmal vielen Dank für die Hilfe!

Bezüglich der Links, da bin ich mir nicht sicher ob andere die lesen können, die scheinen an eine Session-ID gekoppelt zu sein. Aber ich versuche es einfach mal:

Uhixoa.exe: h**p://www.virustotal.com/de/analisis/32d6651f7ecfff279565c58d48c836147d73c8f5afb80f6eae440bfcc6fe5d42-1277925247

ugcee.exe: h**p://www.virustotal.com/de/analisis/8b6187793fd032aeabe388a02488793f6745ef767038492678efc0f807b11000-1277925553

Eine sysytj32.exe ließ sich auf der Festplatte (leider?!) nicht auftreiben, auch nicht als versteckte Datei.

LG

Apehead

Also bei der ersten Datei habe ich anscheinend getroffen.
Die 2te kommt mir, weil sie im Systemstart ist und eines so interessanten Pfad/Namen hat sehr verdächtig vor.
Aber sie wird nicht als Malware erkannt. Daher wird sie erstmal ausgelassen.

Tut mir leid: Ich hab mich etwas verschrieben: Nicht "sysytj32.exe" sondern "sisytj32.exe"
Die Datei bitte überprüfen. Sie ist soweit ich weis, im Autostart Ordner.(Dokumente und Einstellungen\%Benutzername%\Startmenü\Autostart)

Hallo!

Also, ich habe keine sisytj32.exe gefunden, dafür aber eine Datei namens "SISYTJ32.EXE-1513B72B.pf" im Ordner "C:\Windows\Prefetch". Die ist laut virustotal.com aber nicht gefährlich:

h**p://www.virustotal.com/de/analisis/5c91cc173ee586972043f68f9add11d21af804d81f029915561b44eb13c38a98-1277928479

Komischerweise habe ich jetzt aber auch keine komischen IE-Fenster mehr, das Problem scheint also erledigt zu sein (hatte OTL und Malwarebytes' nochmal drüberlaufen lassen) und dann die Uhixoa beendet bzw. gelöscht (über die es im Internet allerdings komischerweise keinerlei Informationen gibt).

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:15:23, on 30.06.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\QIP\qip.exe

C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Dokumente und Einstellungen\Damian\Anwendungsdaten\QipGuard\QipGuard.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Firefox\plugin-container.exe

C:\Programme\Malwarebytes' Anti-Malware\mbam.exe

C:\Tools\HiJackThis204.exe
 

O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Dokumente und Einstellungen\Damian\Anwendungsdaten\Microsoft\Internet Explorer\qstatsrv.dll

O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Dokumente und Einstellungen\Damian\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QIP] "C:\Programme\QIP\qip.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKCU\..\Run: [{BED0C616-4585-82F7-580E-5C589BEC2D1B}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Ocze\ugcee.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [QIP Internet Guardian] C:\Dokumente und Einstellungen\Damian\Anwendungsdaten\QipGuard\QipGuard.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (HKCU)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6A93BE-BBF5-4CF5-A5B2-0EF2067D981D}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B47EFC2-61A7-4449-BA8D-23481FB1D4C0}: NameServer = 192.168.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6A93BE-BBF5-4CF5-A5B2-0EF2067D981D}: NameServer = 192.168.2.1

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Computerbrowser BrowserRDSessMgr (BrowserRDSessMgr) - Unknown owner - C:\WINDOWS\system32\ADODCf.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Taskplaner ScheduleTapiSrv (ScheduleTapiSrv) - BitTorrent, Inc. - C:\WINDOWS\system32\12520850s.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 4249 bytes

--- --- ---

Vielen Dank auf jeden Fall für deine Hilfe!

LG

Apehead

Es lag also wohl an der Uhixoa.exe.
Aber ich fürchte wir sind noch nicht fertig.
Diese sisytj32.exe besitzt dem Internet nach Rootkit Funktionalität.
Mach bitte einen vollständigen Suchlauf mit Malwarebytes und poste hier das Log.
Dann wäre auch ein Log von GMER ganz sinnvoll.

Sehe grad: die sisytj32.exe ist wohl weg.
Ein GMER scan wäre aber trotzdem nicht schlecht.

Hi!

Beim GMER-Scan friert das Programm ein wenn der Suchlauf beendet ist und ich das Log sichern will, dann reagiert nichts mehr (obwohl ich alle Programme beendet und nichts am PC gemacht habe).

Das MBAM-Log:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4262

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.07.2010 09:43:23
mbam-log-2010-07-01 (09-43-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 116551
Laufzeit: 2 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Diese Disabled.SecurityCenter-Einträge lassen sich nicht löschen (auch nicht per Neustart und auch nicht per ComboBox). Ich denke, sie sind dafür verantwortlich, dass bei jedem Neustart des Rechners unten rechts wieder die Warnhinweise auftauchen, dass meine Windows Firewall nicht aktiv ist (obwohl ich die Warnhinweises jedes Mal deaktiviere).

LG

Apehead

Hat GMER denn irgendwas gefunden? (Rote Einträge)
Mach doch bitte einen vollständigen (keinen quick) Malwarebytes Suchlauf.
Wenn was gefunden wird, bitte posten.

Hi!

Nein, nichts rot.

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4262

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.07.2010 15:10:51
mbam-log-2010-07-01 (15-10-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 179330
Laufzeit: 27 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

LG

Apehead

Zitat:

O4 - HKCU\..\Run: [{BED0C616-4585-82F7-580E-5C589BEC2D1B}] C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Ocze\ugcee.exe

Also mir kommt diese Datei immernoch verdächtig vor.
Mach mal folgendes:

Drück (*Windowstaste* R)
Gib dann "msconfig" ein
Klick auf die Registerkarte "Systemstart"
Entferne das Häckchen für den Oben genannten Eintrag.
Starte den PC neu.

Sag bescheid ob danach noch alles richtig funktioniert.

Hi!

Den Eintrag finde ich dort leider nicht!

LG

Apehead

Dann geh einfach in das Verzeichnis und benenne die ugcee.exe nach verdächtig.exe um.
Du musst evtl. den Prozess erst im Taskmanager beenden.
Mach danach einen Neustart

Hi!

Die Datei scheint nicht mehr zu existieren. Sie wurde anscheinend von meinem AntiVir in Quarantäne verschoben. Hier das MBAM-Log:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4262

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

02.07.2010 08:25:38
mbam-log-2010-07-02 (08-25-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 179395
Laufzeit: 20 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die drei fragwürdigen Einträge gibt es immernoch, aber die Windows Erinnerung wird jetzt nicht mehr automatisch dargestellt, scheint also alles in Ordnung zu sein. Vielleicht sind das auch gar keine Schadprogramme, sondern einfach Windows-Dienste.

Auf jeden Fall vielen Dank für deine Hilfe!

LG

Apehead

Also ich glaube wir sind tatsächlich fertig.

Dann sag ich mal, du bist entlassen;)

zum Xten mal. HJT ist zuwenig um ein System als Clean zu geben.
Tu uns einen gefallen und sie uns etwas über die Schulter.
Wenn Du es lernen willst wies geht, kannst Du mich via PM kontaktieren.

Malware ist nicht irgendeine Spielerei oder ein Computerspiel. Da gehts um persönliche Daten, Geld usw. Ich denke Du unterschätzt das ein bisschen.

ApeHead ich möchte da noch etwas graben

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

netsvcs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

%systemroot%\system32\ws2help.dll /md5

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread