Ständige Meldung "Windows Security Alert"
 

Hallo zusammen,

Zunächst vielen Dank im Voraus dem/derjenigen, der/die sich mein Problem anschaut.

Hier ist das Problem:

1. Vor etwa 2 Tagen wurde mein Laptop ziemlich langsam - ein "svchost.exe"-Prozess nutzte fast die ganze Zeit ca. 90% vom CPU. Nachdem ich den AVG-Scan duchgeführt und einige Infektionen erfolgreich beseitigt hatte, hatte ich irgendwann das Problem nicht mehr.

2. Allerdings fingen kurz vor/nach der Entfernung der Infektionen "fake"-Antivirussoftware Pop-ups wie "Windows Security Alert" auf dem Bildschirm zu erscheinen und mir mitzuteilen, dass mein Laptop infiziert ist, dass ich mir dazu eine vollständige Antivirussoftware-Version besorgen soll, usw. Natürlich habe ich nichts angeklickt, trotzdem öffnete sich ab und zu das Internetexplorer und versuchte auf irgendwelche komische Seiten zuzugreifen. Habe danach nochmal den AVG-Scan gestartet, diesmal im abgesicherten Modus. Er hat wieder einige Infektionen detektiert und alle bis auf eine entfernt. Die Infektion, die den Scan "überlebt" hat, war "tcpip.sys Virus identified Win32/Patched.DX".

3. Erst danach habe ich mich entschieden, Hilfe bei euch zu suchen. Habe alle Schritte, die in der Anleitung für Hilfesuchende stehen, durchgeführt. Hier ist das Ergebnis (logs stehen weiter unten):
- CCleaner erfolgreich durchgeführt
- Malwarebytes erfolgreich durchgeführt (log-Datei "Malware 1" weiter unten). Danach wurde ich aufgefordert, den Laptop neuzustarten, habe ich auch gemacht. Erfreulicherweise gab's die "fake" Antivirus-Software nicht mehr. Sicherheitshalber habe ich Malwarebytes nochmal laufen lassen und er hat noch eine Infektion entdeckt (siehe log-Datei "Malware 2" weiter unten).
- Danach habe ich auch noch RSIT laufen lassen (siehe "RSIT log" und "RSIT info").

4. Momentan bin ich nicht mehr belästigt von der Antivirus-Software. Allerdings läuft im Hintergrund ständig ein Leerlaufprozess, der ca. 90% vom CPU ausnutzt. Was meint ihr, ist da noch was, was ich machen könnte, bzw. bin ich jetzt vollständig befreit von den ganzen Trojanern?

5. Hier auch die Log-Dateien. Irgendwie lassen sich leider die RSIT-Dateien in diesem Beitrag nicht hochladen. Ich versuche es, die beiden Dateien im nächsten Beitrag hochzuladen. Herzlichen Dank im Voraus + Viele Grüße,
LegTH
Anhang 7784

Anhang 7785

Die RSIT Info-Datei

Viele Grüße,
LegTH

Ok, irgendwie klappt es nicht mit der RSIT Log-Datei. Entweder ist sie zu groß (als ".txt" ca. 28 kB) oder es liegt an irgendwas anderes. Auf jeden Fall erlaubt mir das Forum nicht die Datei hochzuladen.

Deswegen habe ich sie als PDF-Datei auf rapidshare hochgeladen. Hier ist der Link dazu:
h*t*t*p:*/*/rapidshare.c*o*m/files/409049995/RSIT_Log-Datei.pdf

Herzlichen Dank + viele Grüße,
LegTH

Übrigens, trotz des momentan laufenden Leerlaufprozesses, der ca. 90-95 % CPU beansprucht, lassen sich viele (ich hab' noch nicht alle ausprobiert) der anderen Programme starten und einigermaßen normal nutzen.

Allerdings ist das nicht der Fall mit Mozilla Firefox und Internet Explorer. MF lässt sich entweder gar nicht öffnen (mit der Meldung "der Vorgang "read" konnte nicht auf dem Speicher ausgeführt werden") oder wenn geöffnet, lässt sich überhaupt keine Internetseite erreichen. Mit IE kann man auch keine Internetseite erreichen (das Programm selber lässt sich allerdings öffnen).

Viele Grüße,
LegTH

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Ständige Meldung "Windows Security Alert"
 

Hallo und herzlichen Dank für die Hilfe.
Weiter unten findest du die Information aus den Dateien, die du brauchst.
Ich hätte aber noch zwei Fragen:

1. Alle von dir angeforderten Aktionen (inkl. das Schreiben von Beiträgen im Forum) habe ich im abgesicherten Modus durchgeführt. Der Grund ist, dass im normalen Modus Firefox oder IE sich nicht starten lassen würden. Spielt es eine Rolle oder ist es egal?

2. Ich habe eine externe Festplatte, die ich, als sich die Probleme auf meinem Laptop bemerkbar machten, sofort rausgesteckt und seitdem nicht mehr angeschlossen habe. Könnte man für sie was machen und sicherstellen, dass auf ihr keine Viren/Trojaner übertragen wurden? Oder gehört das in einem separaten Forumbeitrag?

Danke + viele Grüße,
LegTH

P.S. Irgendwie will er die OTL und Extra-Dateien in den Beitrag nicht einfügen. Ich probiere es mit einem zweiten Beitrag, wo nur die beiden Dateien eingefügt werden.
Die Malwarebytes-Datei

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4353

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

26.07.2010 21:13:33
mbam-log-2010-07-26 (21-13-33).txt

Scan type: Quick scan
Objects scanned: 142357
Time elapsed: 8 minute(s), 44 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Die Gmer-Datei



Hallo Larusso,

Tut mir leid, aber das Forum (oder mein Mozilla-Firefox) erlaubt mir nicht, dass ich den letzten Teil der OTL-Datei 5 einfüge - jedes Mal, wenn ich es versuche, klappt es nicht und Firefox sagt mir, dass die Seite nicht erreicht werden konnte. Als Anhang klappt es auch nicht. Woran könnte es liegen? Es geht eigentlich nur um ein paar Zeilen, wieso wollen die nicht eingefügt werden?

Ich probiere im nächsten Beitrag den Inhalt der Extras-Datei einzufügen.

Der zweite Teil der Extras-Datei ließ sich nur noch als Datei anhängen, aber nicht als Text in den Beitrag einfügen. Für mich bleibt es ein absolutes Rätsel wieso.

Und der fünfte Teil der OTL-Datei (der eigentlich nur aus einigen Zeilen besteht!) lässt sich jetzt nur noch als ".doc"-Datei, aber auf keinen Fall als ".txt"-Datei anhängen oder in Beitrag einfügen!

Sorry, dass alles so chaotisch und unorganisiert ist, aber ich hab' echt keine Ahnung wieso ich bestimmte Texte zu bestimmten Zeitpunkten überhaupt nicht in den Beitrag einfügen kann?

Viele Grüße + Danke für die Geduld,
LegTH

Kein Problem, das biegen wir schon wieder gerade :)

Ich würde dich bitten, keine Logfiles als .doc etc hochzuladen. Nimm den normalen Editor.
Ich hab nämlich kein Word ;)

Schritt 1

Deinstalliere bitte
pdfforge Toolbar



Schritt 2

Im abgesicherten Modus ausführen

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat.
Vista- User: Mit Rechtsklick "als Administrator starten"

Versuche bitte danach in den normalmodus zu booten.


Schritt 3

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Also gehe wie hier beschrieben vor:

• Öffne diese Webseite: virustotal
• Klicke auf "Durchsuchen"
• Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
• "Senden der Datei"
• Warte, bis der Scandurchlauf aller Virenscanner beendet ist
• Auf "Compact" klicken (Links oben zu finden)
• Ein neuer Tab dürfte sich öffnen.
• Den Inhalt komplett kopieren und hier einfügen

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen


Schritt 4

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,

Da ich vom Administrator per PN gebeten wurde, die alten Teilstücke der Logs-Datei aus dem alten Beitrag durch gezippte-Dateien zu ersetzen, mache ich das mal (=> s. Anhang "MBAM_GMer_OTL_Extras.zip").

Nun zu den 4 Schritten:

1. Habe pdfforge-toolbar erfolgreich deinstalliert.

2. Habe die bat-Datei gestartet. Allerdings konnte ich nicht wirklich lesen was auf dem kleinen schwarzen Bildschirm, der erschienen ist, stand, da er sehr schnell wieder verschwand. Ich glaube (bin mir aber nicht sicher!), dass da so etwas wie "Der Vorgang konnte nicht..." stand. Danach hat sich die bat-Datei selber gelöscht. Windows in Normalmodus gestartet. Das war ja auch früher möglich gewesen. Jetzt gab es - soweit ich das beurteilen konnte - keine Veränderung: alles läuft einigermaßen ok, Mozilla Firefox und IE lassen sich nicht starten und der Leerlaufprozess, der 90% CPU benutzt läuft immer noch im Hintergrund. Deswegen habe ich wieder in Abgesicherten Modus gestartet. Hier ist der Leerlaufprozess immer noch vorhanden aber ich kann zumindest Mozilla starten und ins Internet gehen.

3. Die Datei "vxlmmk.sys.vir" konnte ich nicht finden, auch als ich mir die versteckten Dateien im Windows Explorer zeigen ließ. Eine Windows-Suche konnte sie auch nicht finden. Sie war einfach nicht da => deswegen konnte ich die Datei auf die Virustotal-Seite nicht hochladen.

4. Den OTL-Scan habe ich durchgeführt. Wie immer ließ sich aber der Text aus der txt-Datei in den Forumbeitrag nicht einfügen und verschicken. Allerdings konnte ich die Datei zippen und dann anhängen (s. Anhang "OTL_28072010.zip") => ich hoffe, das ist noch ok für dich.

Vielleicht noch eine kleine Bemerkung: mir ist es heute 2 Mal passiert, dass sich ein zusätzlicher Tab in Mozilla Firefox geöffnet hat und versucht hat, auf irgendeine komische Internetadresse, die ich noch nie gehört habe, zuzugreifen. Danach ist MF sofort abgestürzt => nach dem ich das Programm wieder geöffnet habe, war alles ok. Noch ein Zeichen, dass noch nicht alles ok ist?

Herzlichen Dank für die Mühe + viele Grüße,
LegTH

Schritt 1

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.


Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte poste in Deiner nächsten Antwort
Combofix.txt

Also jetzt kann man mit dem Laptop viel besser arbeiten - ich kann wieder Mozilla starten und ins Internet gehen. Wahrscheinlich muss ich noch etwas machen, um ihn endgültig zu bereinigen, aber schon mal herzlichen Dank, Daniel, du bist großartig! :dankeschoen:
Zwar läuft der Leerlaufprozess im Hintergrund immer noch, aber das stört Mozilla anscheinend nicht. Und ich kann wieder den ganzen Text in meinen Forumsbeitrag einfügen (vielleicht lag es vorhin einfach am abgesicherten Modus?) :Boogie:

Hier das Ergebnis der drei Schritte:

1. Defogger hat nicht nach einem Neustart gefragt, trotzdem hat alles geklappt. Inhalt der Defogger-Datei:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:24 on 28/07/2010 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Disabled

-=E.O.F=-

2. Inhalt der OTL-Datei:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\jgyo0w not found.
C:\WINDOWS\system32\KGyGaAvL.sys moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 41353365 bytes
->Flash cache emptied: 852 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 284557 bytes
->Flash cache emptied: 348 bytes

User: ***
->Temp folder emptied: 397 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1796802 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 42,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 07282010_012724

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

3. Inhalt der ComboFix-Datei:

Combofix Logfile:
--- --- ---

Schritt 1

Update bitte Malwarebytes und lass einen QuickScan laufen


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
MBAM Log
OTL.txt

Hallo,

Hier die Malwarebytes-Datei:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4364

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28.07.2010 23:25:21
mbam-log-2010-07-28 (23-25-21).txt

Scan type: Quick scan
Objects scanned: 143072
Time elapsed: 14 minute(s), 47 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


und die OTL-Datei:

OTL Logfile:
--- --- ---

Kann ich auch was für meine externe Festplatte machen? Die war nämlich seit dem ersten Mal, wo mir die Probleme mit dem Laptop aufgefallen sind, nicht mehr angeschlossen, aber vielleicht ist sie auch infiziert...

Vielen Dank + Gruß,
LegTH

Die Externe Scannen wir dann mit 2 Online Scannern durch :)

Schritt 1

Deinstalliere bitte
BS Player Toolbar
Conduit (Alles was Conduit enthält)


Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Schließe bitte deine externte Platte mit gehaltener Shift Taste an. Dies unterdrückt die autostart Funktion

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.


Schritt 4

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button http://img695.imageshack.us/img695/1599/eset1l.jpg drücken.
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

Schritt 5

• Kaspersky Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Bitte während des Scans alle Hintergrundwächter abstellen/deaktivieren.
• Java muss installiert, aktiv und erlaubt sein.
• Bebilderte Anleitung von sundavis.
• Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
• Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
• Die Datenschutzerklärung akzeptieren.
• Programm installieren lassen.
• Update der Signaturen installieren lassen.
• Wenn der Status "Complete" ist,
• Scan-Einstellungen (Settings) Standard lassen
• Links den Link "My Computer" anklicken.
• Scan beginnt automatisch.
• Wenn der Scan fertig ist, auf "View scan report" klicken,
• "Save report as" und Dateityp auf .txt umstellen,
• und auf dem Desktop als Kaspersky.txt speichern.
• Logdatei hier posten.
• Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Schritt 6

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
OTLFix Log
ESET Log
Kaspersky.txt
OTL.txt
Extras.txt
Berichte wie der Rechner läuft

Hallo,

BSPlayer Toolbar habe ich deinstalliert.

Conduit deinstallieren ging nicht, denn weder unter "Programmzugriff und -standards" noch im Startmenü taucht das Programm auf. Der Programmordner "Conduit" befindet sich unter "C:\Programme" und in ihm liegt nur eine dll-Datei vor. Allerdings ist mir ein absolutes Rätsel was für ein Programm dieses "Conduit" sein soll.

Deswegen habe ich erstmal an dieser Stelle aufgehört. Sollte ich trotzdem die restlichen Schritte durchführen?

Viele Grüße + Danke,
LegTH

Fahre fort :)

Hallo,

Sorry, dass es so lange gedauert hat, aber es gab Schwierigkeiten mit dem einen Online-Scan. Also:

Schritt 1: s. meinen letzten Beitrag

Schritt 2: OTL-Fix hat geklappt. Log-Datei: s. unten

Schritt 3: habe ich durchgeführt. Allerdings finde ich auf meinem USB-Stick und auf meiner externen Festplatte keinen versteckten Ordner mit dem Namen. Ist das normal? Und kann ich jetzt die beiden Geräte als Malware-frei betrachten?

Schritt 4: ESET hat geklappt. Log-Datei: s. unten

Schritt 5: Hier gab's die größten Probleme. Ich habe den Online-Scan drei mal gemacht und jedes Mal ist das Programm einfach hängen geblieben nach ca. 4-5 Stunden scannen. Dabei gab's laut Kaspersky zu diesem Zeitpunkt 4 infizierte Dateien, die ich mir aber nicht zeigen lassen konnte, da als das Programm hängen blieb, konnte man auch keinen Report sehen. Den Button "Save report" oder einfach "Report" führte zu einem schwarzen Fenster innerhalb Mozilla Fireforx. Nachdem ich auf diese Art und Weise ca. 15 Stunden verloren habe, versuchte ich was anderes. Ich habe den Kaspersky-Scan mit der Option "Critical scan" gestartet (also nicht den ganzen "My computer" gescannt). Das hat dann geklappt. Der Scan lieferte allerdings keine Befunde - es gab 0 infizierte Dateien. Auf einen vierten Versuch den kompletten Scan zu machen und noch 5 Stunden zu verlieren hatte ich ehrlich gesagt keinen Bock mehr. Lässt sich der Kaspersky-Scan irgendwie durch ein anderes Programm umgehen/ersetzen?

Schritt 6: OTL-Scan hat geklappt. Log-Datei: s. unten.

Schritt 7: Der Laptop läuft ganz gut. Ich hatte seit 2 Tagen eigentlich außer dem Problem mit dem Kaspersky-Scan keine anderen Schwierigkeiten gehabt. Im Task-Manager wird immer noch ein Leerlaufprozess angezeigt, der 80 bis 90% CPU beansprucht, aber ich merke es an der Leistung des Laptops nicht wirklich.

Log-Dateiein

OTLFix
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit\ not found.
C:\zrpt.xml moved successfully.
Folder C:\Dokumente und Einstellungen\***\Anwendungsdaten\Yrli\ not found.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 18247343 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 0 bytes

User: ***
->Temp folder emptied: 1498751 bytes
->Temporary Internet Files folder emptied: 238321 bytes
->Java cache emptied: 10680337 bytes
->FireFox cache emptied: 90407256 bytes
->Flash cache emptied: 2258 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 115,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 07292010_235255

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

ESET
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=8b1996199b17e04daefe1641bfedd8dc
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-07-30 03:07:40
# local_time=2010-07-30 05:07:40 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=crash
# scanned=191588
# found=21
# cleaned=21
# scan_time=11214
C:\Programme\Eyetide Media\Eyetide Viewer\s4Setp.exe a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\***\Anwendungsdaten\Bopo\heno.exe.vir Win32/Spy.Zbot.YW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\tcpip.sys.vir Win32/Olmarik.ZC trojan (cleaned - quarantined) 00000000000000000000000000000000 C
C:\recover\sysprep\sftrun.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1033\A0149595.exe Win32/Spy.Zbot.YW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1033\A0149596.exe Win32/Spy.Zbot.YW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1033\A0149597.dll Win32/Adware.Lifze.N application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1033\A0149622.dll Win32/Adware.Lifze.N application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1034\A0150745.sys Win32/Agent.RKL trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1034\A0152758.exe Win32/Adware.SpywareProtect2009 application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153522.rbf Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153523.rbf Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153526.rbf Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153527.rbf Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153529.rbf Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153616.sys Win32/Olmarik.ZC trojan (cleaned - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1035\A0153659.exe Win32/Spy.Zbot.YW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1036\A0153875.exe a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{506974BD-673F-48D7-838A-1761C87CD85F}\RP1036\A0153876.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Ipby\apmai.exe a variant of Win32/Injector.CKW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Uxedge\orpyl.exe a variant of Win32/Injector.CKW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C


OTL
OTL Logfile:
--- --- ---


Extras
OTL Logfile:
--- --- ---


Viele Grüße,
LegTH

Nach was für einen Ordner hast Du denn gesucht ?

Schritt 1

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 2

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


Schritt 3

Peer to peer oder filesharing software

Deine Logfile(s) zeigen mir das Du sogenannte Peer to Peer oder Filesharing Programme verwendest ( Bei Dir uTorrent ). Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Heutzutage bekommt Cyber Crime einen immer höher werdenden Status und die Ausmaße sind enorm. Leider ist auch p2p oder Filesharing davon nicht ausgenommen. Es dient auch dazu, infizierte Dateien zu verbreiten und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äusserster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Du setzt Dich also selbst dem Risiko einer Anklage durch Orginastionen ( oder dem Author der "Datei" selbst ) die diese Rechte überwachen
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere (falls vorhanden) uTorrent

Bitte sag bescheid wenn Du eines der gelisteten Software nicht finden kannst.


Schritt 4

• F-Secure Onlinescanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
• Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
• Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.

Schritt 5

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
f-secure.txt
OTL.txt
Extras.txt

Hallo und vielen Dank für die schnelle Antwort!

Ich habe nach diesem versteckten Ordner gesucht (=> ließ mir alle versteckten Dateien zeigen), aber trotzdem konnte ich ihn nicht finden. Kann ich trotzdem davon ausgehen, dass meine externe Festplatte und USB-Stick sicher sind?

Schritt 1: Habe ich gemacht, alles hat geklappt.

Schritt 2: Hat auch geklappt.

Schritt 3: uTorrent habe ich schon lange nicht mehr benutzt. Hatte ich sowieso nicht mehr vor, das Programm zu nutzen. Also habe ich es einfach gelöscht. Danke für die Hinweise!

Schritt 4 + 5: Haben beide geklappt. Weiter unten findest du die Log-Dateien.

Herzlichen Dank nochmal + viele Grüße,
LegTH

f-secure:
Scanning Report


Sunday, August 1, 2010 17:07:48 - 19:12:47

Computer name: ***
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ F:\

------------------------------------------------------------------------


2 malware found

Suspicious:W32/Malware!Gemini
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=Suspicious:W32/Malware!Gemini&orig='disk'>
(virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE
DATEIEN\DOWNLOADS\LOAD.EXE (Not cleaned & Submitted)

Suspicious:W32/Malware!Gemini
<hxxp://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=Suspicious:W32/Malware!Gemini&orig='disk'>
(virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\EIGENE
DATEIEN\DOWNLOADS\RSIT.EXE (Not cleaned & Submitted)

------------------------------------------------------------------------


Statistics

Scanned:

* Files: 65728
* System: 3704
* Not scanned: 8

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* Not cleaned: 2
* Submitted: 2

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE
EINSTELLUNGEN\TEMP\HSPERFDATA_***\3116
* C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE
EINSTELLUNGEN\TEMP\HSPERFDATA_***\872

------------------------------------------------------------------------


Options

Scanning engines:

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT
MIF PHP POT SWF WMF NWS TAR
* Use advanced heuristics

OTL-Datei:
OTL Logfile:
--- --- ---

Extras-Datei:
OTL Logfile:
--- --- ---

Und ich weis immer noch nicht, wie der Ordner sich nennt den Du gesucht hast :)

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Noch Fragen oder Probleme ?

Hallo,

Ich bin davon ausgegangen, dass ein versteckter Ordner mit dem Namen "Flash Disinfector" auf der externen Festplatte und auf dem USB-Stick erstellt wird? Oder habe ich das falsch verstanden?

Weiter unten findest du die OTL-Datei.

Ich habe keine weiteren Fragen oder Probleme. Ganz herzlich möchte ich mich bedanken für deine schnelle und kompetente Hilfe. Respekt für das das, was ihr hier macht! Ich wünsche dir und dem ganzen TB-Team alles Gute!

Herzliche Grüße,
LegTH

OTL-Datei:
All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk moved successfully.
File move failed. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk scheduled to be moved on reboot.
File move failed. C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\MagicDisc.lnk scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 686276 bytes
->Flash cache emptied: 0 bytes

User: ***
->Temp folder emptied: 487476623 bytes
->Temporary Internet Files folder emptied: 985657 bytes
->Java cache emptied: 159671 bytes
->FireFox cache emptied: 37106464 bytes
->Flash cache emptied: 4559 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17048 bytes
RecycleBin emptied: 203745991 bytes

Total Files Cleaned = 696,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 08032010_015720

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk not found!
File\Folder C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\MagicDisc.lnk not found!

Registry entries deleted on Reboot...

Ja haste falsch verstanden :)

Noch Probleme

Alles klar. Nä, keine weiteren Probleme/Fragen.

Nochmals vielen Dank für die Hilfe!

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.

Hallo,

Sorry für die späte Antwort. Hier ist die SecurityCheck-Datei:

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 2
Out of date service pack!!
Internet Explorer 6 Out of date!
``````````````````````````````
Antivirus/Firewall Check:
Windows Security Center service is not running! This report may not be accurate!
AVG Free 8.5
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
CCleaner
Java(TM) 6 Update 21
Adobe Flash Player 9 (Out of date Flash Player installed!)
Adobe Flash Player 10.1.53.64
Adobe Reader 9.3.3 - Deutsch
Mozilla Firefox (3.6.8)
````````````````````````````````
Process Check:
objlist.exe by Laurent
````````````````````````````````
DNS Vulnerability Check:

``````````End of Log````````````

Schritt 1

Bitte downloade Dir den IE 8 auch wenn Du diesen nicht als Standard Browser verwendest sollte sich die aktuelle Version auf Deinem Rechner befinden.


Schritt 2

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 3

Da mit 13.Juli der Support für Windows XP Sp2 (32bit) endet, installiere Dir bitte WinXP Service Pack 3.


Schritt 4

Update bitte deinen Flashplayer


Schritt 5

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Fehlende Rückmeldung

Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.

PN an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere eröffnet bitte einen eigenen Thread.