SystemTool 2011 - und nun?
 

Hallo,

ich bin schon ganz verzweifelt. Mein Sohn kam heute aus den USA zurück und erzählte mir, an dem PC seines Vaters war so ein komischer Virus und nichts ging mehr.
Dann dauerte es 1 Stunde, und er kam zu mir - mit seinem Lappi - und zeigte mir, "genau so sah es bei Papa auch aus". Nichts ging mehr.

Ich habe dann mit meinem PC recherchiert und gefunden, dass es sich um Malware handelt. Verschiedene Freeware Programme habe ich probiert - aber keiner erkennt es. Wenn es einer erkennt - muss man das Programm kaufen. Ein Schlem, wer sich dabei denkt, dass die beiden Firmen zusammenarbeiten:rolleyes:.

Die manuelle Entfernung, wie sie oft im Web erwähnt wird, traue ich mir nicht zu. Ich bin noch im abgesicherten Modus.

Er vermutet übrigens, dass auf dem Chip aus der Kamera seines Vaters etwas drauf gewesen sein muss - denn er hatte hier noch nichts installiert oder so - nur den Chip in den Slot gesteckt, wie bei seinem Vater auch.

Kann mir jemand sagen, was ich genau machen muss, um den Mist wieder runterzubekommen?

Danke.

du bist im abgesicherten modus? bleib gleich dort.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

OK, gemacht. Also:

OTL.TxTOTL Logfile:
--- --- ---




Extras.Txt
OTL Logfile:
--- --- ---



....... und nun???

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-4048956899-1286244931-2967521482-1000..\RunOnce: [eFjBp01804] C:\ProgramData\eFjBp01804\eFjBp01804.exe ()
[2011.01.09 16:46:39 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2011.01.09 16:38:50 | 000,000,000 | ---D | C] -- C:\Users\Brandon\AppData\Roaming
[2011.01.09 16:29:19 | 000,000,000 | ---D | C] -- C:\ProgramData\eFjBp01804
[2011.01.09 16:38:50 | 000,000,772 | ---- | M] () -- C:\Users\Brandon\Desktop\System Tool 2011.lnk
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Den Rechner dann wieder im angesicherten Modus hochfahren? sonst bekomme ich ja vielleicht keinen Zugang zum Internet.

doch solltest du.
falls nicht, im abgesicherten :-)

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-4048956899-1286244931-2967521482-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\eFjBp01804 deleted successfully.
C:\ProgramData\eFjBp01804\eFjBp01804.exe moved successfully.
C:\ProgramData\WindowsSearch\MiniDumps folder moved successfully.
C:\ProgramData\WindowsSearch folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Spyware Terminator\Reports folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Spyware Terminator\LanguageAct folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Spyware Terminator folder moved successfully.
C:\Users\Brandon\AppData\Roaming\skypePM folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_httpfe folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\production folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\languages folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\images\fancybox folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\images\buttons folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\images\avatarview folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i\images folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome\i folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\skypehome folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\js\languages folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\js folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\images\promotions folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\images\buttons folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\images\backgrounds folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\images folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i\css folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\i folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\assets\promotions folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj\assets folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html\pcj folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_html folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\shared_dynco folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\My Skype Received Files folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\voicemail folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\httpfe folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync\ff folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync\fe folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync\dc folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync\61 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync\3e folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2\chatsync folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype\graardor2 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Skype folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles\wb3p44e5.default\minidumps folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles\wb3p44e5.default\extensions folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles\wb3p44e5.default\chrome folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles\wb3p44e5.default\bookmarkbackups folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles\wb3p44e5.default folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Profiles folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox\Crash Reports folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Firefox folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla\Extensions folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Mozilla folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Word\STARTUP folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Word folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Templates folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tool folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fujitsu Siemens Computers folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu\Programme folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Start Menu folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\SendTo folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Recent folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Printer Shortcuts folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Network Shortcuts folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Cookies\Low folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows\Cookies folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Windows folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\UProof folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Templates folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates\My\CRLs folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates\My folder moved successfully.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates scheduled to be moved on reboot.
C:\Users\Brandon\AppData\Roaming\Microsoft\Protect\S-1-5-21-4048956899-1286244931-2967521482-1000 folder moved successfully.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Protect scheduled to be moved on reboot.
C:\Users\Brandon\AppData\Roaming\Microsoft\Proof folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Outlook folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Office\Recent folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Office folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Internet Explorer folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Installer\{9A3BC157-B94F-4EFD-ABA9-1E56DEB00655} folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Installer folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Document Building Blocks\1031 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Document Building Blocks folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4048956899-1286244931-2967521482-1000 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto\RSA folder moved successfully.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Credentials scheduled to be moved on reboot.
C:\Users\Brandon\AppData\Roaming\Microsoft\AddIns folder moved successfully.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft scheduled to be moved on reboot.
C:\Users\Brandon\AppData\Roaming\Media Center Programs folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.daredorm.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#s.ytimg.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#mpsnare.iesnare.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#members.livejasmin.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#img.livejasmin.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#img.6waves.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#freeporn.youngleafs.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#chatango.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#cdnbakmi.kaltura.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\macromedia.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\www.daredorm.com\swf\flowplayer\flowplayer.commercial-3.1.1.swf folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\www.daredorm.com\swf\flowplayer folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\www.daredorm.com\swf folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\www.daredorm.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\skype.com\#user folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\skype.com\#ui folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\skype.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\s.ytimg.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\mpsnare.iesnare.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\img.6waves.com\create-my-app\save_banana\game.swf folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\img.6waves.com\create-my-app\save_banana folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\img.6waves.com\create-my-app folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\img.6waves.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\freeporn.youngleafs.com\#kernelteam folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\freeporn.youngleafs.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\chatango.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp\19257200\flash\kdp3\v3.4.10.1\kdp3.swf folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp\19257200\flash\kdp3\v3.4.10.1 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp\19257200\flash\kdp3 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp\19257200\flash folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp\19257200 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572\sp folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p\192572 folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com\p folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW\cdnbakmi.kaltura.com folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\AF6AGCNW folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player\#SharedObjects folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia\Flash Player folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Macromedia folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Identities\{E339429E-95C8-4122-ABCE-3B45431A0279} folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Identities folder moved successfully.
C:\Users\Brandon\AppData\Roaming\ATI\ACE folder moved successfully.
C:\Users\Brandon\AppData\Roaming\ATI folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Adobe\Flash Player\AssetCache\36AXTJXZ folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Adobe\Flash Player\AssetCache folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Adobe\Flash Player folder moved successfully.
C:\Users\Brandon\AppData\Roaming\Adobe folder moved successfully.
Folder move failed. C:\Users\Brandon\AppData\Roaming scheduled to be moved on reboot.
Folder C:\ProgramData\eFjBp01804\ not found.
C:\Users\Brandon\Desktop\System Tool 2011.lnk moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Brandon

User: Default

User: Default User

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Brandon
->Temp folder emptied: 64549594 bytes
->Temporary Internet Files folder emptied: 42348258 bytes
->FireFox cache emptied: 85994028 bytes
->Google Chrome cache emptied: 6353877 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 118238874 bytes
RecycleBin emptied: 36331389 bytes

Total Files Cleaned = 337,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01092011_201324

Files\Folders moved on Reboot...
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Protect scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Credentials scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Protect scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Credentials scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\SystemCertificates scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Protect scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Crypto scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft\Credentials scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming\Microsoft scheduled to be moved on reboot.
Folder move failed. C:\Users\Brandon\AppData\Roaming scheduled to be moved on reboot.

Registry entries deleted on Reboot...



Den Rest muss ich mir noch einmal ansehen - was ich da jetzt machen muss...

noch nichts. ich hab nen fehler gemacht.
noch nichts, ich hab nen fehler gemacht!
öffne mal mein computer. dort öffnest du mal _OTL, dort ist nen ordner mit heutigem datum und den öffnest du ebenfalls. dort findest du doch sicher:
C:\Users\Brandon\AppData\Roaming
diesen ordner einmal anklicken und mache dann einen rechtsklick, wähle kopieren.
der ordner muss dann hier eingefügt werden
C:\Users\Brandon\AppData\
also navigiere dort hin, rechtsklick und einfügen.

???

Ich soll den Roaming Ordner aus AppData

in AppData einfügen?

Das ist doch das gleiche Verzeichnis - oder? Es gibt keinen weiteren AppData Ordner.
Oder soll ich ihn in Brandon einfügen - neben AppData ?

wenn du den ordner moved files öffnest, dann den ordner mit heutigem datum findest du dort
C:\Users\Brandon\AppData\Roaming
und den musst du wieder an seinen ursprungsort einfügen
C:\Users\Brandon\AppData\
wenn der ordner
C:\Users\Brandon\AppData\
noch vorhanden ist. musst du ihn in moved files öffnen, und den inhalt wieder im original ordner einfügen.

Ich steh auf dem Schlauch.

Also, ich öffne den Datums-Ordner von heute in moved files

Da gibt es 2 Ordner

C_ProgramData
C_Users

In

C_Users gibt es den Ordner

Brandon - darin

AppData - und darin

Roaming

Und den soll ich jetzt genau Wohin kopieren?

C:\Users\Brandon\AppData\Roaming
dort hin.
wenn es den ordner
Roaming
dort bereits gibt. öffnest du ihn jeweils in moved files und im original verzeichniss
C:\Users\Brandon\AppData\
und kopierst den inhalt des Roaming
von moved files in den original Roaming
ordner.

Also in dem regulären Ordner (nicht dem _OTL.....)

c:\User\Brandon\

gibt es nur folgende Ordner

Bilder
Desktop
Dokumente
Download
Favoriten
Gespeicherte Spiele
Kontakt
Links
Musik
Suchvorgänge
Videos


Und wenn ich das mit meinem PC vergleiche, da gibt es dort auch keinen AppData Ordner.

blende versteckte datein + ordner ein.
Anzeigen versteckter Dateien
weiterhin geschützte systemdateien, warnmeldung mit ja bestätigen, und inhalte von systemordnern oder ähnlich. dann solltest du ihn sehen.

Vielen Dank - es hat geklappt. Wobei es offenbar ein paar Dateien gab, die nicht kopiert werden konnten, weil irgendwelche Programme geöffnet waren. Aber es war nix auf. Hmmm, na ja.

Er ist normal hochgefahren, alles scheint zu klappen.

Vielen, vielen Dank für die Mühe und die Geduld.

wir sind noch nicht fertig, und sorry für den blöden fehler!

öffne mal moved files, datum und dort packe mit winrar oder zip
C_ProgramData
und lad den im upload channel hoch.

OK, erledigt. Sorry, den Teil hatte ich schon vergessen.

Mann, ist der langsam heute. Ich schreibe einen ganzen Satz und der ist immer noch beim 3. Wort .....:headbang:

ok dann weiter:
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

LOG:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5495

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

10.01.2011 18:10:02
mbam-log-2011-01-10 (18-10-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 251321
Laufzeit: 2 Stunde(n), 11 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\01092011_201324\c_programdata\efjbp01804\efjbp01804.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
läuft der gesammte pc langsam, also alle programme oder nur bestimmtes?

So ein Mist - jetzt habe ich das Combo durchlaufen lassen, den LOG - aber ich kann nichts mehr machen.

Mozzilla geht nicht mehr auf, Explorer geht nicht auf, Systemstuerung geht nicht mehr auf, .....

Es kommt immer die Fehlermeldung:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Gleiches steht dort, wenn ich den LOG c:\combofix.txt aufrufen will.

Was nun????

speichere das log als txt starte neu öffne es dann und poste es.

Combofix Logfile:
--- --- ---

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Activation Assistant for the 2007 Microsoft Office suites - Microsoft Corporation 11.01.2008 14,0MB - unbekannt

Adobe Flash Player 10 Plugin Adobe Systems Incorporated 25.12.2010 10.1.102.64 - notwendig

Adobe Flash Player 9 ActiveX Adobe Systems, Inc. 11.01.2008 3,05MB 9.0.124.0 - notwendig

Adobe Reader 9 - Deutsch Adobe Systems Incorporated 21.10.2008 232MB 9.0.0 - notwendig

ATI Catalyst Install Manager ATI Technologies, Inc. 21.10.2008 13,9MB 3.0.678.0 - notwendig (Grafikkarte, oder?)

CCleaner Piriform 09.01.2011 3,41MB 3.02 - zz. notwendig

Compatibility Pack für 2007 Office System Microsoft Corporation 08.01.2011 56,2MB 12.0.6425.1000 - unbekannt

FSCLounge Fujitsu Siemens Computers 11.01.2008 8,47MB 1.0.0 - unbekannt (ist ein FSC Laptop)

Fujitsu Siemens Computers Recovery Fujitsu Siemens Computers 11.01.2008 7,06MB 1.3.9 - notwendig

G Data AntiVirus 2011 G Data Software AG 11.01.2008 186,9MB 21.0.0.0 - notwendig

IZArc 3.81 Ivan Zahariev 08.01.2011 14,0MB 3.81 Build 1550 - notwendig

JMicron JMB38X Flash Media Controller JMicron Technology Corp. 21.10.2008 2,26MB 1.00.11.02 - unbekannt

Launch Manager V1.5.4 Wistron Corp. 21.10.2008 1,35MB 1.5.4 - unbekannt

Malwarebytes' Anti-Malware Malwarebytes Corporation 09.01.2011 4,81MB - unbekannt

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 25.12.2010 37,0MB - unbekannt

Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 25.12.2010 37,0MB - unbekannt

Microsoft Office Professional Plus 2007 Microsoft Corporation 25.12.2010 536MB 12.0.6425.1000 - notwendig

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 25.12.2010 0,25MB 8.0.50727.4053 - unbekannt, s.u.

Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 21.10.2008 0,54MB 8.0.50727.42 - unbekannt, aber bestimmt notwendig

Mozilla Firefox (3.6.13) Mozilla 11.01.2008 28,8MB 3.6.13 (de) - notwendig

MSXML 4.0 SP2 (KB927978) Microsoft Corporation 25.12.2010 34,00KB 4.20.9841.0 - unbekannt
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 25.12.2010 35,00KB 4.20.9870.0 - unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 25.12.2010 1,34MB 4.20.9876.0 - unbekannt

Nero 8 Essentials Nero AG 21.10.2008 1.759MB 8.3.228 - notwendig

Picasa 2 Google, Inc. 11.01.2008 35,3MB 2.0 - unbekannt

PowerDVD CyberLink Corporation 11.01.2008 63,1MB 7.3.3516a.0 - notwendig

Realtek High Definition Audio Driver Realtek Semiconductor Corp. 21.10.2008 - notwendig

Skype Toolbars Skype Technologies S.A. 08.01.2011 7,10MB 5.0.4137 - für meinen sohn bestimmt notwendig

Skype™ 5.1 Skype Technologies S.A. 08.01.2011 22,6MB 5.1.104 - notwendig

Spyware Terminator Crawler Inc. 08.01.2011 25,9MB 2.8.2.192 - unbekannt

Synaptics Pointing Device Driver Synaptics 21.10.2008 13,6MB 10.0.12.0 - unbekannt

SystemDiagnostics Fujitsu Siemens Computers 11.01.2008 13,6MB 2.01.0004 - notwendig

Adobe Reader 9
ersetzen:
Adobe - Adobe Reader herunterladen - Alle Versionen

bitte den mcafee security scan nicht mit instalieren.
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok

deinstaliere:
Skype Toolbars
Spyware Terminator
das war die ganze liste?
falls ja, bereinige dann mit dem ccleaner dateien + registry

OK, Adobe geladen und Häkchen gesetzt bzw. entfernt.

Programme entfernt

Neustart

CCleaner:
- Registry - nach Fehlern suchen

danach dann "Fehler beheben" anklicken, korrekt?

- Aber den Button "Dateien" finde ich bei CCleaner nicht.

genau.
das andere müsste analysieren/beheben oder ähnlich heißen mal in der anleitung gucken

http://www.trojaner-board.de/51464-a...-ccleaner.html

OK, erledigt. Jetzt fertig?

Wenn der noch einmal irgendwas ungeprüft auf seinen Rechner lädt, kann er das alleine machen! Aber er meint ja, es kam von dem Kamerachip seiner Vaters.

läuft der pc wieder gewohnt schnell? dann würde ich ihn noch absichern wollen mit dir zusammen

Scheint gut zu funktionieren. Das Problem mit dem "vorher" ist, ich habe ihn nach der 3. Reparatur (die 1. wo FSC etwas gemacht hat), neu aufgesetzt, weil vorher vieles nicht richtig lief. Daher ist jetzt noch nicht so viel wieder drauf. Aber Web geht, Word und Excel geht schnell auf, ... daher vermute ich mal, alles ist OK.

Was mache ich jetzt eigentlich mit dem OTL auf C:?
Darüber steht auch noch "$RECYCLEBIN" - was mache ich damit?

du hast den pc jetzt wo wir miteinander gearbeitet haben neu aufgesetzt und mir davon nichts geschrieben oder wie? das ist jetzt nicht dein ernst :d

Nein, den hatte ich vor 2 Wochen neu gemacht - nachdem er von FSC zurückkam. Jetzt nicht.
Dann hätten wir die ganze Arbeit ja nicht machen müssen, oder?

ja eben :d
okmache nen scan mit gdata nach update und morgen gebe ich dir weitere tipps, für heute ist schluss.

So, da bin ich wieder.

GData ist durchgelaufen und hat unter dem "movedFiles" Ordner einen Virus gefunden gehabt. Den habe ich dann erstmal in Quarantäne geschoben.

Und was mache ich jetzt?

na ich würd sagen, erst mal freuhe dich ne minute lang, wir sind fertig soweit.
besuche windows update, spiele alle updates ein, auch den internet explorer 8.
automatische updates aktivieren:
Aktivieren oder Deaktivieren von automatischen Updates

dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
Opera URLFilter Downloader ? OperaWiki
dieses tool 1x pro woche manuell ausführen.
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:

zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen

lesezeichen importieren:
Lesezeichen ? OperaWiki
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
bitte die erweiterte ansicht auswählen
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.


achtung:
bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden.
Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-)

regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Paragon Backup & Recovery Free Edition - Das Produkt
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.



allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.
- programme pa
falls ihr onlinebanking macht:
online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia
endere alle passwörter!
surfe nur noch in der sandbox, mit klick auf sandboxed web browser.

reinige mit otcleanit:
http://oldtimer.geekstogo.com/OTM.exe
Klicke cleanup!
dein pc wird evtl. neu starten
programm löscht sich selbst, + die verwendeten tools
Bitte lies diese 10 tipps. diese helfen dir dein system sicher zu machen. instaliere und nutze

Vielen Dank für die vielen Tipps. Die werde ich die nächsten Tage Stück für Stück umsetzen.
Super, dass es solche Experten wie euch gibt - mit so viel Wissen. 1.000 Dank.

kannst dich ja melden, wenn alles erfolgreich war, bzw wenns probleme gibt.
diese tipps kann man übrigens auf allen pcs umsetzen.
und danke :-)