Archiv verlassen und diese Seite im Standarddesign anzeigen : HIIILFE....Auf meinem Desktop fehlen plötzlich sachen...
Hi Leute,
auf meinem Desktop fehlen seit heute morgen die Icons für Arbeitsplatz, Papierkorb, Eigene Dateien etc. und ich hab jetzt schon 2 Virenprogramme (Avira Antivir + Panda Cloud) durchlaufen lassen und die finden nix...
Und vorallem is er total langsam geworden und wenn ich ein Programm schließe, bleibt das Fenster auf dem Desktop offen....
kann mir jemand helfen..bitte?
Hallo minka,
welches Betriebssystem ist installiert?
Gab es vorher Virenmeldungen von Deinem Anti-Virus-Programm?
Hast Du irgendwelche Änderungen am System vorgenommen oder Programme installiert oder deinstalliert?
Lief der Computer vorher völlig unauffällig oder gab es Anzeichen, z. B. dass der Computer schon länger "langsam" ist?
===== Punkt 1 =====
Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)
Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung (http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/) und poste das Logfile hier in den Thread.
===== Punkt 2 =====
Systemscan mit OTL
Erstelle bitte OTL-Logfiles nach dieser Anleitung (http://blog.botfrei.de/2011/09/otl-werkzeug-zur-systemanalyse/). Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind.
Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.
Achte darauf, Realnamen und/oder persönliche Daten ggfs. zu anonymisieren.
Hi Petra,
also das Betriebssystem ist windows xp home edition. Es gab vorher keine Virenmeldungen und ich habe kürzlich keine neuen Programme oder ähnliches installiert. Erst als das Problem aufgetreten ist hab ich nochmal Panda Cloud installiert und zwei Programme deinstalliert weil ich dachte es liegt evtl. am Speicherplatz...?! Vorher war er etwas langsam, aber es war ok.
Hier noch das logfile....
Würde mich so freuen wenn du mir helfen kannst!!!
Hallo minka,
bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten und stoppen und fragen, wenn etwas nicht funktioniert oder unklar ist :-)
===== Punkt 1 =====
Der Computer ist mit dem Wurm Conficker infiziert.
Lasse bitte den KidoKiller von Kaspersky nach dieser Anleitung (http://support.kaspersky.com/de/faq?qid=207619412#descr) laufen. Hier eine Kurzfassung der Anleitung:
Conficker mit KidoKiller von Kaspersky beseitigen
Bitte während der Bereinigung unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks und Flash-Cards an den Rechner anschließen (angeschlossen lassen), aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Lade KidoKiller (kk.zip) (http://support.kaspersky.com/de/downloads/utils/kk.zip) von Kaspersky (http://support.kaspersky.com/de/faq/?qid=207619412) herunter und entpacke das Removal-Tool für den Netzwerkwurm (Conficker, Kido, Downadup) nach C:\.
Starte das Removal-Tool in der Eingabeaufforderung wie folgt:
Start => ausführen => cmd reinschreiben und Enter drücken.
Vista-User: Start => Im Suchfeld cmd eingeben, dabei die STRG+Shift-Tasten gedrückt halten und Enter drücken - dadurch wird die Eingabeaufforderung im Admin-Modus gestartet.
Es öffnet sich die Eingabeaufforderung.
Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
C:\kk.exe -l C:\report.txt
Wenn das Tool durchgelaufen ist, kommt der Hinweis, eine beliebige Taste zu drücken - mache das und schließe die Eingabeaufforderung.
Poste mir den Inhalt von C:\report.txt hier in den Thread.
===== Punkt 2 =====
Fixen mit OTL
Hiermit fixen wir unnötige oder schädliche Einträge.
Lade (falls noch nicht vorhanden) OTL (http://oldtimer.geekstogo.com/OTL.exe) von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll ()
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic_Deutsch Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q="
FF - prefs.js..browser.startup.homepage: "http://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0"
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=panda&type=PCAFSI1190&p="
FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Programme\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.)
[2009.07.22 10:51:19 | 000,000,000 | ---D | M] (Softonic Deutsch Toolbar) -- C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}
[2012.01.12 10:57:50 | 000,000,000 | ---D | M] (Panda Security Toolbar) -- C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}
[2012.01.11 15:59:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\Setup\bin\PandaSecurityTb_2.0.0.9\$[56]\extensions
[2012.01.11 15:59:26 | 000,000,000 | ---D | M] (Panda Security Toolbar) -- C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\Setup\bin\PandaSecurityTb_2.0.0.9\$[56]\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}
[2008.12.22 14:27:48 | 000,000,894 | ---- | M] () -- C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (Panda Security Toolbar) - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Programme\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll ()
O3 - HKLM\..\Toolbar: (Panda Security Toolbar) - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - C:\Programme\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O33 - MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\Shell - "" = AutoRun
O33 - MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\Shell - "" = AutoRun
O33 - MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\Shell - "" = AutoRun
O33 - MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\Shell - "" = AutoRun
O33 - MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\Shell - "" = AutoRun
O33 - MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
:Files
C:\Recycler
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags (http://www.hijackthis-forum.de/hijackthis-logfiles/17-wie-erstelle-ich-ein-logfile-update.html#post154284) in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
===== Punkt 3 =====
Programme deinstallieren
Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.
Panda Cloud Antivirus (2 Anti-Virus-Programme gleichzeitig schmälert die Sicherung, da sie sich gegenseitig stören)
Panda Security URL Filtering (auch deinstallieren)
Panda Security Toolbar (wie vor)
Panda ActiveScan 2.0 (wird nicht mehr gebraucht)
Java(TM) 6 Update 4 (alte Java-Version müssen deinstalliert werden, siehe Punkt 3)
Adobe Reader 8.1.4 - Deutsch (veraltet, siehe Punkt 5)
Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.
===== Punkt 4 =====
Java aktualisieren
Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo oder auch der sog. BKA-Trojaner) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren.
Falls Firefox in Gebrauch, bitte unter Extras => Addons => Plugins ebenfalls die alten Versionen entfernen.
Starte den Rechner neu.
Downloade nun die Offline-Version von Java Version 6 Update 30 von Oracle (http://www.java.com/de/download/manual.jsp) und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.
===== Punkt 5 =====
Sicherheitsrisiko Adobe Arcrobat Reader
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Die Empfehlung lautet, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader10.x (http://http://get.adobe.com/de/reader/) herunter und installiere ihn, achte bei der Installation darauf, Zusatzprogramme und/oder Toolbars abzuwählen.
===== Punkt 6 =====
Antivir auf Avira Free Antivirus aktualisieren
Aus Antivir wurde Avira Free Antivirus, welches in einer neuen Version und einem neuen Gewand daherkommt.
Downloade Avira Free Antivirus (http://www.avira.com/de/avira-free-antivirus) und den Avira Registry-Cleaner (http://www.avira.com/de/support-download-avira-registrycleaner) und speichere die Dateien auf Deinem Desktop.
Deinstalliere nun die alte Version von Antivir über Systemsteuerung => Software/Programme.
Lasse den Avira Registry-Cleaner laufen.
Starte den Rechner.
Installiere nun Avira Free Antivirus.
Lösche die beiden Installationsdateien vom Desktop.
Komplettscan mit Avira Free Antivirus machen
Avira Free Antivirus so einstellen, dass nur noch wichtige Ereignisse geloggt werden:
Rechte Maustaste auf den Avira-Schirm unten rechts in der Leiste => Avira Free Antivirus konfigurieren
"Expertenmodus" einschalten
System Scanner aufklappen => Report auf "Standard" umstellen
Echtzeit Scanner aufklappen => Report auf "Standard" umstellen
Mit OK bestätigen.
Fullscan mit Avira Free Antivirus machen
Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten).
Mache nun einen vollständigen Systemscan Deines Rechners und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen.
Bericht in Avira Free Antivirus finden
Du kommst wie folgt an den Bericht: Avira Free Antivirus über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor die Seriennummer unkenntlich machen und mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren.
ich kann den code nicht bei schritt 1 einfügen...es kommt immer die antwort "...ist falsch geschrieben..."
ich kann den code nicht bei schritt 1 einfügen...es kommt immer die antwort "...ist falsch geschrieben..."
Du musst den Code ab :OTL kopieren, also inklusive :OTL
also report.txt
02:05:27:531 2152 =================
02:05:27:531 2152 SystemInfo:
02:05:27:531 2152 OS Version: 5.1.2600 ServicePack: 3.0
02:05:27:531 2152 Product type: Workstation
02:05:27:531 2152 ComputerName: ***
02:05:27:531 2152 UserName: die ***
02:05:27:531 2152 Windows directory: C:\WINDOWS
02:05:27:531 2152 Processor architecture: Intel x86
02:05:27:531 2152 Number of processors: 2
02:05:27:531 2152 Page size: 0x1000
02:05:27:546 2152 Boot type: Normal boot
02:05:27:546 2152 ==================
02:05:27:546 2152 scanning jobs ...
02:05:27:796 2152
02:05:27:796 2152 scanning processes ...
02:05:29:718 2152
02:05:29:718 2152 scanning threads ...
02:05:33:390 2152
02:05:33:390 2152 scanning modules in svchost.exe...
02:05:33:609 2152 scanning modules in services.exe...
02:05:33:625 2152 scanning modules in explorer.exe...
02:05:33:656 2152
02:05:33:656 2152 scanning C:\WINDOWS\system32 ...
02:10:39:859 2152 scanning C:\Programme\Internet Explorer\ ...
02:10:41:281 2152 scanning C:\Programme\Movie Maker\ ...
02:10:42:203 2152 scanning C:\Programme\Windows Media Player\ ...
02:10:43:234 2152 scanning C:\Programme\Windows NT\ ...
02:10:44:234 2152 scanning C:\Dokumente und Einstellungen\die ***\Anwendungsdaten ...
02:11:30:500 2152 scanning C:\DOKUME~1\DIEMIN~1\LOKALE~1\Temp\ ...
02:11:38:593 2152 scanning Flash drives ...
02:11:38:593 2152
completed
02:11:38:593 2152 Infected jobs: 0
02:11:38:593 2152 Infected files: 0
02:11:38:593 2152 Infected threads: 0
02:11:38:593 2152 Spliced functions: 0
02:11:38:593 2152 Cured files: 0
02:11:38:593 2152 Fixed registry keys: 0
02:11:38:593 2152
punkt 2
All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\ deleted successfully.
C:\Programme\AskSearch\bin\DefaultSearch.dll moved successfully.
Prefs.js: "Softonic_Deutsch Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q=" removed from browser.search.defaulturl
Prefs.js: "http://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0" removed from browser.startup.homepage
Prefs.js: "http://search.yahoo.com/search?fr=panda&type=PCAFSI1190&p=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@pandasecurity.com/activescan\ deleted successfully.
C:\Programme\Panda Security\ActiveScan 2.0\npwrapper.dll moved successfully.
Folder C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}\ not found.
Folder C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\ not found.
Folder C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\Setup\bin\PandaSecurityTb_2.0.0.9\$[56]\extensions\ not found.
Folder C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\Setup\bin\PandaSecurityTb_2.0.0.9\$[56]\extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\ not found.
File C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Mozilla\Firefox\Profiles\dn4aod95.default\searchplugins\conduit.xml not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\ deleted successfully.
C:\Programme\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}\ not found.
File C:\Programme\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\WINDOWS\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08496572-6730-11de-966b-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08496572-6730-11de-966b-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08496572-6730-11de-966b-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08496572-6730-11de-966b-0015afdd2753}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{337ad99e-0e4b-11de-9625-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{337ad99e-0e4b-11de-9625-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{337ad99e-0e4b-11de-9625-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{337ad99e-0e4b-11de-9625-0015afdd2753}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4a6cb01e-2034-11de-964f-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4a6cb01e-2034-11de-964f-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4a6cb01e-2034-11de-964f-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4a6cb01e-2034-11de-964f-0015afdd2753}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5151e45e-67bf-11dd-865e-806d6172696f}\ not found.
File F:\setup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60752cc5-0596-11de-9607-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60752cc5-0596-11de-9607-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60752cc5-0596-11de-9607-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60752cc5-0596-11de-9607-0015afdd2753}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c95d89f-3642-11de-965d-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c95d89f-3642-11de-965d-0015afdd2753}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c95d89f-3642-11de-965d-0015afdd2753}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c95d89f-3642-11de-965d-0015afdd2753}\ not found.
File E:\LaunchU3.exe -a not found.
========== FILES ==========
C:\RECYCLER\S-1-5-21-725345543-2049760794-1935655697-1003 folder moved successfully.
C:\RECYCLER\S-1-5-21-480786843-1590940603-2980518349-1003 folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006\Dc709 folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006\Dc31 folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006\Dc30 folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006\Dc19\attachment_data folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006\Dc19 folder moved successfully.
C:\RECYCLER\S-1-5-21-437069857-1819579459-1764692754-1006 folder moved successfully.
C:\RECYCLER\S-1-5-21-4233445708-3949114636-3320507641-1003 folder moved successfully.
C:\RECYCLER\S-1-5-21-3385224317-1283893591-3049968693-1003 folder moved successfully.
C:\RECYCLER\S-1-5-18 folder moved successfully.
C:\RECYCLER folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\die ***\Eigene Dateien\Downloads\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\die ***\Eigene Dateien\Downloads\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: die ***
->Temp folder emptied: 71622687 bytes
->Temporary Internet Files folder emptied: 41512625 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 54731446 bytes
->Flash cache emptied: 1887646 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67550 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 137586 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 162,00 mb
OTL by OldTimer - Version 3.2.31.0 log created on 01132012_022321
Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\die ***\Lokale Einstellungen\Temp\Perflib_Perfdata_150.dat moved successfully.
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
bis jetzt is aber noch nicht viel anders....soll ich trotzdem mit schritt 3 weiter machen?
ja, mache bitte weiter :-)
adobe reader und java lassen sich nicht deinstallieren
Meldung:
"Es wird bereits andersweitig eine Installation ausgeführt. Beenden Sie den anderen Installationsvorgang, bevor Sie diese Installation vortsetzen."
Ich fürchte, das ist meine Schuld, die Reihenfolge der Anleitung ist falsch. Erst hätte ich Punkt 3 machen lassen sollen (Programme deinstallieren) und dann Punkt 2 (mit OTL die Reste löschen). Ist aber nicht weiter tragisch. Fahre mit den restlichen Punkten fort.
ich kann Aviira nicht wieder installieren...es sagt es läufe paralell ein Window Update?aber dem is nicht so...glaub ich zumindest :neutral:
Du bist also inzwischen bei Punkt 6 angelangt?
Starte den Computer bitte einmal neu und versuche es erneut.
Hast Du zunächst, wie in der Anleitung beschrieben, die alte Antivir-Version über Systemsteuerung => Programme deinstalliert?
Falls, mache das zunächst.
Falls, starte den Computer einmal neu.
Konntest Du die neuen Versionen von Java und Adobe Reader installieren.
ich hab dich missvertsanden, denke ich! ich konnte ja java und adobe nicht deinstallieren und dann hast du ja gesagt ich soll fortfahren also habe ich mit 6 weitergemacht....also ich kann die beiden programme immer noch nicht deinstallieren.und auch nach einem neustart konnte ich avira nicht insatllieren...soll ich dann nochmal schritt 3 machen und dann 4 +5+6?
Ja, da habe ich mich auch nicht wirklich gut ausgedrückt, sorry. Ich meinte, dass Du dann die neue Java-Version und die neue Adobe Reader Version installieren sollst. Mache das dann jetzt erstmal, unabhängig davon, dass sich die alten Versionen nicht deinstallieren ließen und berichte mir, ob Du die neuen Versionen problemlos installieren könntest.
ich kann java nicht installieren weil eine andere Installation zunächst agbeschlossen werden soll?!
ok, dann müssen wir erstmal meinen Fehler ausbügeln, kleiner Irrtum - große Wirkung . Tut mir leid, dass ich Dir dadurch zusätzliche Arbeit mache :cry:
===== Punkt 1 =====
CCleaner installieren und einstellen
CCleaner (http://www.piriform.com/ccleaner) ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista und Windows 7 geeignet ist.
CCleaner löscht unnötige Dateien und säubert die Registrierung.
Falls Du die aktuelle Version: 3.14.1616 schon hast, kannst Du den Download und die Installation natürlich überspringen.
CCleaner (http://www.piriform.com/ccleaner/builds) herunterladen und installieren.
CCleaner starten und => unter options settings => german einstellen.
Eine bebilderte Anleitung findest Du hier (http://www.hijackthis-forum.de/tipps-tricks/25986-ccleaner-anleitung.html).
Gehe auf den Button links oben Cleaner
Reiter Windows => setze Häkchen wie folgt: alle anhaken außer Formulardaten und Gespeicherte Kennwörter und beim Unterpunkt Erweitert nur Haken bei Alte Prefetchdaten setzen.
Wechsel zum Reiter Anwendungen =>
dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) Gespeicherte Formulardaten und Gespeicherte Kennwörter.
Bestimmte Cookies von der Bereinigung ausschließen
Einstellungen => Cookies => Cookies, die Du behalten möchtest, mit dem Pfeilbutton in der Mitte nach rechts befördern. Auf diese Weise ist gesichert, dass wichtige Cookies bei der Bereinigung mit CCleaner nicht verloren gehen.
===== Punkt 2 =====
Alten Uninstall-Eintrag mit CCleaner entfernen
Vorischt: Mit dieser Funktion dürfen nur alte Uninstall-Einträge von Programmen entfernen werden, die bereits vorher ordentlich über Systemsteuerung => Software deinstalliert wurden, oder aus irgendeinem Grund einen nicht mehr nutzbaren Uninstall-Eintrag hinterlassen haben.
CCleaner starten => Extras => Programme deinstallieren => Java(TM) 6 Update 4 markieren => Eintrag entfernen.
Wiederhole das mit dem Eintrag Adobe Reader 8.1.4
===== Punkt 3 =====
Temporäre Dateien und zusätzliche Ordner bereinigen lassen
CCleaner starten => gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows" (alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").
Einstellungen => Benutzerdefiniert => Zu bereinigende Dateien und Ordner => hinzufügen =>
Laufwerk oder Ordner markieren und auf Durchsuchen klicken.
Unter Dateitypen markierst Du Alle Dateien.
Starte nun die Bereinigung, indem Du auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". Achte hier mal darauf, wie viele MB bei der Bereinigung entfernt wurden und teile uns das mit.
===== Punkt 4 =====
Registry mit CCleaner bereinigen
Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden.
===== Punkt 5 =====
Computer einmal neu starten.
===== Punkt 6 =====
Versuche nun erneut, die neuen Versionen von Java und Adobe Reader zu installieren und berichte mir, ob es nun geklappt hat.
also der letzte fehler war
Fehlende MUI Beziehung
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"@C:\\WINDOWS\\system32\\de-de\\mstsc.exe.mui,-4004"="Remotedesktopverbindung"
und ich kann immer noch nichts installieren oder deinstallieren....vllt mach ich auch etwas nicht richtig?!:cry:
punkt 2 ging auch nicht weil ich die programme nicht deinsatllieren konnte und den eintrag entfernen ging auch nicht....
Hallo minka,
erkläre mal genauer, bei was diese Fehlermeldung auftritt. Wir sind bei der Installation vom CCleaner oder was machst Du gerade?
Du lädst Dir die Installationsdatei vom CCleaner (http://www.filehippo.com/download_ccleaner/download/ac2208e695b984ee54d433c965ed83de/) herunter und speicherst die Datei auf dem Desktop.
Du machst einen Doppelklick auf die Installationsdatei, um die Installation zu starten.
Wann taucht dann die Fehlermeldung auf und wie lautet sie genau?
Oder taucht sie bei Nutzung vom CCleaner auf?
Wenn ja, bei welcher Aktion?
die installation con ccleaner hat funktioniert ich habe alle schritte nach anleitung durchgeführt nur nicht punkt 2 programme deinstallieren...bei eintrag entfernen...dann kommt die anzeige "Kann den msi installer nicht löschen"
habe dann trotzdem alle schritte weitergeführt.
dann wollte ich java neu installieren und er gibt mir wieder die meldung "Installation kann nicht durchgeführt werden, da eine andere Installation bereits läuft. Beenden sie zunächste diese Instalation, um hier fortzufahren."
das kam bei dem Punkt mit der Registry
Fehlende MUI Beziehung
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
"@C:\\WINDOWS\\system32\\de-de\\mstsc.exe.mui,-4004"="Remotedesktopverbindung"
achso, ok. Die bei der Registry-Bereinigung angezeigten Einträge kannst Du löschen.
Also hast Du die neue Installation vor Java vor der Registry-Bereinigung probiert?
Es ist wichtig, dass Du die Reihenfolge der Punkte einhälst :-)
also Registry-Bereinigung mit dem CCleaner.
Neustarten.
Und dann erst erneut versuchen, Java zu installieren.
Ich muss jetzt gleich erstmal zum Sport, falls es wieder nicht funktioniert, erstelle mir bitte wie folgt frische OTL-Logfiles:
Systemscan mit OTL
Erstelle bitte OTL-Logfiles nach dieser Anleitung (http://blog.botfrei.de/2011/09/otl-werkzeug-zur-systemanalyse/). Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind.
Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.
Achte darauf, Realnamen und/oder persönliche Daten ggfs. zu anonymisieren.
ich hab den versuch mit der installation nach der Registry-Bereinigung gemacht...dennoch hab ich es jetzt nochmal versucht und es geht immer noch nicht :cry:
und es wurde irgendwie kein extra.txt erstellt :neutral:
===== Punkt 1 =====
Fixen mit OTL
Hiermit fixen wir unnötige oder schädliche Einträge.
Lade (falls noch nicht vorhanden) OTL (http://oldtimer.geekstogo.com/OTL.exe) von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
:OTL
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe (Sun Microsystems, Inc.)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
:Commands
[purity]
[emptytemp]
Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags (http://www.hijackthis-forum.de/hijackthis-logfiles/17-wie-erstelle-ich-ein-logfile-update.html#post154284) in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
===== Punkt 2 =====
Alte Java-Versionen entfernen
Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, müssen alte Java-Versionen vom System entfernt werden, da alte Versionen ein Sicherheitsrisiko darstellen, JavaRa macht das und entfernt Reste alter Java-Installationen. Lade JavaRa (http://sourceforge.net/projects/javara/files/javara/JavaRa.zip) von prm753 (http://raproducts.org/) herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
Schließe alle Browserfenster.
Doppelklicke die JavaRa.exe, um das Programm zu starten.
Die Sprache auswählen, nimm Englisch und klicke "Select".
Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und Remove Sun Download Manager[b].
Klicke auf [b]Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
Evtl. Fehlermeldungen bitte ignorieren.
Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
Rechner neu starten.
===== Punkt 3 =====
Danach den Computer neu starten und erneut die Java-Installation probieren.
guten Abend Petra,
leider kann ich java immer noch nicht installieren. Und ganz grundlegende Sachen, wie etwas am Desktop mit doppelklick ausführen, geht auch nicht. Eine doofe frage...aber meinst du der Wurm ist noch da? und vorallem werden alle meine Dateien irgendwann von ihm zerstört, oder kann ich diese noch retten?
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched not found.
File C:\Programme\Java\jre1.6.0_03\bin\jusched.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: die ***
->Temp folder emptied: 605498 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8405015 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 9,00 mb
OTL by OldTimer - Version 3.2.31.0 log created on 01132012_230814
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
und hier noch das javara-logfile
JavaRa 1.16 Removal Log.
Report follows after line.
------------------------------------
The JavaRa removal process was started on Sat Jan 14 01:24:56 2012
Found and removed: C:\Dokumente und Einstellungen\die ***\Anwendungsdaten\Sun\Java\jre1.6.0_03
Found and removed: JavaPlugin.FamilyVersionSupport
Found and removed: CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBB}
Found and removed: CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}
Found and removed: JavaScript
Found and removed: JavaScript Author
Found and removed: JavaScript1.1
Found and removed: JavaScript1.1 Author
Found and removed: JavaScript1.2
Found and removed: Software\Classes\JavaPlugin.160_03
Found and removed: Software\JavaSoft\Java Update
Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_03
Found and removed: SOFTWARE\Classes\JavaPlugin
Found and removed: SOFTWARE\Classes\JavaPlugin.160_03
Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03
Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6
Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01
Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03
Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
------------------------------------
Finished reporting.
Hallo minka,
nein, ich denke der Wurm ist nicht mehr da. Und das mit dem Doppelklick auf .exe-Dateien reparieren wir auch noch. Lasse uns jetzt aber erstmal das Java-Problem lösen (welches ja nicht durch die Malware entstand, sondern durch meinen Fehler).
Scan mit SystemLook
Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).
Download Mirror #1 (http://jpshortstuff.247fixes.com/SystemLook.exe) - Download Mirror #2 (http://images.malwareremoval.com/jpshortstuff/SystemLook.exe)
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
:regfind
java
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
Wenn SystemLook.txt zu lang zum Einfügen ist, bitte als Anhang über Erweitert und Anhänge verwalten hier hochladen.
hi petra,
hier das logfile von sytemlook :-)
hey petra,
ich konnte jetzt immerhin avira installieren?hoffe das war ok?weil so ganz ohne antiviren programm online zu sein finde ich komisch:wink:
und ich mache gerade einen scan....er hat schon versteckte dateien entdeckt...ich schick dir später das logfile
prima und ich erarbeite inzwischen einen Registry-Fix für die Java-Geschichte http://forum.botfrei.de/images/smilies/great.gif
Schicke mir per PN bitte Deinen Benutzernamen, sonst kann ich den Fix nicht richtig erstellen.
hier die logfile vom scan
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 14. Januar 2012 16:18
Es wird nach 3069807 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 15:09:58
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 15:09:58
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 15:09:58
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 15:09:58
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 15:09:58
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 15:09:58
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 15:09:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 15:09:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 15:09:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 15:09:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 15:09:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 15:10:00
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 15:10:00
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 15:10:01
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 15:10:02
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 15:10:03
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 15:10:03
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 15:10:03
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 15:10:04
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 15:10:04
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 15:10:04
VBASE023.VDF : 7.11.21.14 2048 Bytes 13.01.2012 15:10:04
VBASE024.VDF : 7.11.21.15 2048 Bytes 13.01.2012 15:10:05
VBASE025.VDF : 7.11.21.16 2048 Bytes 13.01.2012 15:10:05
VBASE026.VDF : 7.11.21.17 2048 Bytes 13.01.2012 15:10:05
VBASE027.VDF : 7.11.21.18 2048 Bytes 13.01.2012 15:10:05
VBASE028.VDF : 7.11.21.19 2048 Bytes 13.01.2012 15:10:05
VBASE029.VDF : 7.11.21.20 2048 Bytes 13.01.2012 15:10:05
VBASE030.VDF : 7.11.21.21 2048 Bytes 13.01.2012 15:10:05
VBASE031.VDF : 7.11.21.28 26112 Bytes 13.01.2012 15:10:05
Engineversion : 8.2.8.26
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.3.97 426363 Bytes 14.01.2012 15:10:11
AESCN.DLL : 8.1.7.2 127349 Bytes 14.12.2011 23:31:02
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.15.1 770423 Bytes 15.12.2011 13:59:35
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 14.01.2012 15:10:11
AEHEUR.DLL : 8.1.3.18 4297079 Bytes 14.01.2012 15:10:10
AEHELP.DLL : 8.1.18.0 254327 Bytes 15.12.2011 13:59:31
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.24.3 201079 Bytes 14.01.2012 15:10:07
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Samstag, 14. Januar 2012 16:18
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'SuperHybridEngine.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SamsungPnPServiceManager.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sysctrl.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'PWRISOVM.EXE' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsEPCMon.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsAcpiSvr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsTray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDDect.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ETDCtrl.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'crypserv.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3186' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Ende des Suchlaufs: Samstag, 14. Januar 2012 17:42
Benötigte Zeit: 1:24:04 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
6733 Verzeichnisse wurden überprüft
364530 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
364530 Dateien ohne Befall
10773 Archive wurden durchsucht
0 Warnungen
1 Hinweise
388832 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden
===== Punkt 1 =====
Registry-Einträge ändern, hinzufügen oder löschen
Bitte erstelle eine Sicherung Deiner Registry nach dieser Anleitung (http://www.hijackthis-forum.de/showpost.php?p=205085&postcount=2).
Downloade das unten angehängte regfix.zip und entpacke es auf Deinen Desktop. Ich habe ein Skript geschrieben, damit diese Einträge aus der Registry verschwinden. Auf Deinem Desktop sollte sich nun das regfix.reg befinden, bitte mit einem Doppelklick starten. Antworte auf die Frage mit "Ja". Starte den Rechner neu.
Hinweis für Mitleser: Das Skript ist ausschließlich für diesen Computer erstellt worden.
Die Benutzung auf einem anderen Computer kann das System unbenutzbar machen.
Sage mir bitte Bescheid, wenn der Punkt erledigt ist, dann kann ich den Anhang wieder löschen.
===== Punkt 2 =====
Rechner neu starten und erneut versuchen:
Java installieren
Downloade die Offline-Version von Java Version 6 Update 30 von Oracle (http://www.java.com/de/download/manual.jsp) und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.
===== Punkt 3 =====
Schauen wir auch nach, um was es sich bei dem von Avira als versteckt gemeldeten Treibers handelt.
Rootkit-Suche mit Gmer
Wichtig:
Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie bei der Rootkit-Suche das Ergebnis verfälschen können.
Alternativ deaktiviere diese gemäß dieser Anleitung (http://www.hijackthis-forum.de/tipps-tricks/20219-rootkit-scanner-anleitungen.html#post301278).
Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
Alle anderen Programme sollen geschlossen sein.
Während des Scans nichts am Rechner machen.
Nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!
Lade Dir Gmer von dieser Seite (http://www.gmer.net/files.php) herunter
(auf den Button Download EXE drücken) und speichere das Programm auf dem Desktop.
Gmer ist geeignet für => NT/W2K/XP/VISTA/7 (nur 32Bit).
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
http://image.hijackthis.eu/upload/gmer_kl_2011.jpg
Gmer startet automatisch einen ersten Scan.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?
Unbedingt auf "No" klicken und nichts löschen!
Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Entferne den Haken bei:
IAT/EAT
Show all
zusätzlichen Laufwerken, also nur die Bootpartition (meistens C:\) anhaken.
Starte den Scan durch Drücken des Buttons "Scan".
Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
Mit "Ok" wird Gmer beendet.
Oder füge das Log aus der Zwischenablage direkt in Deine Antwort hier ein (mit STRG + V).
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!
Nun das Logfile in Code-Tags (http://www.hijackthis-forum.de/showpost.php?p=154284&postcount=3) posten.
ok, Anhang habe ich wieder gelöscht. Konntest Du jetzt Java installieren?
ja konnte java installieren :great:
hier das gmer logfile
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-01-15 00:19:19
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303
Running: bj2lstqh.exe; Driver: C:\DOKUME~1\DIEMIN~1\LOKALE~1\Temp\pxtdypoc.sys
---- System - GMER 1.0.15 ----
SSDT F7C7A3CC ZwClose
SSDT F7C7A3D6 ZwCreateSection
SSDT F7C7A37C ZwCreateThread
SSDT F7C7A38B ZwDeleteKey
SSDT F7C7A395 ZwDeleteValueKey
SSDT F7C7A3C7 ZwDuplicateObject
SSDT F7C7A39A ZwLoadKey
SSDT F7C7A368 ZwOpenProcess
SSDT F7C7A36D ZwOpenThread
SSDT F7C7A3EF ZwQueryValueKey
SSDT F7C7A3A4 ZwReplaceKey
SSDT F7C7A3E0 ZwRequestWaitReplyPort
SSDT F7C7A39F ZwRestoreKey
SSDT F7C7A3DB ZwSetContextThread
SSDT F7C7A3E5 ZwSetSecurityObject
SSDT F7C7A390 ZwSetValueKey
SSDT F7C7A3EA ZwSystemDebugControl
SSDT F7C7A377 ZwTer***teProcess
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwCreateKey [0x804D70CC]
SSDT \WINDOWS\system32\ntkrnlpa.exe[unknown section] [804D70CC] ZwCreateKey [0x804D70CC]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwOpenKey [0x804D70D1]
SSDT \WINDOWS\system32\ntkrnlpa.exe[unknown section] [804D70D1] ZwOpenKey [0x804D70D1]
INT 0x03 \WINDOWS\system32\ntkrnlpa.exe[unknown section] 804D70DB
INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A9DC216D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A9DC1FC2
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FE0 8050487C 4 Bytes [EA, A3, C7, F7]
.text C:\WINDOWS\system32\drivers\aksfridge.sys section is writeable [0xA9A51000, 0x48011, 0xE0000020]
.init C:\WINDOWS\system32\drivers\aksfridge.sys entry point in ".init" section [0xA9AA6224]
.init C:\WINDOWS\system32\drivers\aksfridge.sys unknown last code section [0xA9AA6000, 0x4000, 0xE20000E0]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA98D0400, 0x6E1B2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA995A220] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA995A220]
.protectÿÿÿÿhardlockunknown last code section [0xA995A000, 0x50EA, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA995A000, 0x50EA, 0xE0000020]
---- Devices - GMER 1.0.15 ----
Device \Driver\Disk \Device\Harddisk0\DR0 aksfridge.sys (Ancillary Function Driver/Aladdin Knowledge Systems Ltd.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCD 0x54 0x03 0xB7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCD 0x18 0xCB 0x4D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x46 0x93 0x14 0x59 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xCD 0x54 0x03 0xB7 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCD 0x18 0xCB 0x4D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x46 0x93 0x14 0x59 ...
---- EOF - GMER 1.0.15 ----
Hattest Du Daemon Tools Lite nicht vorher deinstalliert?
nein das ging nicht weil ich nicht in die systemsteuerung rein komme...deswegen hab ich nach der anleitung deaktiviert...dacht ich?!
minka, wenn etwas nicht funktioniert wiegesagt bitte immer nachfragen :-)
Dass Du nicht in die Systemsteuerung kommst, hast Du noch gar nicht erwähnt, das wäre ein wichtiger Hinweis gewesen.
Kommst Du so in die Systemsteuerung?
Start => ausführen => control reinschreiben und enter drücken.
also mit control passiert auch nichts.....und das ist auch erst seit gestern abend so dass ich nicht mehr auf die systemsteuerung zugreifen kann.....somit ist es mir auch erst aufgefallen als ich deamon tools deinstallieren wollte....vorher hats es geklappt.
jetzt ist alles total langsam....auch die maus hackt ein wenig :cry:
Hallo minka,
keine Fehlermeldung? Es passiert gar nichts? Sehr merkwürdig. Schauen wir nach, ob die nötige Datei da ist, wo sie hingehört und ob die entsprechenden Registry-Einträge vorhanden sind:
Scan mit SystemLook
Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).
Download Mirror #1 (http://jpshortstuff.247fixes.com/SystemLook.exe) - Download Mirror #2 (http://images.malwareremoval.com/jpshortstuff/SystemLook.exe)
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
:filefind
control.exe
:regfind
control.exe
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
ich komm mit dem laptop nicht mehr ins internet...bzw die verbindung steht aber er sagt er kann den server nicht finden...:cry:
also hab den scan aber trotzdem duchgeführt(hatte das programm ja schon :-) )
so nun kann ich dir das ergebnis natüröich nicht im threat posten...soll ich es abtippen???also für mein laien auge sieht es so aus als hätte er´s gefunden....
es geht wieder :-) warum auch immer?!
naja hier das ergebnis
SystemLook 30.07.11 by jpshortstuff
Log created at 20:32 on 15/01/2012 by die ***
Administrator - Elevation successful
========== filefind ==========
Searching for "control.exe"
C:\WINDOWS\system32\control.exe --a---- 8192 bytes [14:04 11/08/2008] [12:00 14/04/2008] F269C05E7478C2CDC78867B314B7F683
C:\WINDOWS\system32\dllcache\control.exe --a--c- 8192 bytes [14:04 11/08/2008] [12:00 14/04/2008] F269C05E7478C2CDC78867B314B7F683
========== regfind ==========
Searching for "control.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\control.exe"="Windows Systemsteuerung"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}\Instance\InitPropertyBag]
"Param2"="control.exe"
[HKEY_USERS\S-1-5-21-437069857-1819579459-1764692754-1006\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\control.exe"="Windows Systemsteuerung"
-= EOF =-
Hallo minka,
ich sehe das Problem. Es fehlen die Registry-Einträge für die Systemsteuerung unter HKEY_LOCAL_MACHINE. Das bedeutet leider, dass an Deinem System schon weitaus mehr kaputt ist, als ich anfänglich vermutet hatte. Ich habe nochmals explizit geprüft, ob unsere Aktionen das verursacht haben, bin aber ziemlich sicher, dass das nicht der Fall ist.
Deshalb muss ich davon ausgehen, dass der Schädling noch aktiv ist und muss Dir zum Neuaufsetzen raten. Wir könnten zwar hier jetzt noch endlos weiter reparieren, aber das bleibt Flickschusterei und am Ende sind wir immer noch nicht sicher, ob wir alles "bereinigt" haben. Tut mir ja leid für Dich, aber Neuaufsetzen ist hier definitiv sicherer und geht auch viel schneller.
Woran musst Du vor der Neuinstallation denken?
Als Vorbereitung auf die neue Installation habe ich mir zunächst eine Liste der installierten Programme ausgedruckt. Das geht gut mit dem kostenlosen CCleaner (http://www.piriform.com/ccleaner).
CCleaner starten => Extras => Programme deinstallieren => Als Textdatei speichern => ausdrucken.
Dabei wirst Du sicher feststellen, dass sich eine Menge Programme auf dem Rechner befinden, die Du nie benutzt oder die Du gar nicht brauchst. Die ganzen Microsoft-Programme kannst Du ignorieren, die werden eh bei Bedarf installiert.
Vor der Neuinstallation unbedingt wichtige Dokumente, Bilder, Musik etc. am besten auf ein externes Medium sichern. Das kann eine externe Festplatte sein, ein USB-Stick oder Du brennst die Daten auf eine CD oder DVD.
Falls Du Firefox nutzt, solltest Du nicht vergessen, Deine Lesezeichen und die Namen Deiner Addons zu sichern.
Lesezeichen sicherst Du wie folgt: Firefox starten => Lesezeichen => Lesezeichen verwalten => Importieren und Backup => Backup => speichere die Lesezeichen<Datum>.json auf einen USB-Stick oder die externe Festplatte.
Eine Liste der Addons kannst Du wie folgt erstellen: In der Adresszeile von Firefox about:support eingeben oder im Menü => Hilfe => Informationen zur Fehlerbehebung anklicken und über den Button Alles in die Zwischenablage kopieren drücken und anschließend den Inhalt mit der Tastenkombination STRG + V in ein leeres Dokument kopieren. Das Dokument speichern und es wiederum auf den USB-Stick kopieren.
Windows XP neu aufsetzen
Nimm den Rechner vom Netz. Nimm Dir Zeit und besorge Dir vorab alles, was Du brauchst. Zur Hand haben solltest Du:
Windows XP CD
Treiber vom Motherboard
Treiber von der Grafikkarte
und evtl. nötige Treiber für spezielle Tastaturen.
Falls auf der Installations-CD nicht vorhanden, besorge Dir unbedingt vorher SP2 und SP3 für Windows XP.
Anti-Virus-Programm, z. B. eines der folgenden Freeware-Programme:
AntiVir (http://www.free-av.de/)
AVG Antivirus Free Edition (http://free.avg.de/)
Avast4 (http://www.avast.com/ger/avast_4_home.html)
Service Packs (bitte die nötigen auswählen)
Windows XP Service Pack 2 (http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a)
Windows XP Service Pack 3 (http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4)
Installiere fehlende Service Packs und das Anti-Virus-Programm auf jeden Fall, bevor Du das erste Mal mit dem neu aufgesetzen Rechner online gehst!
Hier einige Links, die Dir bei der Neuinstallation hilfreich sein können.
Drucke die Anleitung ggfs. aus, damit Du sie zur Hand hast, falls bei der Installation Fragen auftauchen.
XP-Installation - Anleitung von TimeTraveler (http://www.timetraveler.ch/?page_id=5/)
WindowsXP Installation Teil 1 (Youtube-Video) (http://www.youtube.com/watch?v=_kMGtE3dZl4)
WindowsXP Konfiguration Teil 2 (Youtube-Video] (http://www.youtube.com/watch?v=MiIAWXSEwlE)
Datensicherung vor Neuinstallation (http://www.hijackthis-forum.de/tipps-tricks/13833-datensicherung-vor-neuinstallation.html)
Bebilderte Anleitung zum Neuaufsetzen von Affa als druckbare PDF-Version (http://image.hijackthis.eu/anleitungen/PC.neu.aufsetzen.pdf) - (ggfs. vorher ausdrucken)
Windows XP Home neu installieren von Microsoft (http://support.microsoft.com/kb/896526/DE/)
Bevor Du mit der Neuinstallation beginnst, sichere Deine persönlichen Daten wie Dokumente, Bilder, Lesezeichen (Favoriten), Musik auf ein externes Medium (CD, DVD oder externe Festplatte). Keine ausführbaren Programme sichern, wie beispielsweise Dateien mit den Endungen .exe, .dll, .vbs, .bat, .com oder .scr (das sind umbenannte .exe als Bildsschirmschoner). Schreibe Dir evtl. spezielle Einstellungen genau auf. Zugangsdaten und Passwörter wirst Du vermutlich notiert haben. Nach dem Formatieren ist alles weg!
Wenn Dein Rechner mit einer Backdoor, einem Passwort-Stealer oder einem Keylogger infiziert war, bitte neue Passwörter benutzen.
Wenn Du das alles erledigt hast, kannst Du die WindowsXP-CD einlegen und die Festplatte neu formatieren und XP installieren. Beim Formatieren solltest Du Dein Windows auf einer separaten Partition speichern, dazu reichen ca. 20 GB. Der erste Weg im Netz sollte Dich zur Windows-Update-Seite (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=de) führen. Lasse nach verfügbaren Updates/Patches suchen und installiere alle angebotenen Patches und wiederhole das so oft, bis Dir nichts mehr angeboten wird. Außerdem solltest Du beim Installieren von neuer Software unbedingt darauf achten, dass Du "benutzerdefiniert" installierst, und Toolbars und sonstige "Sponsoren"-Software nicht mitinstallierst, also per Haken rausnehmen abwählst!
Treiber-Installation - Reihenfolge
1. XP installieren
2. Chipsatztreiber installieren
3. Soundkartentreiber installieren (falls vorhanden)
4. Grafikkartentreiber installieren
5. weitere Treiber für Peripheriegeräte installieren (falls vorhanden)
6. DirectX (http://www.microsoft.com/directx) installieren
7. Fehlende Service Packs installieren
8. Anti-Virus-Programm installieren
9. Fehlende Windows-Updates online installieren
Falls Du noch Fragen hast, gerne :)
Auslieferungszustand bei vorinstallierten Systemen wiederherstellen
Bei manchen Systemen ist XP vorinstalliert und mit einer Recovery-Partition versehen. In diesen Fällen muss das System einfach auf den Auslieferungszustand zurückversetzt werden. Wie das genau funktioniert, entnimmst Du am besten dem Handbuch. Bei Medion-PCs muss dazu beispielsweise das System von der mitgelieferten CD Application & Support-Disc gestartet werden und dort Auslieferungszustand wiederherstellen gewählt werden. Alles weitere passiert völlig automatisch. Je nachdem welches Service Pack in der Vorinstallation enthalten ist, müssen anschließend noch die fehlenden Service Packs installiert werden.
ok aber kann ich meine daten retten?????kann ich sie jedenfalls teilweise sicher retten?
also sind nur ausführbare dateien betroffen?!und daten kann ich auf einer externe festplatte speichern und dann muss ich sie beim wieder aufspielen einfach nur mit nem virenscan checken???
Hallo minka,
Du kannst nicht ausführbare Dateien wie Bilder, Dokumente oder Musik auf ein externes Medium sichern. Dann Windows wie in obiger Anleitung angegeben neu installieren und dann zunächst die Windows Updates inkl. Service Packs aufspielen, Anti-Virus-Programm installieren. Erst dann online gehen und die nötigen Programme von Original-Seiten herunterladen und installieren.
da keine Fragen mehr kommen, gehen wir davon aus, dass Du inzwischen neu installiert hast und schließen den Thread mit einigen Tipps zur Absicherung :-)
Malware entfernt? Was nun? (http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/)
Wie mache ich mein Windows sicher? (http://blog.botfrei.de/2011/08/wie-mache-ich-mein-windows-sicher/)
Wie kann ich mein System in Zukunft von Malware frei halten? (http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/)
Wie kann ich prüfen, ob meine Software aktuell ist? (http://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/)
Mozilla Plugins aktuell? Hier prüfen! (http://www.mozilla.org/de/plugincheck/)
DNS manipuliert? (http://www.dns-changer.eu/)