Win 7, Trojaner-Variante, Seite nur teilweise geladen

[LKLJD]

Liebes Team,

mein Win7 hat sich auch etwas eingefangen. Anbei ein Bild des Fehlerbildes und die beiden im abgesicherten Modus erstellten OTL Dateien.

Vielen Dank im Voraus,

LKL

[kira]

Herzlich Willkommen in unserem Forum!

**Bevor wir unsere Zusammenarbeit beginnen, lies dir diese Einführung durch und ich bitte um kurze Bestätigung, dass du dies gelesen und akzeptiert hast!:-> Worauf musst Du während der Bereinigung achten?

ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG! - da die Fehlerprüfung und Handlung werden über große Entfernungen (online) durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.

► Unrechtmäßig erworbene Software (durch Keygen, Crack, Keymaker) wird nicht geduldet, in diesem Fall wird der Support eingestellt.!
Die von mir angegebenen Anweisungen, immer vollständig und genau erledigen (werden ja oft mehrere Schritte gleichzeitig angewendet)
► Falls unvorhersehbare Probleme auftreten sollten, bitte um sofortige Rückmeldung! Bis auf weiteres (ohne Abspräche) keine eigenen Aktivitäten vornehmen!

Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. -> Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Falls du doch für die Systemreinigung entscheidest:

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
**Vista und Win7 Verwender: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.

Spybot

- würde ich nicht mehr empfehlen, bietet nicht mehr ausreichenden Schutz gegen "moderne Malwarearten"...
► Falls Du doch es behalten möchtest:
Stelle bitte den TeaTimer ab:
Gehe bei Spybot-S&D in den Erweiterten Modus und wähle dort Werkzeuge -> Resident.
Deaktiviere hier den "Resident TeaTimer aktiv".
(Tea Timer versucht positive änderungen auch zu blockieren) - soll für immer deaktiviert bleiben!

2.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (unverändert inkl. :OTL, also - nach dem "Code", alles was in der Codebox steht - beginnend :OTL bis zur letzten Zeile [emptytemp] (ohne "code"!):

Code:

:OTL
O4:64bit: - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2012.07.20 19:13:58 | 000,000,000 | ---D | M] -- C:\Users\lkl\AppData\Roaming\hellomoto

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Achtung Mitleser!:
Jedes einzelne OTL-Script wird individuell auf den Benutzer abgestimmt! Diese Anleitung gilt nur auf dem hier betroffenen Rechner. Anwendung bei anderen Maschinen oder Nutzung von "selbst erstellte Scriptkombination" kann zu ernsthaften Schäden führen!

3.
Mit diesem Programm das System prüfen:-> Malwarebytes Anti-Malware Free
-> "vollständigen Suchlauf "
-> Funde löschen lassen
-> Scanergebnis hier posten!

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

5.
erneut einen Scan mit OTL: - ältere Logdateien löschen!

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

Bitte alle Ergebnisse im Code-Tags posten!

vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein
dahinter - also am Ende der Logdatei:[/code]

gruß
kira

[LKLJD]

Vielen Dank für deine Hilfe!!!

Einführung gelesen und akzeptiert!


1. Spybot habe ich nicht.

2. OTL

Code:

 All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
C:\Users\lkl\AppData\Roaming\hellomoto folder moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausf�hren der Funktion ist ein Fehler aufgetreten.
C:\Users\lkl\Desktop\cmd.bat deleted successfully.
C:\Users\lkl\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: lkl
->Temp folder emptied: 20770865 bytes
->Temporary Internet Files folder emptied: 31619389 bytes
->Java cache emptied: 83098 bytes
->FireFox cache emptied: 922346616 bytes
->Opera cache emptied: 7882309 bytes
->Flash cache emptied: 49907 bytes
 
User: lklades
->Temp folder emptied: 501189786 bytes
->Temporary Internet Files folder emptied: 46814306 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 53261590 bytes
->Opera cache emptied: 1723736 bytes
->Flash cache emptied: 1169 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 206260506 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36029021 bytes
RecycleBin emptied: 12469266 bytes
 
Total Files Cleaned = 1.755,00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 07232012_180053

Files\Folders moved on Reboot...
File move failed. C:\Users\lkl\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2012.02.17 15:51:50 | 000,000,000 | ---- | M] () C:\Users\lkl\AppData\Local\Temp\FXSAPIDebugLogFile.txt : Unable to obtain MD5

Registry entries deleted on Reboot...

3. Malwarebytes Anti-Malware Free

Code:

 Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lklades :: LKLADES-PC [Administrator]

23.07.2012 18:12:18
mbam-log-2012-07-23 (18-12-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339427
Laufzeit: 38 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\lkl\AppData\Local\Microsoft\Windows\3731\whhelper.exe (Trojan.Rogdsa.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

.

4. CCleaner

Code:

Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	12.07.2012	6,00MB	11.3.300.265
Adobe Reader X (10.1.3) - Deutsch	Adobe Systems Incorporated	12.04.2012	121MB	10.1.3
AuthenTec TrueSuite	AuthenTec, Inc.	16.02.2012	6,63MB	2.0.0.57
Avira Free Antivirus	Avira	08.05.2012	109MB	12.0.0.1125
CCleaner	Piriform	22.06.2012		3.20
Cisco Systems VPN Client 5.0.07.0290		05.03.2012	10,8MB	
Dropbox	Dropbox, Inc.	02.06.2012		1.4.7
HP Quick Launch Buttons	Hewlett-Packard Company	17.02.2012		6.50.14.1
Java(TM) 6 Update 31	Oracle	19.02.2012	95,1MB	6.0.310
Malwarebytes Anti-Malware Version 1.62.0.1300	Malwarebytes Corporation	23.07.2012	18,7MB	1.62.0.1300
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	20.02.2012	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	20.02.2012	2,93MB	4.0.30319
Microsoft Office Enterprise 2007	Microsoft Corporation	17.03.2012		12.0.6612.1000
Microsoft Office File Validation Add-In	Microsoft Corporation	06.06.2012	7,95MB	14.0.5130.5003
Microsoft Office Live Add-in 1.5	Microsoft Corporation	05.06.2012	508KB	2.0.4024.1
Microsoft Silverlight	Microsoft Corporation	08.05.2012	100MB	5.1.10411.0
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	05.03.2012	12,2MB	10.0.40219
MiKTeX 2.9	MiKTeX.org	17.02.2012		2.9
Mozilla Firefox 11.0 (x86 de)	Mozilla	22.03.2012	35,8MB	11.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	20.02.2012	1,27MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	20.02.2012	1,33MB	4.20.9876.0
Opera 12.00	Opera Software ASA	16.06.2012		12.00.1467
R for Windows 2.15.0	R Development Core Team	14.04.2012	89,2MB	2.15.0
Skype™ 5.8	Skype Technologies S.A.	20.02.2012	19,0MB	5.8.154
SopCast 3.5.0	www.sopcast.com	30.03.2012		3.5.0
Synaptics Pointing Device Driver	Synaptics Incorporated	17.02.2012	46,4MB	15.0.24.0
TeXnicCenter Version 1.0 Stable RC1	TeXnicCenter.org	17.02.2012		Version 1.0 Stable RC1
Tinn-R 2.3.7.1	Tinn-R Team	14.04.2012	9,23MB	
VLC media player 2.0.0	VideoLAN	19.02.2012		2.0.0

.


5. Angehängt

[kira]

Systemreinigung und Prüfung:

1.
- Hast Du absichtlich die IP so als Proxy eingestellt?
- Wenn ja, warum?
- Wenn nein:wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus
im Internet Explorer:
Extras => Internetoptionen => Verbindungen => Lan-Einstellungen
Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen.

Code:

IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1;localhost;10.*;192.168.*;127.0.0.1:895;127.0.0.1:896
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8555;https=127.0.0.1:8555

2.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (unverändert - also beginnend :OTL bis zur letzten Zeile [emptytemp] (ohne "code"!):

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
[2012.02.16 13:02:53 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.16 12:48:01 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.02.16 13:02:53 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.16 13:02:53 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.16 13:02:53 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
O4 - HKU\S-1-5-21-1384072684-1294934213-3404618126-1003..\Run: [whhelper] C:\Users\lkl\AppData\Local\Microsoft\Windows\3731\whhelper.exe File not found
[2012.07.23 18:03:41 | 000,000,000 | ---D | M] -- C:\Users\lkl\AppData\Roaming\hellomoto

:Files
C:\Users\lkl\AppData\Roaming\hellomoto

ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.
Java aktualisieren- über Systemsteuerung-> Nach Update suchen...
oder
Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 5 " von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

4.
Aktualisieren:
-> Mozilla Firefox[/COLOR][/B] Hilfe -> über Menü Hilfe -> "Über Fitefox"

5.
Öffne CCleaner - Anleitung CCleaner

• "Cleaner"->"Analysieren"-> Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"-> "Fehler beheben"->"Alle beheben"
• Starte dein System neu auf

6.
Tipps (unabhängig davon ob man ihn benutzt oder nicht, muss gepflegt werden!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

7.
Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  
  .

• Eset Online Scanner (NOD32)
  • Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
  • Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Wenn fertig, das Protokoll speichern und mir posten.
  • Finish drücken.
  • Browser schließen.
  • Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

8.
erneut einen Scan mit OTL: - ältere Logdateien löschen!

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und extra.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

[LKLJD]

1.

- Hast Du absichtlich die IP so als Proxy eingestellt? - Wenn ja, warum?

Nein. Mir wurde mal Hotspot Shield (http://www.chip.de/downloads/Hotspot..._30200785.html) empfohlen um sicher zu surfen in Hotspots. Das war mir aber suspekt und ich habe es schnell wieder deinstalliert. Die Installation hat die Proxy-Einstellungen geändert und die Deinstallation das nicht wieder rückgängig gemacht. Außerdem benutze ich den Internet Exporer nie.

- Wenn nein: wenn du keinen Proxyserver lokal installiert hast, nimm die Proxyeinstellungen aus den Interneteinstellungen raus im Internet Explorer:
Extras => Internetoptionen => Verbindungen => Lan-Einstellungen Haken bei Proxyserver für LAN verwenden und Proxyserver für lokale Adressen umgehen entfernen.

Die Haken waren bereits entfernt und bei "Automatische Suche der Einstellungen" ist ein Haken (sowohl bei 32 Bit IE als auch bei 64 Bit IE).

2.

Code:

========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-1384072684-1294934213-3404618126-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKEY_USERS\S-1-5-21-1384072684-1294934213-3404618126-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1384072684-1294934213-3404618126-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-1384072684-1294934213-3404618126-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKEY_USERS\S-1-5-21-1384072684-1294934213-3404618126-1003\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1384072684-1294934213-3404618126-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml moved successfully.
Registry value HKEY_USERS\S-1-5-21-1384072684-1294934213-3404618126-1003\Software\Microsoft\Windows\CurrentVersion\Run\\whhelper deleted successfully.
C:\Users\lkl\AppData\Roaming\hellomoto folder moved successfully.
========== FILES ==========
File\Folder C:\Users\lkl\AppData\Roaming\hellomoto not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\lkl\Desktop\cmd.bat deleted successfully.
C:\Users\lkl\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: lkl
->Temp folder emptied: 70681 bytes
->Temporary Internet Files folder emptied: 2499261 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38037402 bytes
->Opera cache emptied: 1434739 bytes
->Flash cache emptied: 492 bytes
 
User: lklades
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33721 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3882 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 40,00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 07242012_173521

3. Java ist aktualisiert

4. Nach dem update startet Firefox neu aber ansonsten sieht alles gleich aus. Ist immer noch Version 11.00.

5. CCleaner: ok

6. Ok, danke.

7. Nichts gefunden

Code:

 ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-24 05:47:51
# local_time=2012-07-24 07:47:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 13739245 13739245 0 0
# compatibility_mode=5893 16776574 100 94 2900 94778997 0 0
# compatibility_mode=8192 67108863 100 0 1411 1411 0 0
# scanned=160282
# found=0
# cleaned=0
# scan_time=2923

8. ist angehängt

berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

- keine weiteren Probleme. Allerdings benutze ich den Laptop momentan auch nur für die Sachen die du mir hier sagst.

Beste Grüße & vielen Dank

[kira]

1.

4. Nach dem update startet Firefox neu aber ansonsten sieht alles gleich aus. Ist immer noch Version 11.00.

vlt mal deinstallieren und erneut installieren, aber:
bei Bedarf um die für Dich wichtige (Benutzerdefinierte) Einstellungen zu sichern:-> Mozilla Firefox Backup erstellen
erneut installieren:-> http://www.mozilla.org/de/firefox/fx/

2.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (unverändert - also beginnend :OTL bis zur letzten Zeile [emptytemp] (ohne "code"!):

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

:Files
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

** Lass dein System in der nächste Zeit noch unter Beobachtung!

3.
Kannst Du die Programme die wir verwendet haben deinstallieren/entfernen, bis auf

Code:

CCleaner

- Zeitweise laufen lassen:-> Windows-Systeme aufräumen mit dem CCleaner

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

4.
Windows legt beispielsweise regelmäßig Schattenkopien an (mindestens einmal täglich), die im Notfall zur Wiederherstellung des Systems und zum Zugriff auf ältere Dateiversionen dienen. Diese Funktion belegt sehr viel Speicherplatz. Standardmäßig beträgt der für Schattenkopien reservierte Speicherplatz 15 % der Volumegröße, so dass die Systemleistung auch beeinträchtigt wird. Außerdem gelöschte und ev. schädliche Objekte, die in der Systemwiederherstellung sitzen, müssen auch entfernt werden:
Also mach bitte folgendes:

• *Systemwiederherstellung deaktivieren: Windows 7 und Vista*
• PC runterfahren
• wieder einschalten
• Systemwiederherstellung aktivieren

also zuerst deaktivieren-> dann aktivieren - also am Ende soll wieder "aktiviert" sein!

5.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen)
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

6.
► für Windows nach Update schauen!:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand!

Tipps & Rat:

➔ Wie mache ich mein Windows sicher?
➔ Wie kann ich mein System in Zukunft von Malware frei halten?
➔ Ist Ihr System aktuell? Hier können Sie Ihren Windows-Rechner testen

Privatsphäre, Anonymität und mehr Sicherheit:

Beste Schutz gegen Malware:
Sichere regelmäßig deine Daten (Bilder Musik, Dokumente, Mails (als Textdatei), im Browser Lesezeichen usw) auf CD/DVD, USB-Sticks oder externe Festplatten! Am besten 2x an verschiedenen Orten sichern!

Windows und Software immer auf dem neuesten Stand halten!:
ALLE auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!
Eingeschränkten Konto - Nicht mit vollen Zugriffsrechten als Administrator ins Internet gehen! - Windows XP
-> Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen ->eingeschränkten Benutzerkonto
Programme und Treiber:
Nur vom Hersteller!
Browser - Der Browser muss die Inhalte möglichst schnell und sicher darstellen]
-> Achte auf die Basiskonfiguration desInternet Explorer: Aktive Inhalte prinzipiell auszuschalten. - Browser-Sicherheitscheck
-> SICHEREN BROWSER VERWENDEN z.B. -> Firefox - Erweiterungen für Firefox
-> Opera
Extern anschließbare Medien - Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw!
-> auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
-> IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de
Passwort - Verwende ein sicheres Passwort!:
Verwende Passwörter, die aus einem Mix von mindestens acht Ziffern, Buchstaben oder Sonderzeichen bestehen. Verzichte auf Begriffe, die im Wörterbuch stehen oder leicht zu erraten sind, etwa der Name deines Partners oder Haustieres. Tausche deine Passwörter regelmäßig aus und benutze für jede geschützte Anwendung ein anderes Login. Deaktiviere daher am besten die Auto- Vervollständigungsfunktion im Browser, um nicht versehentlich auf eine falsche Website zu gelangen, und stelle deinen Browser so ein, dass sich bei jedem Schließen automatisch sämtliche Formulardaten und der Cache löschen. Verwahre deine vertraulichen Passwörter- und Bankinformationen an einem sicheren Ort, PCs sind dafür nicht geeignet
-> Die fünf häufigsten Passwort-Fehler
-> Die sichere Passwort-Wahl
-> Sicheres Kennwort (Password)
E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst!
Du kannst mehrere Emailadresse verwenden z.B. gmx etc. Deine `haupt-E-Mail-Adresse` sollst du nur bekannte bzw vertrauliche Seite angeben/eintragen. Für andere nutze dann die gratis Webmails.
Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
Onlinebanking:
Gib deine Passwörter niemals preis!
Seriöse Bankinstitute, E- Mail- Provider oder Online- Shops versenden grundsätzlich keine E- Mails, in denen Kunden aufgefordert werden, vertrauliche Daten wie Passwörter, Verfügernummer, PINs oder TANs preiszugeben. Bei dieser Art von E- Mails handelt es sich immer um Betrugsversuche, weshalb entsprechende Anfragen nicht beantwortet werden sollten. Sobald der Verdacht auf Betrug entsteht, melde deinen Verdacht der jeweiligen Bank- Hotline.
Computer, anderen (Gästen/Freunden) zur Nutzung überlassen überlassen - Nutze nur vertrauenswürdige Computer!
Vergewissere dich, dass nur Personen deines Vertrauens deinen Computer nutzen oder verwalten und wickel niemals Bankgeschäfte über nicht vertrauenswürdige Computer - beispielsweise aus einem Internetcafé während des Urlaubs - ab
Installation - "Never accept software from strangers" - nur von Herstellerseite!
Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
-> Was sind Rogue Antivirenprogramme?/Rogue Antivirus. Wikipedia
-> Ein Antivirenprogramm und 1 Firewall (richtig konfiguriert), mehr braucht ein Otto-Normal-User nicht.
Lizenzvereinbarung lesen und akzeptieren
Verzichte möglichst auf zusätzlich angebotene Programme auch Toolbars etc! Es soll möglich sein den Haken, durch Klick auf das Kästchen zu entfernen
Aus finanzielle Interessen (durch Sponsoren), werden oft Adware , sog. Partnerprogramme, div. Browserhelper, Toolbars und andere unnütze Programme, mit oder ohne ausdrückliches Einverständnis des Users "mitinstalliert" oder angeboten. Prüfe in regelmäßigen Abständen alle auf dem System installierten Programme und im Browser die "Erweiterungen, nicht zulätzt deine bevorzugte Webseite als Startseite!
Datensicherung/Vorbeugung[/color - Malwarebefall & wenn Windows nicht mehr hochkommt:
Eine regelmäßige Datensicherung erleichtert nicht nur ein eventuell notwendig gewordenes Neuaufsetzen des Systems nach einem Malwarebefall sondern beugt auch dem Datenverlust durch defekte Festplatten vor. Das System kann auf verschiedenster Art manipuliert worden sein, Malware kann von gehackten Webseiten kommen, über USB-Sticks und MP3-Player von Freunden, gebrannten CD´s usw. und das "Böse" muss auch nicht erst seit heute auf dem Rechner sein! Erstelle ein Backup nur, wenn der Rechner absolut 100%ig sauber ist! Eventuell Lass dich vorher fachmännisch beraten.
-> Kostenlose Anwendungsprogramme, falls mal was schiefgeht, damit du mit eigenen Mitteln schnell und einfach formatieren und neu aufsetzen kannst - Sichern von System, Programmen und Nutzdaten - Einrichten von Partitionen
-> Datensicherung und Archivierung► Acronis® True Image Home 2012
Virusmeldung - War das jetzt ein Fehlaram oder eine echte Trojanermeldung?
Funde nie gleich löschen lassen, sondern "Verweigern" oder Quarantäne wählen!
- Danach unter Eigenschaften nach Herkunft schauen, und bei Virustotal prüfen lassen um eine zweite Meinung einzuholen
- Für weitere Vorgehen erkundige dich lieber bei Fachleuten!
Lizenzkosten sparen? - Vorsicht bei Dateien/Programmen aus nicht vertrauenswürdigen Quellen! - "full Keygen, Crack, Serial, Warez, keygenerators" etc.
Sind immer verseucht mit diverse Malware/Schadprogramme/Code, es gibt keine seite wo Viren frei ist. (Man sollte nicht absitlich der Teufel holen;)) Eine weitere höchst unsichere Quelle ist das File-Sharing der sog. (Musik-)Tauschbörsen.
► Ausserdem machst Du dich damit strafbar!
Bei "ernsten" Malware Infektionen sollte das Betriebssystem neuaufgesetzt werden!
Wenn ein System *kompromittiert*, sollte neu augesetzt werden!
Um es kurz auszudrücken:
Auf einem abgestorbenen Apfelbaum werden im Nachhinein keine gesunden Äpfel mehr wachsen!

Empfehlenswerte "CHECKer-TOOLs" (Freeware) für Windows -> (sysinternals - (Windows Sysinternals):

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner - Anleitungen

gruß
kira

[LKLJD]

Vielen vielen Dank !!!


2.

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\lkl\Desktop\cmd.bat deleted successfully.
C:\Users\lkl\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: lkl
->Temp folder emptied: 74766 bytes
->Temporary Internet Files folder emptied: 1959069 bytes
->Java cache emptied: 2027 bytes
->FireFox cache emptied: 35630083 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
 
User: lklades
->Temp folder emptied: 50966 bytes
->Temporary Internet Files folder emptied: 12530268 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 204504 bytes
 
Total Files Cleaned = 48,00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 07252012_104113

Ciao,
LKL