Ausgabe 5/2013

Verwirklciher · #1 05.07.2012, 16:53

Zitat:

Zitat von Swisstreasure

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.

Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.

Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Bitte kein Crossposting ( posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.

Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Instructions.

Mach folgende Schritte auf einem sauberen Rechner:

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD auf dem infizierten Rechner

Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo zusammen - mich hats auch erwischt :-(

Habe die software über meinen LapTop runtergeladen, die CD gebrannt und den infizierten PC damit gestartet / gebootet.

Der Reatogo-X-pe Desktop erscheint. Ich habe das OTLPE Icon doppelgklickt. Dann kommt ein Fenster: "choose windows directory". Egal, was ich auswähle, es kommt die Fehlermeldung: "Target ist not windows 200 or later".
Was mache ich falsch? Mein PC hat windows vista. Hat das etwas damit zu tun?

Danke für Eure Hilfe!
Gruss

Swisstreasure · #2 06.07.2012, 19:50

Du sollst die Systempartition auswählen.

Verwirklciher · #3 07.07.2012, 09:09

Hi Swiss

Ich hab beide Partizionen laufen gelassen und den fix-text reinkopiert und Run fix laufen lassen. Neu gestartet - das klappt 10 Sekunden, dann kommt wieder die Sperre.

Wie weiter?

Danke für Deine Hilfe.

Swisstreasure · #4 07.07.2012, 14:49

Du musst kein Text reinkopieren!!

Sondern genau nach Anleitung ausführen:

OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.

Verwirklciher · #5 08.07.2012, 10:38

Das meinte ich - sorry - ich habe run scan laufen gelassen.

bei jemand anderem im Forum wurde ein Text angegeben, welcher danach in das Feld Custom Scans/Fixes eingegeben werden soll. Dann funktioniert der wohl nicht für alle gleich?

Naja egal - wenn ich das richtig verstehe, dann muss ich jetzt die beiden Scan Resultate hier reinkopieren. Werd ich gleich mal machen...

Verwirklciher · #6 08.07.2012, 10:42

OTL logfile created on: 7/8/2012 7:33:12 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 8.0.6001.19272)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 145.80 Gb Total Space | 93.48 Gb Free Space | 64.11% Space Free | Partition Type: NTFS
Drive H: | 145.46 Gb Total Space | 41.83 Gb Free Space | 28.76% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand] -- -- (WPFFontCache_v0400)
SRV - File not found [Auto] -- -- (Polar Daemon)
SRV - File not found [Auto] -- -- (nvsvc)
SRV - File not found [On_Demand] -- -- (MozillaMaintenance)
SRV - File not found [Auto] -- -- (gusvc)
SRV - File not found [Auto] -- -- (FontCache)
SRV - File not found [Auto] -- -- (clr_optimization_v4.0.30319_32)
SRV - File not found [Auto] -- -- (Apple Mobile Device)
SRV - File not found [Auto] -- -- (ANIWConnService)
SRV - File not found [Auto] -- -- (AMD External Events Utility)
SRV - File not found [On_Demand] -- -- (AdobeFlashPlayerUpdateSvc)
SRV - [2009/03/05 10:17:20 | 000,108,289 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/03/02 06:10:26 | 000,185,089 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/01/26 09:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
SRV - [2008/01/19 03:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/19 03:36:20 | 000,019,968 | ---- | M] (Microsoft Corporation) [Auto] -- H:\Windows\System32\seclogon.dll -- (seclogon)
SRV - [2008/01/19 03:36:14 | 000,243,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- H:\Windows\System32\qwave.dll -- (QWAVE)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (usbser)
DRV - File not found [Kernel | Auto] -- -- (SSPORT)
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] -- -- (netr28u)
DRV - File not found [Kernel | On_Demand] -- -- (Netaapl)
DRV - File not found [Kernel | On_Demand] -- -- (IpInIp)
DRV - File not found [Kernel | Auto] -- -- (DgiVecp)
DRV - File not found [Kernel | System] -- -- (cbfs3)
DRV - File not found [Kernel | On_Demand] -- -- (AtiHdmiService)
DRV - File not found [Kernel | System] -- -- (anodlwf)
DRV - [2009/02/13 08:22:50 | 000,095,576 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/02/13 05:49:58 | 000,028,376 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 05:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/02/13 05:31:22 | 000,055,640 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2007/10/14 12:30:50 | 000,101,376 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\Windows\System32\drivers\ACEDRV07.sys -- (ACEDRV07)
DRV - [2007/03/22 13:47:00 | 007,467,104 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2007/03/14 10:04:28 | 002,427,392 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVer sion\Internet Settings: "ProxyEnable" = 0

Verwirklciher · #7 08.07.2012, 10:44

IE - HKU\Valentin_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/
IE - HKU\Valentin_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ch.msn.com/default.aspx?ocid=iehp
IE - HKU\Valentin_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-ch
IE - HKU\Valentin_ON_H\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 98 06 2C 17 23 E1 CC 01 [binary data]
IE - HKU\Valentin_ON_H\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Valentin_ON_H\Software\Microsoft\Windows\Curre ntVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Valentin_ON_H\Software\Microsoft\Windows\Curre ntVersion\Internet Settings: "ProxyOverride" = *.local

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.1: File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.1: File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: File not found

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extens ions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord\firefox\ext
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/05/02 10:51:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/05/02 10:51:49 | 000,000,000 | ---D | M]

[2008/09/12 16:55:28 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2008/11/17 15:32:38 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2008/11/17 15:32:38 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2008/11/17 15:32:38 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2008/11/17 15:32:38 | 000,000,986 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2008/11/17 15:32:38 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009/05/24 06:09:12 | 000,306,482 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 10551 more lines...
O2 - BHO: (SnagIt Toolbar Loader) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - File not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - File not found
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Virtual Storage Mount Notification) - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - File not found
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - File not found
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - File not found
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - File not found
O3 - HKU\Valentin_ON_H\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\Valentin_ON_H\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] File not found
O4 - HKLM..\Run: [ANIWZCS2Service] File not found
O4 - HKLM..\Run: [AppleSyncNotifier] File not found
O4 - HKLM..\Run: [APSDaemon] File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CLX3180_Scan2Pc] File not found
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [D-Link D-Link Wireless N DWA-140] File not found
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [FreePDFAssistent] File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [PDFPrint] File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] File not found
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WZCSLDR2] File not found
O4 - HKU\LocalService_ON_H..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_H..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\Valentin_ON_H..\Run: [] File not found
O4 - HKU\Valentin_ON_H..\Run: [Badoo Desktop] File not found
O4 - HKU\Valentin_ON_H..\Run: [iioqzotivxgwdpj] File not found
O4 - HKU\Valentin_ON_H..\Run: [MobileDocuments] File not found
O4 - Startup: Error locating startup folders.
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 10.4.1)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 10.4.1)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O21 - SSODL: EldosMountNotificator - {5FF49FE8-B332-4CB9-B102-FB6951629E55} - File not found
O22 - SharedTaskScheduler: {5FF49FE8-B332-4CB9-B102-FB6951629E55} - Virtual Storage Mount Notification - File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - H:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2012/07/06 20:21:23 | 000,000,000 | ---D | C] -- C:\_OTL
[2007/09/08 07:54:28 | 000,016,384 | ---- | C] ( ) -- C:\Windows\System32\ClearEvent.exe
[2007/05/06 19:07:10 | 000,053,248 | ---- | C] ( ) -- C:\Windows\System32\Interop.Shell32.dll

========== Files - Modified Within 30 Days ==========

========== Files Created - No Company Name ==========

Verwirklciher · #8 08.07.2012, 10:44

[2009/05/24 07:03:49 | 000,000,109 | ---- | C] () -- C:\Windows\wininit.ini
[2009/05/24 06:08:30 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2009/05/17 08:15:20 | 000,000,000 | ---- | C] () -- C:\ProgramData\93919256.ini
[2009/01/30 03:39:26 | 000,024,206 | ---- | C] () -- C:\Users\Valentin\AppData\Roaming\UserTile.png
[2009/01/29 18:08:21 | 000,106,605 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/01/29 18:08:21 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.b in
[2008/12/08 11:24:37 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2008/12/08 11:24:37 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2008/12/07 06:22:42 | 000,000,212 | ---- | C] () -- C:\Windows\Brpfx04a.ini
[2008/12/07 06:22:42 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini
[2008/12/07 06:22:42 | 000,000,050 | ---- | C] () -- C:\Windows\System32\bridf07a.dat
[2008/12/07 06:19:59 | 000,000,000 | ---- | C] () -- C:\Windows\brdfxspd.dat
[2008/12/07 06:16:53 | 000,031,664 | ---- | C] () -- C:\Windows\maxlink.ini
[2008/12/07 06:07:27 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2008/12/07 06:07:27 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2008/09/12 16:45:16 | 000,016,070 | ---- | C] () -- C:\Windows\German2.ini
[2008/09/12 16:45:14 | 000,446,464 | ---- | C] () -- C:\Windows\System32\Tx32.dll
[2008/09/12 16:45:14 | 000,000,151 | ---- | C] () -- C:\Windows\System32\ic32.ini
[2008/05/19 06:27:46 | 000,000,022 | ---- | C] () -- C:\ProgramData\60a7806a-0eea-424c-a464-20f4730cd631
[2008/04/02 15:02:20 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2008/01/15 13:48:59 | 000,000,032 | ---- | C] () -- C:\ProgramData\ezsid.dat
[2007/12/05 13:19:44 | 000,066,872 | ---- | C] () -- C:\Windows\System32\PnkBstrA.exe
[2007/12/05 13:19:42 | 000,022,328 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys
[2007/12/05 11:28:35 | 000,103,736 | ---- | C] () -- C:\Windows\System32\PnkBstrB.exe
[2007/11/15 14:24:58 | 000,000,276 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2007/11/11 03:27:53 | 000,025,088 | ---- | C] () -- C:\Users\Valentin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/10/24 13:13:43 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2007/10/23 16:16:47 | 000,036,477 | ---- | C] () -- C:\ProgramData\LUUnInstall.LiveUpdate
[2007/10/07 03:52:35 | 000,000,084 | ---- | C] () -- C:\Users\Valentin\AppData\Roaming\wklnhst.dat
[2007/09/27 12:29:24 | 000,045,163 | ---- | C] () -- C:\Windows\System32\javaw.exe
[2007/09/27 12:29:23 | 000,045,161 | ---- | C] () -- C:\Windows\System32\java.exe
[2007/09/27 12:28:21 | 000,001,358 | ---- | C] () -- C:\Windows\HBCIKRNL.INI
[2007/09/08 07:55:22 | 000,000,044 | ---- | C] () -- C:\Windows\Acer(Normal).ini
[2007/09/08 07:55:22 | 000,000,042 | ---- | C] () -- C:\Windows\Acer(Wide).ini
[2007/09/08 07:54:28 | 000,016,384 | ---- | C] () -- C:\Windows\System32\LauncheRyAgentUser.exe
[2007/09/08 07:45:33 | 000,000,680 | ---- | C] () -- C:\Users\Valentin\AppData\Local\d3d9caps.dat
[2007/08/23 12:30:00 | 000,007,680 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2007/05/07 04:41:16 | 000,001,024 | RH-- | C] () -- C:\Windows\System32\NTIBUN4.dll
[2007/05/07 03:22:38 | 000,000,834 | ---- | C] () -- C:\Windows\generic.ini
[2007/05/07 03:22:38 | 000,000,123 | ---- | C] () -- C:\Windows\Alaunch.ini
[2007/05/07 03:22:34 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2007/05/07 03:22:34 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2007/05/07 03:22:34 | 000,143,676 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2007/05/06 19:07:10 | 000,331,776 | ---- | C] () -- C:\Windows\System32\ScrollBarLib.dll
[2007/02/06 17:58:10 | 000,204,800 | ---- | C] () -- C:\Windows\System32\NotesActnMenu.dll
[2007/02/06 17:57:58 | 000,266,240 | ---- | C] () -- C:\Windows\System32\NotesExtmngr.dll
[2007/02/06 17:57:20 | 000,086,016 | ---- | C] () -- C:\Windows\System32\MSNSpook.dll
[2007/02/06 17:56:30 | 000,028,672 | ---- | C] () -- C:\Windows\System32\BatchCrypto.dll
[2007/02/06 17:56:28 | 000,073,728 | ---- | C] () -- C:\Windows\System32\APISlice.dll
[2007/02/06 17:52:08 | 000,063,488 | ---- | C] () -- C:\Windows\System32\ShowErrMsg.dll
[2006/12/25 09:44:48 | 000,022,016 | ---- | C] () -- C:\Windows\System32\MailFormat_U.dll
[2006/11/12 23:50:06 | 000,071,680 | ---- | C] () -- C:\Windows\System32\HTCA_SelfExtract.bin
[2006/11/02 11:33:31 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2006/11/02 11:33:31 | 000,192,150 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2006/11/02 11:33:31 | 000,055,170 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2006/11/02 11:33:31 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,409,552 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,313,928 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,040,532 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:33:50 | 001,868,868 | ---- | C] () -- C:\Windows\System32\RSA32_16.DLL
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2004/11/19 08:46:36 | 000,040,448 | ---- | C] () -- C:\Windows\System32\snsign32.dll
[2004/11/19 08:46:36 | 000,040,448 | ---- | C] () -- C:\Windows\snsign32.dll
[2002/06/28 10:49:06 | 000,053,248 | ---- | C] () -- C:\Windows\npsign32.dll
[2002/06/28 10:49:00 | 000,032,768 | ---- | C] () -- C:\Windows\iesign32.dll
[2001/12/26 09:12:30 | 000,065,536 | ---- | C] () -- C:\Windows\System32\multiplex_vcd.dll
[2001/09/03 16:46:38 | 000,110,592 | ---- | C] () -- C:\Windows\System32\Hmpg12.dll
[2001/07/30 09:33:56 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC.dll
[2001/07/23 15:04:36 | 000,118,784 | ---- | C] () -- C:\Windows\System32\HMPV2_ENC_MMX.dll
[2001/02/14 13:12:54 | 000,086,016 | ---- | C] () -- C:\Windows\jpkcs11.dll
[2001/02/08 19:18:42 | 000,155,648 | ---- | C] () -- C:\Windows\signlite.dll
[2001/01/31 14:37:10 | 000,028,672 | ---- | C] () -- C:\Windows\pcsc.dll
[2001/01/18 05:55:44 | 000,053,248 | ---- | C] () -- C:\Windows\mscapi.dll
[2000/12/05 12:08:02 | 000,075,264 | ---- | C] () -- C:\Windows\jct.dll
[2000/09/18 06:03:00 | 000,140,800 | ---- | C] () -- C:\Windows\ubssmart.dll

========== LOP Check ==========

[2009/03/19 10:36:09 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\.Kanton ZH
[2009/04/13 11:33:43 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\dvdfly Player
[2009/01/30 03:39:25 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\PeerNetworking
[2008/07/11 14:43:24 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\RTPlayer
[2007/12/29 20:40:41 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\SecondLife
[2009/05/22 05:04:13 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\TeamViewer
[2007/10/07 03:53:18 | 000,000,000 | ---D | M] -- C:\Users\Valentin\AppData\Roaming\Template
[2009/05/22 11:56:52 | 000,000,000 | -HSD | M] -- C:\Users\Valentin\AppData\Roaming\wsnpoem
[2009/05/22 07:03:05 | 000,000,000 | ---D | M] -- C:\ProgramData\13909264
[2009/05/22 08:22:25 | 000,000,000 | ---D | M] -- C:\ProgramData\93919256
[2007/09/08 07:42:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2007/09/08 07:42:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2007/05/06 19:13:25 | 000,000,000 | ---D | M] -- C:\ProgramData\eSobi
[2007/09/08 07:42:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2009/05/11 15:03:43 | 000,000,000 | ---D | M] -- C:\ProgramData\FreePDF
[2007/09/09 08:17:28 | 000,000,000 | ---D | M] -- C:\ProgramData\NFS Underground
[2008/07/08 14:55:00 | 000,000,000 | ---D | M] -- C:\ProgramData\RapidSolution
[2008/12/12 08:40:20 | 000,000,000 | ---D | M] -- C:\ProgramData\ScanSoft
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2007/09/08 07:42:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2007/09/08 07:42:47 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2009/05/24 10:14:29 | 000,032,574 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========

< End of report >

Verwirklciher · #9 08.07.2012, 11:24

Halt mich für verrückt, aber jetzt wird nur ein Report angezeigt - der, den ich oben bereits eingefügt habe. Habs 2-3 mal probiert - auch nochmal runtergefahren und erneut gescannt...
das soll noch einer verstehen.

Swisstreasure · #10 08.07.2012, 12:29

Schritt 1

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL
O3 - HKU\Valentin_ON_H\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\Valentin_ON_H\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM]  File not found
O4 - HKLM..\Run: [Adobe Reader Speed Launcher]  File not found
O4 - HKLM..\Run: [ANIWZCS2Service]  File not found
O4 - HKLM..\Run: [AppleSyncNotifier]  File not found
O4 - HKLM..\Run: [APSDaemon]  File not found
O4 - HKLM..\Run: [CLX3180_Scan2Pc]  File not found
O4 - HKLM..\Run: [D-Link D-Link Wireless N DWA-140]  File not found
O4 - HKLM..\Run: [FreePDFAssistent]  File not found
O4 - HKLM..\Run: [PDFPrint]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched]  File not found
O4 - HKLM..\Run: [WZCSLDR2]  File not found
O4 - HKU\Valentin_ON_H..\Run: []  File not found
O4 - HKU\Valentin_ON_H..\Run: [Badoo Desktop]  File not found
O4 - HKU\Valentin_ON_H..\Run: [iioqzotivxgwdpj]  File not found
O4 - HKU\Valentin_ON_H..\Run: [MobileDocuments]  File not found
:Commands
[purity]
[emptytemp]

Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
Schließe alle Programme.
Klicke auf den Fix Button.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Schritt 2

Kannst Du wider Normal Booten?

Wenn ja dann:

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln