Internetbrowser kommen nicht ins internet

[Valerie]

Hallo,

Ich hatte gerade Glück, dass mein Internetbrowser (Firefox 12) es zugelassen hat, diesen Thread zu schreiben.
Folgendes:

Seit der IPv6-Umstellung (wenn sie denn schon war) spinnen meine Internetbrowser.
Ich komme nur unter Mühe und langem warten auf meine Startseite (duckduckgo.com).
Alle anderen Programme, die mit Internet zu tun haben, gehen, z.B. Skype.


Beispielszene:

Ich bin im Internet mit Firefox, chatte nebenbei mit Skype, und Thunderbird ist am laufen. Skype und Thunderbird haben eine Stabile Internetverbindung, Firefox nicht. Es dauert mehr als 30 minuten, eh ich z.B. Hijackthis-forums.de geladen habe.


Ich benutze keine Proxies. Das Problem besteht bei Google Chrome auch, also kann es nicht an Firefox liegen.
Außerdem kommt meine Mutter mit ihrem Laptop, der auch Windows 7 64-Bit hat, problemlos ins Internet.

Wir haben eine Verbindung mit 232kbit/s download und 43kbit/s upload. Daran kann es auch nicht liegen.
In der Firewall habe ich auch nachgesehen, es gibt keine Blockierungen bezüglich der Browser...

[Petra]

Hallo Valerie,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

Dann schauen wir uns Dein System besser mal näher an, irgendwo muss ja der Hase im Pfeffer liegen



===== Punkt 1 =====

Gab es Viren-Meldungen vom AV-Programm?

Wenn Dein Anti-Virus-Programm Malware gefunden hat, schreibe uns möglichst genau die Namen der Funde auf, und in welchem Pfad sie sich befinden/befanden. An die nötigen Informationen kommst Du über die Logs/Berichte bzw. den Quarantäne-Ordner Deines Antiviren-Programms.


===== Punkt 2 =====

Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf)

Lade Malwarebytes Anti-Malware (ca. 8 MB) von einem dieser Downloadspiegel herunter:

FilePony.de - MajorGeeks.com - BestTechie

• Anwendbar auf Windows 2000, XP, Vista und Windows 7.
• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista und Windows 7 das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Vollständigen Suchlauf durchführen" => Scan.
• Wähle alle verfügbaren Laufwerke aus und starte den Scan.
• Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Logdateien" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.


===== Punkt 3 =====

Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
  Mache hier zusätzlich einen Haken bei "Scanne alle Benutzer".
• User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan".
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
• Sofern Dein realer Nachname Bestandteil des Benutzernamens ist:
  anonymisiere diesen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
  Vornamen oder sonstige Usernamen brauchen nicht anonymisiert werden.
  Beispiel: Lieschen Müller - hier Müller durch ***** ersetzen.
  Ist der Benutzername nur Lieschen kann er so bleiben, wie er ist.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

[Valerie]

Hallo Petra,

zum ersten Punkt kann ich dir antworten: Nein, mein Antivirenprogramm hat keinerlei Viren bzw. Malware in der Quarantäne. Es gab auch (bisher) keinerlei Meldungen.

Die nächsten Punkte muss ich dann später abarbeiten.


PS: Ich schreibe gerade von einem anderen Laptop. Funzt perfekt. Wird nur ein wenig schwierig werden, die ganzen Daten mit dem USB-Stick zu "transportieren".

[Petra]

Hallo Valerie,

so, wie ich Dich kenne kriegst Du das schon hin

[Valerie]

Hallo Petra,

Hier das Logfile von Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Henrik :: MILA [Administrator]

16.06.2012 12:15:05
mbam-log-2012-06-16 (12-15-05).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen:
Durchsuchte Objekte: 533588
Laufzeit: 1 Stunde(n), 26 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Bisher läuft das Internet nach einer "Aufwärmphase". Aber in den späten Abendstunden (22 Uhr und später) geht es wiederum nicht mehr.
Habe auch unter anderem bemerkt, dass ich ein Programm für das Surfen im Internet deinstalliert habe (Intel PROSet Wireless). Ohne das Programm konnte ich zwar nicht über WLAN ins Internet, aber mit einer LAN-Verbidung hat es die selben Auswirkungen gehabt.

Schritt 2: Im Anhang.

[Petra]

Hallo Valerie,


===== Punkt 1 =====

ist Sandra von Sisoft noch installiert? Falls ja, bitte deinstallieren.
Und alte Java-Versionen müssen deinstalliert werden: Java(TM) 7 Update 2 (64-bit)

Bitte auch noch deinstallieren: Free Ride Games\GPlayer.exe und Unity Web Player
Und falls BitTorrent noch installiert ist, ebenfalls deinstallieren.

DaemonTools bitte auch noch, muss runter, siehe Punkt 6



===== Punkt 2 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge. Vor allem nehme ich mal die ganzen im Firefox eingetragenen Proxy-Einstellungen raus.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-4129386300-1563012868-1195755936-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-4129386300-1563012868-1195755936-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..network.proxy.autoconfig_url: "41.158.128.221"
FF - prefs.js..network.proxy.backup.ftp: "203.42.246.231"
FF - prefs.js..network.proxy.backup.ftp_port: 80
FF - prefs.js..network.proxy.backup.socks: "203.42.246.231"
FF - prefs.js..network.proxy.backup.socks_port: 80
FF - prefs.js..network.proxy.backup.ssl: "203.42.246.231"
FF - prefs.js..network.proxy.backup.ssl_port: 80
FF - prefs.js..network.proxy.ftp: "203.42.246.231"
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.http: "203.42.246.231"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "203.42.246.231"
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.socks_version: 4
FF - prefs.js..network.proxy.ssl: "203.42.246.231"
FF - prefs.js..network.proxy.ssl_port: 80
FF - prefs.js..network.proxy.type: 4
FF - user.js - File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_257.dll File not found
FF - HKLM\Software\MozillaPlugins\@exent.com/npExentCtl,version=7.0.0.0: C:\Program Files (x86)\Free Ride Games\npExentCtl.dll File not found
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\.DEFAULT..\Run: [Exetender] "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup File not found
O4 - HKU\S-1-5-18..\Run: [Exetender] "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup File not found
O4 - HKU\S-1-5-19..\Run: [Exetender] "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup File not found
O4 - HKU\S-1-5-20..\Run: [Exetender] "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}  (ExentInf Class)

:Services
SANDRA

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{474247E7-C1A2-4DB6-94C6-34057EE8B231}"=-

:Files
ipconfig /flushdns /c
C:\Program Files\SiSoftware
C:\Users\Henrik\AppData\Local\{*}
C:\Users\Henrik\AppData\Roaming\BitTorrent
C:\Windows\SysNative\ehefrau - video-nackt,hure,nutte,gefickt,wife,ehefrau,hure und mutter,nutte,bitch,germany,sau,ficken,fuck,100%,real,sperm,sperma,sau,heimlich,bilder,pics,echt,beine,strapse,nylon,legs,married,049.jpg.lnk
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite
C:\Program Files (x86)\Free Ride Games

:Commands
[purity]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



===== Punkt 3 =====

Benutzerkontensteuerung aktivieren (Windows 7)

Die Benutzerkontensteuerung unter Windows 7 ist simpel ausgedrückt Deine Versicherung, dass Programme nicht irgendetwas installieren oder am System verändern können, ohne dass Du Deine Zustimmung dazu gibst. Manche User mögen die Requester als lästig empfinden, aber unter Windows 7 kann man sie sehr flexibel einstellen. Sie ganz abzuschalten, ist eine sehr große Sicherheitslücke - und genau das ist bei Dir der Fall.

Benutzerkontensteuerung unter Windows 7 aktivieren

Start => ins Suchfeld reinschreiben => msconfig
Es öffnet sich das das Fenster der Systemkonfiguration
Wähle den Reiter Tools => UAC-Einstellungen ändern => Starten

Ziehe den Schieberegler mindestens auf die Stufe 2 (von unten gesehen) => ok.
Damit hast Du relativ wenig "Rückfragen", bist aber nicht völlig ungeschützt.



===== Punkt 4 =====

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken.

Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen.

Wenn das Ergebnis vorliegt, kopiere mir den Ergebnis-Link (aus der Adresszeile des Browsers) hier in den Thread.

Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen!

Code:

C:\Windows\SysNative\acovcnt.exe

===== Punkt 5 =====

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :dir
  C:\Windows\de /s
  C:\Windows\en /s
  C:\Windows\el /s
  C:\Windows\es /s
  C:\Windows\fr /s
  C:\Windows\he /s
  C:\Windows\it /s
  C:\Windows\nl /s
  C:\Windows\ru /s
  C:\Windows\ar /s
  C:\Users\Henrik\AppData\Roaming\.mono /s
  C:\ProgramData\.mono /s
  C:\Users\Henrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\discreet /s

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 6 =====

MBR mit aswMBR von Avast prüfen

Wichtig:
Deinstalliere über Systemsteuerung => Software/Programme vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche, da sie das Ergebnis verfälschen können.

Lade (falls noch nicht vorhanden) aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Es werden die aktuellen Signaturen von Avast heruntergeladen.
Stelle unten links im Kästchen AV-Scan auf Quickscan ein.
Haken lassen bei Trace disk IO calls.

Alle anderen Programme schließen.
Während des Scans nichts mehr am Computer machen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.txt vom Desktop hier in den Thread.

Bitte zunächst keine Änderungen vornehmen, also weder Fix noch FixMBR drücken.

Falls es sich um einen Laptop oder einen Computer mit vorinstalliertem Windows handelt, schreibe mir bitte genau den Typ auf. Bei Laptops mit vorinstalliertem Windows sollte auf keinen Fall der MBR mit diesem Tool gefixt werden, da dadurch unter Umständen nicht mehr auf die Recovery-Partition zugegriffen werden kann.

Wichtiger Hinweis: Auf keinen Fall MBRFix durchführen, wenn Du:

1. einen Laptop mit einer Recovery-Partition hast (diese kann danach nicht mehr angewählt werden).
2. noch andere Betriebssysteme, wie z. B. Linux installiert hast (Linux kann dann nicht mehr gebootet werden).
3. mit einem Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte durchgeführt hast (Daten werden unlesbar).

Info: Was ist eigentlich ein MBR?

[Valerie]

Punkt 1:
Alle aufgelisteten programme deinstalliert, bis auf dieses "Free Ride Games", das findet Windows nicht (mehr).

Punkt 2:
Hier das Logfile:

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
HKEY_USERS\S-1-5-21-4129386300-1563012868-1195755936-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\S-1-5-21-4129386300-1563012868-1195755936-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "41.158.128.221" removed from network.proxy.autoconfig_url
Prefs.js: "203.42.246.231" removed from network.proxy.backup.ftp
Prefs.js: 80 removed from network.proxy.backup.ftp_port
Prefs.js: "203.42.246.231" removed from network.proxy.backup.socks
Prefs.js: 80 removed from network.proxy.backup.socks_port
Prefs.js: "203.42.246.231" removed from network.proxy.backup.ssl
Prefs.js: 80 removed from network.proxy.backup.ssl_port
Prefs.js: "203.42.246.231" removed from network.proxy.ftp
Prefs.js: 80 removed from network.proxy.ftp_port
Prefs.js: "203.42.246.231" removed from network.proxy.http
Prefs.js: 80 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "203.42.246.231" removed from network.proxy.socks
Prefs.js: 80 removed from network.proxy.socks_port
Prefs.js: 4 removed from network.proxy.socks_version
Prefs.js: "203.42.246.231" removed from network.proxy.ssl
Prefs.js: 80 removed from network.proxy.ssl_port
Prefs.js: 4 removed from network.proxy.type
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@exent.com/npExentCtl,version=7.0.0.0\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\IntelTBRunOnce not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Exetender deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Exetender not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\\Exetender deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\\Exetender deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Starting removal of ActiveX control {6A060448-60F9-11D5-A6CD-0002B31F7455}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
========== SERVICES/DRIVERS ==========
Service SANDRA stopped successfully!
Service SANDRA deleted successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{474247E7-C1A2-4DB6-94C6-34057EE8B231} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{474247E7-C1A2-4DB6-94C6-34057EE8B231}\ not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Henrik\Desktop\cmd.bat deleted successfully.
C:\Users\Henrik\Desktop\cmd.txt deleted successfully.
File\Folder C:\Program Files\SiSoftware not found.
C:\Users\Henrik\AppData\Local\{03F80C2B-1C92-4111-A4BA-F4F36EAE20E6} folder moved successfully.
C:\Users\Henrik\AppData\Local\{0508B13E-801D-4332-A9B5-278A03BB9532} folder moved successfully.
C:\Users\Henrik\AppData\Local\{05509D7C-E595-4DCE-8C5A-E83448F6805B} folder moved successfully.
C:\Users\Henrik\AppData\Local\{0A0252E6-33D1-4F21-8A05-C246198A53B5} folder moved successfully.
C:\Users\Henrik\AppData\Local\{18EC2FAA-E9A3-4526-9E7D-FA34D59B3B77} folder moved successfully.
C:\Users\Henrik\AppData\Local\{2A1D60F1-4CF0-4F06-BB74-D29FB5475B34} folder moved successfully.
C:\Users\Henrik\AppData\Local\{46D5EA60-B174-4F9A-8685-85D7A6E28131} folder moved successfully.
C:\Users\Henrik\AppData\Local\{6A91F7D0-FD96-46CF-9F12-93E25B9F184A} folder moved successfully.
C:\Users\Henrik\AppData\Local\{87E46065-61E3-4269-ADFB-426CB4815040} folder moved successfully.
C:\Users\Henrik\AppData\Local\{8DEFACEF-D58D-4FEE-8486-E7D688585B97} folder moved successfully.
C:\Users\Henrik\AppData\Local\{8EC8CF35-846E-4A11-8EBC-F91EA693563F} folder moved successfully.
C:\Users\Henrik\AppData\Local\{950868E3-6E4F-4079-90A1-BF289DB49F30} folder moved successfully.
C:\Users\Henrik\AppData\Local\{A817C2A6-E494-49F1-AC8E-303151C66C7C} folder moved successfully.
C:\Users\Henrik\AppData\Local\{B0C2BE79-850B-417C-8101-285575C479CC} folder moved successfully.
C:\Users\Henrik\AppData\Local\{BAEE3015-412A-4AD2-97DE-DC21419439D7} folder moved successfully.
C:\Users\Henrik\AppData\Local\{DC949629-5C57-4D1C-9C0A-487A091D43C1} folder moved successfully.
C:\Users\Henrik\AppData\Local\{DEC5B175-D9FF-4DD7-A84B-3A373EB6D43C} folder moved successfully.
C:\Users\Henrik\AppData\Local\{E0763661-E080-4F30-A633-4136185EA882} folder moved successfully.
C:\Users\Henrik\AppData\Local\{E1458AFF-3AB0-4F0F-8924-6F37068DEA7A} folder moved successfully.
C:\Users\Henrik\AppData\Local\{E673AE14-718C-46AC-B983-42D27CABA78F} folder moved successfully.
C:\Users\Henrik\AppData\Roaming\BitTorrent\ie folder moved successfully.
C:\Users\Henrik\AppData\Roaming\BitTorrent\dlimagecache folder moved successfully.
C:\Users\Henrik\AppData\Roaming\BitTorrent\apps folder moved successfully.
C:\Users\Henrik\AppData\Roaming\BitTorrent folder moved successfully.
C:\Windows\SysNative\ehefrau - video-nackt,hure,nutte,gefickt,wife,ehefrau,hure und mutter,nutte,bitch,germany,sau,ficken,fuck,100%,real,sperm,sperma,sau,heimlich,bilder,pics,echt,beine,strapse,nylon,legs,married,049.jpg.lnk moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\lib\jqplot folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\lib\datejs folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\lib folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\app\MediaInfo\PageManager folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\app\MediaInfo\Page folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\app\MediaInfo folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\app\DT folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js\app folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\js folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\img folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo\css folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\MediaInfo folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite\IconsCache folder moved successfully.
C:\Users\Henrik\AppData\Roaming\DAEMON Tools Lite folder moved successfully.
File\Folder C:\Program Files (x86)\Free Ride Games not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Henrik
->Temp folder emptied: 4104638 bytes
->Temporary Internet Files folder emptied: 1541674 bytes
->Java cache emptied: 1728470 bytes
->FireFox cache emptied: 51911123 bytes
->Google Chrome cache emptied: 1905008 bytes
->Flash cache emptied: 1058 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: UpdatusUser.MILA
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 24882 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50568 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 639 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 60,00 mb
 
 
OTL by OldTimer - Version 3.2.48.0 log created on 06162012_181236

Files\Folders moved on Reboot...
C:\Users\Henrik\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\_avast_\Webshlock.txt not found!

Registry entries deleted on Reboot...

Punkt 3:
Erledigt.

Punkt 4:
Überprüft und sie ist nicht schädlich.

Punkt 5:

Code:

SystemLook 30.07.11 by jpshortstuff
Log created at 18:19 on 16/06/2012 by Henrik
Administrator - Elevation successful

========== dir ==========

C:\Windows\de - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 107888 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\en - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 106864 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\el - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 107888 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\es - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 107376 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\fr - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 107376 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\he - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 106352 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\it - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 106864 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\nl - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 107376 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\ru - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 106864 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Windows\ar - Parameters: "/s"

---Files---
WLXPGSS.SCR.mui	--a---- 106352 bytes	[16:45 08/03/2012]	[16:45 08/03/2012]

No folders found.

C:\Users\Henrik\AppData\Roaming\.mono - Parameters: "/s"

---Files---
None found.

C:\Users\Henrik\AppData\Roaming\.mono\certs	d------	[17:42 07/06/2012]

C:\Users\Henrik\AppData\Roaming\.mono\certs\CA	d------	[17:42 07/06/2012]

C:\Users\Henrik\AppData\Roaming\.mono\certs\Trust	d------	[17:42 07/06/2012]

C:\ProgramData\.mono - Parameters: "/s"

---Files---
None found.

C:\ProgramData\.mono\certs	d------	[17:42 07/06/2012]

C:\ProgramData\.mono\certs\Trust	d------	[17:42 07/06/2012]

C:\Users\Henrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\discreet - Parameters: "/s"

---Files---
None found.

C:\Users\Henrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\discreet\gmax	d------	[21:55 27/05/2012]
gmax.lnk	--a---- 610 bytes	[21:55 27/05/2012]	[21:55 27/05/2012]

-= EOF =-

Punkt 6:
Es handelt sich um einen ASUS K53SV SX690V mit einer vorinstallierten Version von Windows 7 Home Premium (auf dem neuestem Stand).
aswMBR:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-16 18:20:54
-----------------------------
18:20:54.836    OS Version: Windows x64 6.1.7601 Service Pack 1
18:20:54.836    Number of processors: 4 586 0x2A07
18:20:54.836    ComputerName: MILA  UserName: 
18:20:56.287    Initialize success
18:20:56.411    AVAST engine defs: 12061600
18:23:20.551    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:23:20.551    Disk 0 Vendor: Hitachi_ JE3O Size: 476940MB BusType: 3
18:23:20.598    Disk 0 MBR read successfully
18:23:20.598    Disk 0 MBR scan
18:23:20.598    Disk 0 Windows 7 default MBR code
18:23:20.614    Disk 0 Partition 1 00     1C Hidd FAT32 LBA MSDOS5.0    25600 MB offset 2048
18:23:20.629    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       246336 MB offset 52430848
18:23:20.661    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       205001 MB offset 556926976
18:23:20.707    Disk 0 scanning C:\Windows\system32\drivers
18:23:42.017    Service scanning
18:24:07.273    Modules scanning
18:24:07.289    Disk 0 trace - called modules:
18:24:07.320    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll 
18:24:07.336    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8009a10060]
18:24:07.336    3 CLASSPNP.SYS[fffff8800185143f] -> nt!IofCallDriver -> [0xfffffa8007b00e40]
18:24:07.351    5 ACPI.sys[fffff88000f9a7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007e04050]
18:24:08.428    AVAST engine scan C:\Windows
18:24:21.891    AVAST engine scan C:\Windows\system32
18:26:55.410    AVAST engine scan C:\Windows\system32\drivers
18:27:03.991    AVAST engine scan C:\Users\Henrik
18:34:18.872    AVAST engine scan C:\ProgramData
18:36:06.562    Scan finished successfully
18:40:42.304    Disk 0 MBR has been saved successfully to "C:\Users\Henrik\Desktop\MBR.dat"
18:40:42.320    The log file has been saved successfully to "C:\Users\Henrik\Desktop\aswMBR.txt"

[Petra]

Hallo Valerie,

wie läuft der Computer jetzt nach dieser Aktion?


===== Punkt 1 =====

Systemscan mit OTL

Erstelle bitte zur Kontrolle erneut OTL-Logfiles, stelle alle Kategorien auf "Benutze Safelist" um und hake oben "Scanne alle Benutzer" an, wie auf folgendem Screenshot zu sehen. User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan". Dann kann ich schauen, ob es noch weitere Reste zu entfernen gibt.



Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

[Petra]

Thread geschlossen

Thread wird mangels Rückmeldung geschlossen, damit ich ihn nicht weiter unter Beobachtung halten muss und aus meinen Abos löschen kann. Wenn Du wieder Zeit zum Weitermachen hast, schicke mir eine PN, ich werde den Thread dann wieder öffnen.