Gastkonto durch Trojaner gekapert

[dampfo]

Liebe Administratoren,

bitte um Hilfe, bei einem PC unserer Jugendgruppe war das offen zugängliche Gastkonto durch einen Trojaner gekapert.
Entsprechend des Themas "Windowssystem blockiert (bezahlen und runterladen)..." vom 12.02.2012 (user Haafid) habe ich den PC wieder gesäubert.

Die dabei entstandenen Logfiles:

Extras.Txt
OTL.Txt
SREngLOG.txt

Was muss ich nun noch tun, um den Rechner wieder komplett sauber zu bekommen?

Vielen Dank im Voraus!!!

Gruß - dampfo

[Petra]

Hallo dampfo,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

Entsprechend des Themas "Windowssystem blockiert (bezahlen und runterladen)..." vom 12.02.2012 (user Haafid) habe ich den PC wieder gesäubert.

Du hast offensichtlich schon eine ganze Reihe an Tools laufen lassen. Es wäre gut, wenn Du mir zeigen könntest, welches Funde von den diversen Tools gemacht wurden. Erst dann kann ich beurteilen, von was der Rechner befallen war und nach evtl. Resten suchen. Hier wären also z. B. auch Logfiles von Malwarebytes, Vipre etc. gut.




===== Punkt 1 =====

Welche Java-Version ist installiert?

Viele Schädlinge kommen über Sicherheitslücken in Java (sog. Exploits) auf ein System. Sofern Java benötigt wird, ist es unbedingt erforderlich, alte Versionen (falls vorhanden) zu deinstallieren und das Risiko zu minimieren, indem Java immer topaktuell gehalten wird.

Da mittlerweise selbst in den aktuellsten Versionen Sicherheitslücken vorhanden sind, Java am besten nur dann installieren, wenn es zwingend benötigt wird. Einige Kollegen haben Java inzwischen komplett deinstalliert und konnten keinerlei Einschränkungen feststellen.

In diesem Artikel von helpster.de wird erklärt, was Java ist und wozu es benötigt wird.

Bei zscaler.com kannst Du testen, ob Deine Java-Version von bekannten Sicherheitslücken betroffen ist. Falls im Firefox das Addon NoScript installiert ist, Skripte auf dieser Seite erlauben.

Alternativ zur Deinstallation können auch einzelne Browser-Plugins deaktiviert werden, siehe Blogeintrag.



Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 9 ist:

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren
ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.
Bei Dir sehe ich:

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7

Die Offline-Version von Java Version 7 Update 9 von Oracle findest Du hier.
Eventuell angebotene Toolbars nicht mitinstallieren, ggfs. also den Haken beim Toolbar-Angebot entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Unter Systemsteuerung (unter Anzeige auf "Kleine Symbole" ändern) => Java

Reiter Allgemein => Temporäre Internetdateien => Einstellungen
Größe des Speicherplatzes für temporäre Dateien auf 200 MB begrenzen

Reiter Update => Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => alle Häkchen setzen => OK




===== Punkt 2 =====

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig (z. B. Toolbars) oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Programme komplett zu deinstallieren.

Toolbars bitte auch in den Chrome- und Firefox-Addons unter Erweiterungen entfernen.

Code:

Ad-Aware Browsing Protection (ist ein Rest des inzwischen offensichtlich deinstallierten Ad-Aware Antivirus-Programmes)
Ask Toolbar (Nero Toolbar)
Free YouTube Download Toolbar
pdfforge Toolbar

Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

Toolbars - Nutzen oder Risiko?

Du hast einige Toolbars installiert, die meisten sind relativ nutzlos. Lese dazu bitte diesen Blogeintrag bzgl. Toolbars. Bitte zunächst alle Toolbars, die Du nicht unbedingt brauchst, über Systemsteuerung => Programme und Funktionen deinstallieren, ggfs. zusätzlich im Firefox und IE unter Extras => Addons entfernen. Sage mir Bescheid, wenn sich eine Toolbar nicht deinstallieren lässt und welche Du behalten hast. Dann kann ich evtl. Reste oder nicht deinstallierbare Toolbars im nächsten Schritt entfernen.

[dampfo]

Hallo Petra,

vielen Dank für die schnelle Antwort. Habe alle Schritte abgearbeitet. Leider benötige ich Java, ist aber jetzt komplett de- und wieder neu installiert.

Bei der bisherigen 'PC-Reinigung' habe ich mich genau an Deine Anleitung aus dem genannten Thread gehalten. Zusätzlich noch mit Sophos gesäubert.

Leider finde ich von diversen entfernten Malware Programmen die via die erwähnten Tools entfernt wurden keine Berichte mehr (auch nicht von Sophos - wie in Deiner Anleitung vom 11.2.2010 beschrieben).
Eventuell habe ich alles beim Löschen der temporären Dateien im Rahmen der Java Neuinstallation mit vernichtet?
Lediglich von Malwarebytes ist nach zweifachem Scan dies noch vorhanden:

Code:

mbam-log-2012-12-08 (11-46-03).txt

Muss ich mein System nochmals scannen?

Viele Grüße - dampfo

[Petra]

Hallo dampfo,

nein, brauchst Du momentan dann nicht nochmal scannen, mache bitte so weiter:

Systemscan mit OTL

Erstelle bitte zur Kontrolle erneut OTL-Logfiles, stelle alle Kategorien auf "Benutze Safelist" um und hake oben "Scanne alle Benutzer" an, wie auf folgendem Screenshot zu sehen. User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan". Dann kann ich schauen, ob es noch weitere Reste zu entfernen gibt.



Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

[dampfo]

Guten Morgen Petra,

hier der erneute Scan mit OTL:

OTL.Txt

Extras.Txt

Bin gespannt auf Deine Antwort!

Schönen Sonntag noch,


dampfo

[Petra]

Hallo dampfo,

===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:

Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\SearchScopes\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}: "URL" = http://nl.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O3 - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\*******\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\*******\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O33 - MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\Shell - "" = AutoRun
O33 - MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\Shell\AutoRun\command - "" = F:\start.exe

:Services
Lbd
gfibto
gfiark

:Files
C:\Windows\SysNative\drivers\Lbd.sys
C:\Users\*******\AppData\Roaming\LavasoftStatistics
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus
C:\Windows\SysNative\drivers\gfiark.sys
C:\Windows\SysNative\drivers\gfibto.sys
C:\ProgramData\blekko toolbars
C:\Program Files (x86)\adawaretb
C:\Program Files (x86)\Toolbar Cleaner

:Commands
[purity]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

===== Punkt 2 =====

Rogue- und FakeAV-Programme mit RogueKiller suchen

Lade RogueKiller herunter und speichere das Programm auf Deinem Desktop.

• Beende alle laufenden Programme.
• Vista- und Windows7-User starten die RogueKiller.exe per Rechtsklick als Administrator
  XP-User einfach per Doppelklick.
• Klicke Scan, um den Suchlauf zu starten.
  
  
  
• Klicke auf den Button Bericht, um den Bericht zu sehen.
  Der Bericht RKreport.txt wird nach der Ausführung auf Deinem Desktop zu finden sein.
  
• Bitte keine Änderungen ohne Rücksprache vornehmen!
  
  
• Wenn das Programm nicht läuft, benenne die roguekiller.exe um in winlogon.exe.
  

Poste mir bitte den Inhalt von RKreport.txt in Deine nächste Antwort.

[dampfo]

Vielen Dank!

Habe genau Deine Anweisungen befolgt.

Hier nach dem 'Fixen':

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry value HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\SearchScopes\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}\ not found.
HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
File F:\start.exe not found.
========== SERVICES/DRIVERS ==========
Service Lbd stopped successfully!
Service Lbd deleted successfully!
Service gfibto stopped successfully!
Service gfibto deleted successfully!
Service gfiark stopped successfully!
Service gfiark deleted successfully!
========== FILES ==========
C:\Windows\SysNative\drivers\Lbd.sys moved successfully.
C:\Users\*******\AppData\Roaming\LavasoftStatistics folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T191114.983933PID9256 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T144611.754861PID356 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120523T180653.159441PID5576 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120522T191614.083845PID5144 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120521T201724.118241PID5384 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T175101.796241PID5308 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T080710.287037PID5272 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T144603.448249PID5616 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T112751.725837PID5480 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T103857.967882PID5688 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T095204.071441PID5256 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T220155.071017PID8732 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T173015.351225PID7768 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T165241.189438PID5624 folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs folder moved successfully.
C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120525T183852.936222PID4564 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T191014.967427PID4620 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T142959.499033PID1492 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T192042.566406PID4480 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T212211.999095PID7432 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T165417.444548PID5284 folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs folder moved successfully.
C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus folder moved successfully.
C:\Windows\SysNative\drivers\gfiark.sys moved successfully.
C:\Windows\SysNative\drivers\gfibto.sys moved successfully.
C:\ProgramData\blekko toolbars folder moved successfully.
C:\Program Files (x86)\adawaretb folder moved successfully.
C:\Program Files (x86)\Toolbar Cleaner folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: *********
->Temp folder emptied: 443428417 bytes
->Java cache emptied: 1 bytes
->Flash cache emptied: 1150 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 22402670 bytes
->Java cache emptied: 72218 bytes
->Flash cache emptied: 539 bytes
 
User: *****
->Temp folder emptied: 34974 bytes
->Flash cache emptied: 794 bytes
 
User: Public
 
User: *******
->Temp folder emptied: 521827761 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 506 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 225945626 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 3840796789 bytes
 
Total Files Cleaned = 4.820,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12092012_134015

und hier der Bericht von RogueKiller:

Code:

RogueKiller V8.3.2 [Dec  7 2012] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Webseite : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Gestartet in : Normaler Modus
Benutzer : ******* [Admin Rechte]
Funktion : Scannen -- Datum : 12/09/2012 13:53:07

¤¤¤ Böswillige Prozesse : 0 ¤¤¤

¤¤¤ Registry-Einträge : 5 ¤¤¤
[RUN][SUSP PATH] HKUS\S-1-5-21-657417494-2717284355-1407466500-1005[...]\Run : ConnectionCenter ("C:\Users\Alexander\AppData\Local\Citrix\ICA Client\concentr.exe" /startup) -> GEFUNDEN
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> GEFUNDEN
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> GEFUNDEN
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> GEFUNDEN
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [NICHT GELADEN] ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: INTEL SSDSA2CW120G3 ATA Device +++++
--- User ---
[MBR] 233130646d5b242858e8d5899324e410
[BSP] 24daf862b0feca9291eb093933b0e7a3 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 114371 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Hitachi HDS721050CLA362 ATA Device +++++
--- User ---
[MBR] 287f2412cc95d586ff705b3e0625caac
[BSP] 45e381d5278219386b67490017f9ba66 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 276938 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 567173120 | Size: 200000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: Hitachi HDS721050CLA362 ATA Device +++++
--- User ---
[MBR] 2038c3e67fccfcdab3b394f2d910cbd0
[BSP] 70205f2d2b2145cd5bcbc0a9913bc2c2 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 276941 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 567177216 | Size: 199998 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Abgeschlossen : << RKreport[1]_S_12092012_02d1353.txt >>
RKreport[1]_S_12092012_02d1353.txt

Bis bald! Dampfo

[Petra]

Hallo Dampfo,

da besteht kein Handlungsbedarf, Du kannst den RogueKiller wieder löschen.


Berichte mir bitte, wie der Computer läuft und welche Probleme er noch macht.

[dampfo]

Hi Petra,

der Computer läuft z.Zt. ohne Probleme. 1000x Dank & Respekt! Werde so eine kleine Spende überweisen.

Viele Grüße

dampfo

[Petra]

Hallo dampfo,

prima, dann kommen wir zu den Abschlussarbeiten:

===== Punkt 1 =====

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.



===== Punkt 2 =====

Eset Online Scan

Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit Eset Online Scan. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kurzanleitung:

Internet Explorer starten.

Nach hier gehen => http://www.eset.com/home/products/online-scanner/

Auf den Button "Run Eset Online Scanner" drücken

Die Lizenzbedingungen akzeptieren, also einen Haken machen und Start drücken.

Das Installieren des ActiveX-Steuerelements erlauben.

Auf "Advanced Settings" klicken und diese Einstellungen machen:



Wieder auf Start drücken.

Die Anwendung zulassen.

Warten, bis der Scan durchgelaufen ist. Wenn Funde gemacht wurden, auf "List of found Threats" klicken und dann entweder auf "Copy to clipboard" oder "Export to text file" klicken und das Logfile hier posten


Alle nötigen Details findest Du in dieser bebilderten Anleitung.