Antivir Solution Pro auf dem PC

BrokenWings · 20.07.2010, 14:24

Hallo!

Seit heute Vormittag hatte ich auf einmal das Trojanerprogramm "Antivir Solution Pro" auf meinem PC.
Seitdem habe ich im Internet gesucht, wie man es bekämpfen kann.

Ich habe die Tipps aus diesem Forum (http://www.trojaner-board.de/88188-a...entfernen.html) befolgt:
+ Ich habe rkill.com ausgeführt (Dabei wurde ein Prozess von Antivir Solution Pro beendet. Den Namen weiß ich leider nicht mehr, aber es endete auf jeden Fall wieder auf das typische "tssd.exe")
+ Danach habe ich Malwarebytes ausgeführt und alle Laufwerke scannen lassen. Als Suchergebnis kam folgendes:

Antivir Solution Pro auf dem PC-suchlaufergebnisse.jpg

Diese habe ich dann entfernen lassen, als Log-Datei wurde folgendes angezeigt:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4329

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.07.2010 14:40:05
mbam-log-2010-07-20 (14-40-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 228688
Laufzeit: 52 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\AVSolution (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\akkhjkar (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Maria\AppData\Local\ivmbecfye\csvgawjtssd.exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GZFAX6QG\ggbrzx[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GZFAX6QG\gkbjdlwqlt[1].htm (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PX86W0J7\kksahc[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PX86W0J7\kksaupwr[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Temp\wamsxnerco.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Temp\rropyvnl.exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
C:\Users\Maria\AppData\Local\Temp\uhedyvt.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Public\Desktop\Control Center.lnk (Rogue.ControlCenter) -> Quarantined and deleted successfully.

Nach einem Neustart scheint jetzt alles wieder normal zu funktionieren. Wie kann ich aber nun sicher gehen, dass wirklich nichts mehr von dem Trojaner auf meinem PC ist? :/

markusg · 20.07.2010, 14:40

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

BrokenWings · 20.07.2010, 15:09

ComboFix Log:

Code:

ATTFilter

ComboFix 10-07-19.05 - Maria 20.07.2010  16:00:58.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3511.2558 [GMT 2:00]
ausgeführt von:: c:\users\Maria\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Maria\AppData\Roaming\ogix.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-20 bis 2010-07-20  ))))))))))))))))))))))))))))))
.

2010-07-20 11:44 . 2010-07-20 11:44	--------	d-----w-	c:\users\Maria\AppData\Roaming\Malwarebytes
2010-07-20 11:43 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 11:43 . 2010-07-20 11:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-20 11:43 . 2010-07-20 11:43	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-20 11:43 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 10:49 . 2010-07-20 12:40	--------	d-----w-	c:\users\Maria\AppData\Local\ivmbecfye
2010-07-20 10:49 . 2010-07-20 10:50	--------	d-----w-	c:\users\Maria\AppData\Roaming\AE8A8D6D216D2EA59CAB1189D6CA5D3B
2010-07-08 19:03 . 2010-07-08 19:03	--------	d-----w-	c:\users\Maria\AppData\Roaming\VDownloader
2010-07-08 19:02 . 2010-07-08 19:09	--------	d-----w-	c:\users\Maria\AppData\Local\VDownloader
2010-07-08 19:02 . 2010-07-08 19:02	--------	d-----w-	c:\program files\VDownloader
2010-07-08 18:54 . 2010-07-08 18:58	--------	d-----w-	c:\program files\My Video Converter
2010-07-04 19:14 . 2010-07-04 19:14	--------	d-----w-	c:\users\Maria\AppData\Local\Diagnostics
2010-06-23 13:27 . 2009-11-25 10:47	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2010-06-23 13:27 . 2009-11-25 10:47	49472	----a-w-	c:\windows\system32\netfxperf.dll
2010-06-23 13:27 . 2009-11-25 10:47	297808	----a-w-	c:\windows\system32\mscoree.dll
2010-06-23 13:27 . 2009-11-25 10:47	295264	----a-w-	c:\windows\system32\PresentationHost.exe
2010-06-23 13:27 . 2009-11-25 10:47	1130824	----a-w-	c:\windows\system32\dfshim.dll
2010-06-23 05:24 . 2010-03-24 06:37	1286456	----a-w-	c:\windows\system32\ntdll.dll
2010-06-23 05:24 . 2010-05-09 09:14	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-06-23 05:24 . 2010-05-09 09:14	417792	----a-w-	c:\windows\system32\msdri.dll
2010-06-22 09:10 . 2010-06-22 09:10	--------	d-----w-	c:\users\Maria\AppData\Local\Blizzard Entertainment
2010-06-22 08:30 . 2010-06-22 08:30	2944904	----a-w-	c:\users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\8mswx83j.default\extensions\toolbar@ask.com\chrome\temp\askToolbar.exe
2010-06-21 12:35 . 2010-06-22 00:17	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-06-21 12:33 . 2010-06-21 12:33	--------	d-----w-	c:\programdata\Blizzard
2010-06-20 15:07 . 2010-07-20 10:46	--------	d-----w-	c:\users\Maria\AppData\Roaming\vlc
2010-06-20 15:07 . 2010-07-11 14:24	--------	d-----w-	c:\users\Maria\AppData\Roaming\dvdcss
2010-06-20 14:54 . 2010-06-20 18:57	--------	d-----w-	c:\program files\PeerGuardian2
2010-06-20 14:50 . 2010-06-20 14:50	--------	d-----w-	c:\program files\AMPLUS Vokabel-Trainer 1.2
2010-06-20 14:47 . 2010-06-20 14:47	--------	d-----w-	c:\users\Maria\AppData\Local\CutePDF Writer
2010-06-20 14:46 . 2010-06-20 14:46	--------	d-----w-	c:\program files\GPLGS
2010-06-20 14:45 . 2010-06-20 14:45	--------	d-----w-	c:\program files\Acro Software
2010-06-20 14:45 . 2009-11-05 06:39	87552	----a-w-	c:\windows\system32\cpwmon2k.dll
2010-06-20 14:43 . 2010-06-20 14:43	--------	d-----w-	c:\program files\VideoLAN

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-20 12:42 . 2010-06-20 12:23	--------	d-----w-	c:\users\Maria\AppData\Roaming\Skype
2010-07-20 12:42 . 2010-06-20 11:44	--------	d-----w-	c:\users\Maria\AppData\Roaming\uTorrent
2010-07-20 10:48 . 2009-07-14 08:47	654166	----a-w-	c:\windows\system32\perfh007.dat
2010-07-20 10:48 . 2009-07-14 08:47	130006	----a-w-	c:\windows\system32\perfc007.dat
2010-07-18 05:26 . 2010-03-02 06:06	--------	d-----w-	c:\programdata\X10 Settings
2010-06-25 11:24 . 2010-06-16 19:10	--------	d-----w-	c:\program files\Microsoft.NET
2010-06-22 11:05 . 2010-06-20 11:47	--------	d-----w-	c:\program files\Ask.com
2010-06-20 19:00 . 2010-06-20 13:33	--------	d-----w-	c:\users\Maria\AppData\Roaming\ICQ
2010-06-20 18:58 . 2010-06-20 13:33	--------	d-----w-	c:\program files\ICQ7.2
2010-06-20 13:34 . 2010-06-20 13:34	--------	d-----w-	c:\program files\ICQ6Toolbar
2010-06-20 13:34 . 2010-06-20 13:34	--------	d-----w-	c:\programdata\ICQ
2010-06-20 13:34 . 2010-03-02 05:17	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-20 12:59 . 2010-06-20 12:59	54	----a-w-	c:\programdata\Last.fm\Client\uninst2.bat
2010-06-20 12:59 . 2010-06-20 12:59	--------	d-----w-	c:\programdata\Last.fm
2010-06-20 12:59 . 2010-06-20 12:59	683801	----a-w-	c:\programdata\Last.fm\Client\UninstWMP\unins000.exe
2010-06-20 12:53 . 2010-06-20 12:53	--------	d-----w-	c:\program files\Last.fm
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----r-	c:\program files\Skype
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----w-	c:\program files\Common Files\Skype
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----w-	c:\programdata\Skype
2010-06-20 11:47 . 2010-06-20 11:47	--------	d-----w-	c:\program files\uTorrent
2010-06-20 11:22 . 2010-06-20 11:07	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2010-06-20 11:22 . 2010-06-20 11:07	--------	d-----w-	c:\program files\DVDVideoSoft
2010-06-20 11:10 . 2010-06-20 11:07	--------	d-----w-	c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers
2010-06-20 10:29 . 2010-06-16 18:20	86496	----a-w-	c:\users\Maria\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-20 10:27 . 2010-03-02 06:13	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-20 10:26 . 2009-07-14 02:37	--------	d-----w-	c:\program files\Windows Mail
2010-06-20 10:11 . 2010-03-16 02:33	--------	d-----w-	c:\programdata\CyberLink
2010-06-20 10:11 . 2010-06-20 10:11	--------	d-----w-	c:\users\Maria\AppData\Roaming\CyberLink
2010-06-16 20:02 . 2010-06-16 20:02	--------	d-----w-	c:\users\Maria\AppData\Roaming\Avira
2010-06-16 19:59 . 2010-03-02 06:11	--------	d-----w-	c:\program files\Windows Live
2010-06-16 19:06 . 2010-03-02 06:12	--------	d-----w-	c:\program files\Microsoft
2010-06-16 19:05 . 2010-03-02 05:45	--------	d-----w-	c:\programdata\Microsoft Help
2010-06-16 19:05 . 2010-03-02 05:43	--------	d-----w-	c:\program files\Microsoft Works
2010-06-16 18:55 . 2010-06-16 18:55	--------	d-----w-	c:\program files\Informatic
2010-06-16 18:54 . 2010-03-02 05:22	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Vorlagen
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Startmenü
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Favoriten
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Dokumente
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Anwendungsdaten
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\program files\Gemeinsame Dateien
2010-06-16 18:23 . 2010-06-16 18:23	--------	d-----w-	c:\programdata\Avira
2010-06-16 18:23 . 2010-06-16 18:23	--------	d-----w-	c:\program files\Avira
2010-06-16 18:05 . 2010-03-16 03:54	--------	d-----w-	c:\programdata\BullGuard
2010-05-27 07:24 . 2010-06-20 10:09	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-20 10:09	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-03-02 06:22	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-20 10:09	977920	----a-w-	c:\windows\system32\wininet.dll
2010-05-01 14:49 . 2010-06-20 10:09	2326528	----a-w-	c:\windows\system32\win32k.sys
2010-04-23 07:13 . 2010-06-20 10:09	2048	----a-w-	c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-05-26 13:23	1385864	----a-w-	c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-06-20 322352]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"ICQ"="c:\program files\ICQ7.2\ICQ.exe" [2010-06-20 133368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-11 1594664]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-03-02 8522272]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-03-02 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-08 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-08 168472]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Launch Word Explorer 2.0.lnk - c:\program files\Informatic\Word Explorer 2.0\Launch.exe [2006-4-26 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-31 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-03-28 246520]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-10 132352]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-01-08 232448]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-12-22 65576]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - urngzxjk
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de-de.facebook.com/
uInternet Settings,ProxyServer = http=127.0.0.1:5643
uInternet Settings,ProxyOverride = <local>
IE: Free YouTube Download - c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Run Context - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: Run Word Explorer - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{26231800-6CE9-43d8-9357-5B4DC8CF4561} - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\program files\ICQ7.2\ICQ.exe
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\8mswx83j.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\urngzxjk]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-07-20  16:06:09
ComboFix-quarantined-files.txt  2010-07-20 14:06

Vor Suchlauf: 5 Verzeichnis(se), 366.526.484.480 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 366.718.472.192 Bytes frei

- - End Of File - - CEE2813F820F950F6E0BBE575899CA3A

markusg · 20.07.2010, 16:42

bitte deinstaliere die ask toolbar. starte neu.

Start programme, zubehör, editor, kopiere ein:

Killall::
Rootkit::
c:\windows\system32\drivers\urngzxjk.sys
Folder::
c:\users\Maria\AppData\Local\ivmbecfye
Driver::
urngzxjk
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:5643
uInternet Settings,ProxyOverride = <local>

Datei speichern unter, typ, alle dateien, name:
cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.
Hast du ne ahnung wo oder wie du dir das eingefangen hast, wenn ja, schreib mir mal ne persönliche nachicht, ich hätte gern den link bzw den installer.

BrokenWings · 20.07.2010, 17:09

Also bevor die LogDatei überhaupt angezeigt wird, will ComboFix meinen PC neustarten. Dabei wird eine "Warnung" angezeigt:
"Current registery file not found:
\Device\HarddiskVolume1\Boot\BCD

Restore this file?"

Muss ich da Ja oder Nein klicken?

markusg · 20.07.2010, 17:25

ja klicken bitte

BrokenWings · 20.07.2010, 17:36

ok, danke!

der neue CF Log:

Code:

ATTFilter

ComboFix 10-07-19.05 - Maria 20.07.2010  18:01:09.2.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3511.2678 [GMT 2:00]
ausgeführt von:: c:\users\Maria\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Maria\Desktop\cfscript.txt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Maria\AppData\Local\ivmbecfye

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_URNGZXJK
-------\Service_urngzxjk


(((((((((((((((((((((((   Dateien erstellt von 2010-06-20 bis 2010-07-20  ))))))))))))))))))))))))))))))
.

2010-07-20 16:27 . 2010-07-20 16:27	--------	d-----w-	C:\Device
2010-07-20 16:06 . 2010-07-20 16:06	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-07-20 16:06 . 2010-07-20 16:06	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-07-20 14:31 . 2010-07-20 15:58	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-07-20 14:31 . 2010-07-20 15:58	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-07-20 14:29 . 2010-07-20 14:29	--------	d-----w-	c:\program files\Conduit
2010-07-20 14:29 . 2010-07-20 14:29	--------	d-----w-	c:\program files\softonic-de3
2010-07-20 14:29 . 2010-06-08 09:29	52224	----a-w-	c:\users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\8mswx83j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-07-20 14:29 . 2010-06-08 09:29	101376	----a-w-	c:\users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\8mswx83j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
2010-07-20 14:06 . 2010-07-20 16:29	--------	d-----w-	c:\users\Maria\AppData\Local\temp
2010-07-20 11:44 . 2010-07-20 11:44	--------	d-----w-	c:\users\Maria\AppData\Roaming\Malwarebytes
2010-07-20 11:43 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 11:43 . 2010-07-20 11:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-20 11:43 . 2010-07-20 11:43	--------	d-----w-	c:\programdata\Malwarebytes
2010-07-20 11:43 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 10:50 . 2010-07-20 16:27	766976	----a-w-	c:\windows\system32\drivers\urngzxjk.sys
2010-07-20 10:49 . 2010-07-20 10:50	--------	d-----w-	c:\users\Maria\AppData\Roaming\AE8A8D6D216D2EA59CAB1189D6CA5D3B
2010-07-08 19:03 . 2010-07-08 19:03	--------	d-----w-	c:\users\Maria\AppData\Roaming\VDownloader
2010-07-08 19:02 . 2010-07-08 19:09	--------	d-----w-	c:\users\Maria\AppData\Local\VDownloader
2010-07-08 19:02 . 2010-07-08 19:02	--------	d-----w-	c:\program files\VDownloader
2010-07-08 18:54 . 2010-07-08 18:58	--------	d-----w-	c:\program files\My Video Converter
2010-07-04 19:14 . 2010-07-04 19:14	--------	d-----w-	c:\users\Maria\AppData\Local\Diagnostics
2010-06-23 13:27 . 2009-11-25 10:47	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2010-06-23 13:27 . 2009-11-25 10:47	49472	----a-w-	c:\windows\system32\netfxperf.dll
2010-06-23 13:27 . 2009-11-25 10:47	297808	----a-w-	c:\windows\system32\mscoree.dll
2010-06-23 13:27 . 2009-11-25 10:47	295264	----a-w-	c:\windows\system32\PresentationHost.exe
2010-06-23 13:27 . 2009-11-25 10:47	1130824	----a-w-	c:\windows\system32\dfshim.dll
2010-06-23 05:24 . 2010-03-24 06:37	1286456	----a-w-	c:\windows\system32\ntdll.dll
2010-06-23 05:24 . 2010-05-09 09:14	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-06-23 05:24 . 2010-05-09 09:14	417792	----a-w-	c:\windows\system32\msdri.dll
2010-06-22 09:10 . 2010-06-22 09:10	--------	d-----w-	c:\users\Maria\AppData\Local\Blizzard Entertainment
2010-06-21 12:35 . 2010-06-22 00:17	--------	d-----w-	c:\program files\Common Files\Blizzard Entertainment
2010-06-21 12:33 . 2010-06-21 12:33	--------	d-----w-	c:\programdata\Blizzard

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-20 16:29 . 2010-06-20 12:23	--------	d-----w-	c:\users\Maria\AppData\Roaming\Skype
2010-07-20 16:29 . 2010-06-20 11:44	--------	d-----w-	c:\users\Maria\AppData\Roaming\uTorrent
2010-07-20 10:48 . 2009-07-14 08:47	654166	----a-w-	c:\windows\system32\perfh007.dat
2010-07-20 10:48 . 2009-07-14 08:47	130006	----a-w-	c:\windows\system32\perfc007.dat
2010-07-20 10:46 . 2010-06-20 15:07	--------	d-----w-	c:\users\Maria\AppData\Roaming\vlc
2010-07-18 05:26 . 2010-03-02 06:06	--------	d-----w-	c:\programdata\X10 Settings
2010-07-11 14:24 . 2010-06-20 15:07	--------	d-----w-	c:\users\Maria\AppData\Roaming\dvdcss
2010-06-25 11:24 . 2010-06-16 19:10	--------	d-----w-	c:\program files\Microsoft.NET
2010-06-20 19:00 . 2010-06-20 13:33	--------	d-----w-	c:\users\Maria\AppData\Roaming\ICQ
2010-06-20 18:58 . 2010-06-20 13:33	--------	d-----w-	c:\program files\ICQ7.2
2010-06-20 18:57 . 2010-06-20 14:54	--------	d-----w-	c:\program files\PeerGuardian2
2010-06-20 14:50 . 2010-06-20 14:50	--------	d-----w-	c:\program files\AMPLUS Vokabel-Trainer 1.2
2010-06-20 14:46 . 2010-06-20 14:46	--------	d-----w-	c:\program files\GPLGS
2010-06-20 14:45 . 2010-06-20 14:45	--------	d-----w-	c:\program files\Acro Software
2010-06-20 14:43 . 2010-06-20 14:43	--------	d-----w-	c:\program files\VideoLAN
2010-06-20 13:34 . 2010-06-20 13:34	--------	d-----w-	c:\program files\ICQ6Toolbar
2010-06-20 13:34 . 2010-06-20 13:34	--------	d-----w-	c:\programdata\ICQ
2010-06-20 13:34 . 2010-03-02 05:17	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-20 12:59 . 2010-06-20 12:59	54	----a-w-	c:\programdata\Last.fm\Client\uninst2.bat
2010-06-20 12:59 . 2010-06-20 12:59	--------	d-----w-	c:\programdata\Last.fm
2010-06-20 12:59 . 2010-06-20 12:59	683801	----a-w-	c:\programdata\Last.fm\Client\UninstWMP\unins000.exe
2010-06-20 12:53 . 2010-06-20 12:53	--------	d-----w-	c:\program files\Last.fm
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----r-	c:\program files\Skype
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----w-	c:\program files\Common Files\Skype
2010-06-20 12:22 . 2010-06-20 12:22	--------	d-----w-	c:\programdata\Skype
2010-06-20 11:47 . 2010-06-20 11:47	--------	d-----w-	c:\program files\uTorrent
2010-06-20 11:22 . 2010-06-20 11:07	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2010-06-20 11:22 . 2010-06-20 11:07	--------	d-----w-	c:\program files\DVDVideoSoft
2010-06-20 11:10 . 2010-06-20 11:07	--------	d-----w-	c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers
2010-06-20 10:29 . 2010-06-16 18:20	86496	----a-w-	c:\users\Maria\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-20 10:27 . 2010-03-02 06:13	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-20 10:26 . 2009-07-14 02:37	--------	d-----w-	c:\program files\Windows Mail
2010-06-20 10:11 . 2010-03-16 02:33	--------	d-----w-	c:\programdata\CyberLink
2010-06-20 10:11 . 2010-06-20 10:11	--------	d-----w-	c:\users\Maria\AppData\Roaming\CyberLink
2010-06-16 20:02 . 2010-06-16 20:02	--------	d-----w-	c:\users\Maria\AppData\Roaming\Avira
2010-06-16 19:59 . 2010-03-02 06:11	--------	d-----w-	c:\program files\Windows Live
2010-06-16 19:06 . 2010-03-02 06:12	--------	d-----w-	c:\program files\Microsoft
2010-06-16 19:05 . 2010-03-02 05:45	--------	d-----w-	c:\programdata\Microsoft Help
2010-06-16 19:05 . 2010-03-02 05:43	--------	d-----w-	c:\program files\Microsoft Works
2010-06-16 18:55 . 2010-06-16 18:55	--------	d-----w-	c:\program files\Informatic
2010-06-16 18:54 . 2010-03-02 05:22	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Vorlagen
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Startmenü
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Favoriten
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Dokumente
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\programdata\Anwendungsdaten
2010-06-16 18:49 . 2010-06-16 18:49	--------	d-sh--we	c:\program files\Gemeinsame Dateien
2010-06-16 18:23 . 2010-06-16 18:23	--------	d-----w-	c:\programdata\Avira
2010-06-16 18:23 . 2010-06-16 18:23	--------	d-----w-	c:\program files\Avira
2010-06-16 18:05 . 2010-03-16 03:54	--------	d-----w-	c:\programdata\BullGuard
2010-05-27 07:24 . 2010-06-20 10:09	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-20 10:09	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-03-02 06:22	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-20 10:09	977920	----a-w-	c:\windows\system32\wininet.dll
2010-05-01 14:49 . 2010-06-20 10:09	2326528	----a-w-	c:\windows\system32\win32k.sys
2010-04-23 07:13 . 2010-06-20 10:09	2048	----a-w-	c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((((   SnapShot@2010-07-20_14.04.51   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-02 05:21 . 2010-07-20 16:00	33066              c:\windows\System32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2010-07-20 16:00	27692              c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2010-06-16 18:43 . 2010-07-20 13:02	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-06-16 18:43 . 2010-07-20 16:28	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-06-16 18:43 . 2010-07-20 16:28	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-06-16 18:43 . 2010-07-20 13:02	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2010-07-20 13:02	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2010-07-20 16:28	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-06-16 18:00 . 2010-07-20 12:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-06-16 18:00 . 2010-07-20 16:29	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-06-16 18:00 . 2010-07-20 12:42	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-06-16 18:00 . 2010-07-20 16:29	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-06-16 18:00 . 2010-07-20 12:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-06-16 18:00 . 2010-07-20 16:29	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-06-16 18:00 . 2010-07-20 16:29	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-06-16 18:00 . 2010-07-20 12:42	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-06-20 13:08 . 2010-07-20 16:08	32768              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2010-06-20 13:08 . 2010-07-20 13:11	32768              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2010-06-20 13:08 . 2010-07-20 16:08	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
- 2010-06-20 13:08 . 2010-07-20 13:11	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
- 2010-06-20 13:08 . 2010-07-20 13:11	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
+ 2010-06-20 13:08 . 2010-07-20 16:08	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2010-06-16 18:00 . 2010-07-20 13:11	32768              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-06-16 18:00 . 2010-07-20 16:29	32768              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-03-10 04:42 . 2010-07-20 12:42	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-03-10 04:42 . 2010-07-20 16:29	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-06-16 18:05 . 2010-07-20 16:00	4406              c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-59782397-1195455576-473770381-1000_UserData.bin
+ 2010-07-20 15:58 . 2010-07-20 16:28	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2010-07-20 12:41 . 2010-07-20 12:41	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-07-20 15:58 . 2010-07-20 16:28	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-07-20 12:41 . 2010-07-20 12:41	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-03-02 05:01 . 2010-07-20 13:02	245760              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2010-03-02 05:01 . 2010-07-20 15:52	245760              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 02:03 . 2010-07-20 11:13	6815744              c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2009-07-14 02:03 . 2010-07-20 16:13	6815744              c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-06-03 16:24	2736736	----a-w-	c:\program files\softonic-de3\tbsoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-06-03 2736736]

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-06-20 322352]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"ICQ"="c:\program files\ICQ7.2\ICQ.exe" [2010-06-20 133368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-12-11 1594664]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-03-02 8522272]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-03-02 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-08 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-08 168472]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Launch Word Explorer 2.0.lnk - c:\program files\Informatic\Word Explorer 2.0\Launch.exe [2006-4-26 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-31 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-03-28 246520]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-10 132352]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-01-08 232448]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-12-22 65576]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]

.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2431245
IE: Free YouTube Download - c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Maria\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Run Context - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: Run Word Explorer - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{26231800-6CE9-43d8-9357-5B4DC8CF4561} - c:\program files\Informatic\Word Explorer 2.0\cnie5.htm
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\program files\ICQ7.2\ICQ.exe
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\8mswx83j.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\taskhost.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conhost.exe
c:\program files\Launch Manager\WisLMSvc.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\DllHost.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-20  18:33:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-20 16:33
ComboFix2.txt  2010-07-20 14:06

Vor Suchlauf: 8 Verzeichnis(se), 366.499.172.352 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 364.958.859.264 Bytes frei

- - End Of File - - AEA4DB3221C9B2419711B983B5DF635A

markusg · 20.07.2010, 17:44

rechtsklick auf den avira regenschirm, guard deaktiviren.
öffne arbeitsplatz, dort c:
da siehst du nen ordner, qoobox, rechtsklick, zu qoobox.zip oder rar hinzufügen.
das archiv geht dann bitte an uns:
http://www.trojaner-board.de/54791-a...ner-board.html
danach avira scan:
avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

BrokenWings · 20.07.2010, 17:49

Zitat:

Zitat von markusg

öffne arbeitsplatz, dort c:
da siehst du nen ordner, qoobox, rechtsklick, zu qoobox.zip oder rar hinzufügen.

Da kommt ne WinRAR Fehlermeldung:
"! Konnte Qoobox.rar nicht erstellen.
! Zugriff verweigert"

Zum Anklicken steht zur Auswahl
+ Schließen
+ Operation abbrechen
+ In die Ablage kopieren

Was muss ich machen? :/

markusg · 20.07.2010, 17:54

starte den pc mal in den abgesicherten modus, sollte beim pc start durch das betätigen von f8 möglich sein, dann abgesicherter modus mit netzwerk und dann erneut probieren. dann neustart avira guard aus, und das archiv hochladen

BrokenWings · 20.07.2010, 19:02

Das Verzeichnis hatte ich schon hochgeladen. Jetzt noch der Avira Report:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. Juli 2010  19:32

Es wird nach 2369320 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : Maria
Computername   : MARIA-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.567           Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  16.06.2010 18:25:41
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  16.06.2010 18:25:41
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 07:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 17:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 15:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 14:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 09:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 18:25:40
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 18:25:40
VBASE007.VDF   : 7.10.7.219      2048 Bytes  02.06.2010 18:25:40
VBASE008.VDF   : 7.10.7.220      2048 Bytes  02.06.2010 18:25:40
VBASE009.VDF   : 7.10.7.221      2048 Bytes  02.06.2010 18:25:40
VBASE010.VDF   : 7.10.7.222      2048 Bytes  02.06.2010 18:25:40
VBASE011.VDF   : 7.10.7.223      2048 Bytes  02.06.2010 18:25:40
VBASE012.VDF   : 7.10.7.224      2048 Bytes  02.06.2010 18:25:40
VBASE013.VDF   : 7.10.8.37     270336 Bytes  10.06.2010 18:25:40
VBASE014.VDF   : 7.10.8.69     138752 Bytes  14.06.2010 18:25:40
VBASE015.VDF   : 7.10.8.102    130560 Bytes  16.06.2010 10:01:04
VBASE016.VDF   : 7.10.8.135    152064 Bytes  21.06.2010 12:20:22
VBASE017.VDF   : 7.10.8.163    432128 Bytes  23.06.2010 13:07:16
VBASE018.VDF   : 7.10.8.194    133632 Bytes  27.06.2010 19:01:04
VBASE019.VDF   : 7.10.8.220    134656 Bytes  29.06.2010 19:01:05
VBASE020.VDF   : 7.10.8.252    171520 Bytes  04.07.2010 14:18:18
VBASE021.VDF   : 7.10.9.19     131072 Bytes  06.07.2010 10:10:40
VBASE022.VDF   : 7.10.9.36     297472 Bytes  07.07.2010 10:10:50
VBASE023.VDF   : 7.10.9.60     150016 Bytes  11.07.2010 12:50:21
VBASE024.VDF   : 7.10.9.79     113152 Bytes  13.07.2010 16:29:13
VBASE025.VDF   : 7.10.9.99     158720 Bytes  16.07.2010 08:46:04
VBASE026.VDF   : 7.10.9.112    155136 Bytes  19.07.2010 21:01:06
VBASE027.VDF   : 7.10.9.113      2048 Bytes  19.07.2010 21:01:06
VBASE028.VDF   : 7.10.9.114      2048 Bytes  19.07.2010 21:01:07
VBASE029.VDF   : 7.10.9.115      2048 Bytes  19.07.2010 21:01:07
VBASE030.VDF   : 7.10.9.116      2048 Bytes  19.07.2010 21:01:07
VBASE031.VDF   : 7.10.9.126    117248 Bytes  20.07.2010 17:14:23
Engineversion  : 8.2.4.22  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  16.06.2010 18:25:41
AESCRIPT.DLL   : 8.1.3.41     1364346 Bytes  20.07.2010 17:15:34
AESCN.DLL      : 8.1.6.1       127347 Bytes  16.06.2010 18:25:41
AESBX.DLL      : 8.1.3.1       254324 Bytes  16.06.2010 18:25:41
AERDL.DLL      : 8.1.8.2       614772 Bytes  20.07.2010 17:15:26
AEPACK.DLL     : 8.2.3.2       471414 Bytes  20.07.2010 17:15:15
AEOFFICE.DLL   : 8.1.1.7       201081 Bytes  20.07.2010 17:15:07
AEHEUR.DLL     : 8.1.2.6      2793846 Bytes  20.07.2010 17:15:04
AEHELP.DLL     : 8.1.13.2      242039 Bytes  20.07.2010 17:14:34
AEGEN.DLL      : 8.1.3.15      385396 Bytes  20.07.2010 17:14:30
AEEMU.DLL      : 8.1.2.0       393588 Bytes  16.06.2010 18:25:40
AECORE.DLL     : 8.1.16.2      192887 Bytes  20.07.2010 17:14:26
AEBB.DLL       : 8.1.1.0        53618 Bytes  16.06.2010 18:25:40
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  16.06.2010 18:25:41
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  16.06.2010 18:25:41
AVARKT.DLL     : 10.0.0.14     227176 Bytes  16.06.2010 18:25:41
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  16.06.2010 18:25:40

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Dienstag, 20. Juli 2010  19:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Launch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVBg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '382' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
C:\Users\Maria\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\ca82234-61e679af
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.T.1
  --> vmain.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.T.1
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\Maria\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\ca82234-61e679af
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.T.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49c74716.qua' verschoben!


Ende des Suchlaufs: Dienstag, 20. Juli 2010  19:56
Benötigte Zeit: 23:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  15564 Verzeichnisse wurden überprüft
 252414 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 252413 Dateien ohne Befall
    757 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

markusg · 20.07.2010, 19:27

wie läuft er im moment?
leere den java chache:
Löschen des Caches von Java Runtime Environment (JRE)
dateien sind angekommen, thx

BrokenWings · 20.07.2010, 19:52

Habs gelöscht.
Also im Moment läuft er ohne Probleme, alles geht wieder.
Muss ich zur Sicherheit noch mal was durchlaufen lassen, damit ich ihn wieder uneingeschränkt nutzen kann? Weil bis jetzt hab ich noch nix wieder mit Passwörtern benutzt (vor allem Online Banking!)

Aber vielen, vielen Dank schon mal!!!!

markusg · 20.07.2010, 19:56

nutze mal den eset online scanner:
Free ESET Online Antivirus Scanner
poste ds ergebniss

BrokenWings · 20.07.2010, 21:12

20.07.2010, 14:40	#2
markusg /// Malware-holic	Antivir Solution Pro auf dem PC bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________

20.07.2010, 17:25	#6
markusg /// Malware-holic	Antivir Solution Pro auf dem PC ja klicken bitte

20.07.2010, 17:54	#10
markusg /// Malware-holic	Antivir Solution Pro auf dem PC starte den pc mal in den abgesicherten modus, sollte beim pc start durch das betätigen von f8 möglich sein, dann abgesicherter modus mit netzwerk und dann erneut probieren. dann neustart avira guard aus, und das archiv hochladen

20.07.2010, 19:27	#12
markusg /// Malware-holic	Antivir Solution Pro auf dem PC wie läuft er im moment? leere den java chache: Löschen des Caches von Java Runtime Environment (JRE) dateien sind angekommen, thx

20.07.2010, 19:56	#14
markusg /// Malware-holic	Antivir Solution Pro auf dem PC nutze mal den eset online scanner: Free ESET Online Antivirus Scanner poste ds ergebniss

Antivir Solution Pro auf dem PC

Plagegeister aller Art und deren Bekämpfung: Antivir Solution Pro auf dem PC