Hallo,

Seit ca. 3 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz verschieben in Quarantäne tauchte er immer wieder auf. Hab auch Windows Defender, Hijackthis und Spybot Search&Destroy verwendet.

Konkrete Probleme mit meiner Rechner-Performance hatte ich noch nicht bemerkt, außer:
(1) Die Virendateien für Antivir lassen sich nur noch manuell updaten.
(2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Hab einen Modem-Reset gemacht. Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen".

Gestern hab ich den Java-Cash-Speicher geleert.
Heute hab ich Antivir 2x laufen lassen (als Administrator) und er hat nichts mehr gemeldet. Kann ich davon ausgehen, dass der Trojaner evtl. weg ist?

Danke schon mal im Voraus.

zuerst: Tut mir leid, dass ich zu meinem Problemfall ein neues Thema öffne, aber ich fand keinen anderen Weg, Zusatzinfo und Logfiles (Antivir-Scans, defogger.disable.log, OTL.txt + extras.txt) anzuhängen an mein Thema von gestern ("TR/Crypt.EPACK.Gen2"). Wenn ich einen Weg finde, lösche ich den "unvollständigen" Beitrag von gestern.

Hier eine erweiterte Beschreibung meines Problems:
Seit ca. 4 Tagen fand Antivir den Trojaner TR/Crypt.EPACK.Gen2. Trotz Verschieben in Quarantäne tauchte er (TR/Cr...) immer wieder auf (AVSCAN-20110610-190402-DF234DBF.LOG und AVSCAN-20110610-200239-FFB13384). Aber scheinbar mit unterschiedlicher Location. Das 2. Mal in der WindowsDefender Quarantäne?
Ebenfalls gefunden wurden direkt vor dem Trojaner: JAVA/Exdoer.CU.2 und JAVA/Exdoer.CT.3 (AVSCAN-20110609-094019-18842AC0.LOG). Nach Verschieben in Quarantäne tauchten sie (JAVA/Ex...) nicht mehr auf.

Außerdem habe ich nach diesen Funden den Java-Cash geleert.

Konkrete Probleme mit meiner Rechner-Performance habe ich noch nicht bemerkt, außer: (1) Die Virendateien für Antivir lassen sich nur noch manuell
updaten. (2) Probleme mit meinem Internetzugang, was aber am Modem zu liegen schien (rote LED). Was mich hierbei aber wunderte (weil ich nichts verändert hatte): Ich musste nach dem Modem-Reset in Firefox umstellen von "Proxy-Einstellungen des Systems verwenden" auf "Die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen".

Gestern fand Antivir (Virensignaturen manuell upgedated, 3 Scans. Antivir-Logs 4-6 im Anhang, AVSCAN-20110613-...log) nichts mehr. Scheint zwar erfreulich, bin aber nun unsicher. Kann der Trojaner wirklich weg sein?

Hier das defogger.disable.log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 08:54 on 14/06/2011 (marion u)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

OTL.txt und Extras.txt im angehängten Zip, da es hier zu viel war.

Danke schon mal für's Draufschauen.

Edit: Hab die Themen mal zusammengeführt.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

hallo Arne,

Super, danke für's Finden und Zusammenführen meiner 2 Beiträge!

Beim Malwarebytes-Download gab's ein (scheinbar neues) Popup, ob ich die Vollversion testen will. Hab auf Ablehnen geklickt. Falls notwendig, muss ich es halt nochmal wiederholen.

Hier das Ergebnis des malwarebytes-Vollscans:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6852

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.06.2011 14:06:49
mbam-log-2011-06-14 (14-06-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 369069
Laufzeit: 37 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hallo Arne,

hab Combofix ausgeführt. Davor Antivir und Windows Defender deaktiviert, die Windows Firewall allerdings nicht. Nach dem Scan wurde der Rechner automatisch neu gestartet und ein unbekanntes Programm (eine cfxxe-Datei) wollte Admin-Rechte (Windows-Aufforderungsfenster). Ich war noch am Überlegen, was tun, als das Aufforderungsfenster verschwand. Das Log wurde nicht automatisch geöffnet. Ich fand das Log nicht flach unter "C:", sondern unter "C:\cofi\ComboFix.txt". Hier sah ich auch cfxxe-Dateien ;-), d.h. nächstes Mal lasse ich sie zu.

Das Log: - ein bissl wenig?

ComboFix 11-06-13.06 - marion u 14.06.2011 15:06:28.1.4 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.6135.4775 [GMT 2:00]
ausgeführt von:: C:\Users\Marion_Internet\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Gruß,
Marion

Steht da wirklich nicht mehr drin?

mit Strg+A muss ich ja alles kriegen, was im File steht!?! Vielleicht muss ich Combofix nochmal laufen lassen. Vielleicht war das Problem, dass ich nach dem Rechner-Neustart mein OK für die cfxxe-Datei nicht gegeben hab. Die stand auch nicht in der Anleitung.

Zur Absicherung: Windows Firewall muss auch ausgeschaltet werden? Rechner-Neustart is ok? Und dann die cfxxe-Datei zulassen.

Gruß, Marion

Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. Eigentlich kann die Windows-Firewall aber an bleiben oder hast du sie so scharf gestellt, dass auch Ausgehendes erstmal geblockt wird?

ok, hoffe, dass es jetzt geklappt hat. Zumindest isses deutlich mehr. Cofi neu runtergeladen. Firewall ausgeschaltet, Antivir und Defender ebenfalls, wobei Antivir beim Rechner-Neustart (wird in der Anleitung nicht erwähnt) wieder eingeschaltet wird. Hoffe, das war dann kein Problem.
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-13.06 - marion u 14.06.2011  15:59:39.2.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.6135.4922 [GMT 2:00]
ausgeführt von:: c:\users\Marion_Internet\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
C:\Install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-14 bis 2011-06-14  ))))))))))))))))))))))))))))))
.
.
2011-06-14 14:03 . 2011-06-14 14:03	--------	d-----w-	c:\users\marion u\AppData\Local\temp
2011-06-14 14:03 . 2011-06-14 14:03	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-14 12:09 . 2011-06-14 12:09	--------	d-----w-	c:\users\Marion_Internet\AppData\Roaming\Malwarebytes
2011-06-14 11:15 . 2011-06-14 11:15	--------	d-----w-	c:\users\marion u\AppData\Roaming\Malwarebytes
2011-06-14 11:15 . 2011-05-29 07:11	39984	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-06-14 11:15 . 2011-06-14 11:15	--------	d-----w-	c:\programdata\Malwarebytes
2011-06-14 11:15 . 2011-06-14 11:15	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-06-14 11:15 . 2011-05-29 07:11	25912	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-06-14 06:51 . 2011-05-09 22:00	8718160	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B88951E9-501D-41C2-98A6-3BCE178A00AB}\mpengine.dll
2011-06-10 16:18 . 2011-04-14 16:40	142296	----a-w-	c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2011-06-10 16:18 . 2011-04-14 16:40	89048	----a-w-	c:\program files (x86)\Mozilla Firefox\libEGL.dll
2011-06-10 16:18 . 2011-04-14 16:40	781272	----a-w-	c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
2011-06-10 16:18 . 2011-04-14 16:40	465880	----a-w-	c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
2011-06-10 16:18 . 2011-04-14 16:40	1874904	----a-w-	c:\program files (x86)\Mozilla Firefox\mozjs.dll
2011-06-10 16:18 . 2011-04-14 16:40	15832	----a-w-	c:\program files (x86)\Mozilla Firefox\mozalloc.dll
2011-06-10 16:18 . 2010-01-01 08:00	1974616	----a-w-	c:\program files (x86)\Mozilla Firefox\D3DCompiler_42.dll
2011-06-10 16:18 . 2010-01-01 08:00	1892184	----a-w-	c:\program files (x86)\Mozilla Firefox\d3dx9_42.dll
2011-06-09 11:09 . 2011-06-11 09:00	--------	d-sh--w-	c:\windows\SysWow64\%APPDATA%
2011-06-09 10:03 . 2011-06-11 09:00	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2011-06-09 10:03 . 2011-06-11 09:00	--------	d-----w-	c:\program files (x86)\Spybot - Search & Destroy
2011-05-25 14:39 . 2011-04-22 20:18	27008	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-05-22 16:33 . 2011-05-22 16:33	--------	d-----w-	c:\users\Marion_Internet\AppData\Local\ISL
2011-05-22 16:32 . 2011-05-22 16:32	--------	d-----w-	c:\program files (x86)\ISL
2011-05-22 16:30 . 2011-05-22 16:30	--------	d-----w-	c:\windows\Downloaded Installations
2011-05-20 07:02 . 2011-06-09 05:49	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-09 06:58 . 2011-05-11 16:23	142336	----a-w-	c:\windows\system32\poqexec.exe
2011-04-09 06:45 . 2011-05-11 06:09	5509504	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-04-09 06:13 . 2011-05-11 06:09	3957632	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 06:09	3901824	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-11 16:23	123904	----a-w-	c:\windows\SysWow64\poqexec.exe
2011-03-25 03:23 . 2011-05-11 06:09	343040	----a-w-	c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:23 . 2011-05-11 06:09	324608	----a-w-	c:\windows\system32\drivers\usbport.sys
2011-03-25 03:22 . 2011-05-11 06:09	52224	----a-w-	c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:22 . 2011-05-11 06:09	25600	----a-w-	c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:22 . 2011-05-11 06:09	30720	----a-w-	c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:22 . 2011-05-11 06:09	7936	----a-w-	c:\windows\system32\drivers\usbd.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-04-01 15145352]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-08 281768]
"Acrobat Assistant 8.0"="c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Acrobat Synchronizer.lnk - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-05-26 191752]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]
S2 BBUpdate;BBUpdate;c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-03-10 249648]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-04 8060960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Append to existing PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\marion u\AppData\Roaming\Mozilla\Firefox\Profiles\7h60uf87.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-14  16:07:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-14 14:07
.
Vor Suchlauf: 8 Verzeichnis(se), 871.111.806.976 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 870.702.764.032 Bytes frei
.
- - End Of File - - 5DC491C284AB7BA10BBED6EE6FD56479
         

--- --- ---

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Mir fällt übrigens grad auf, dass ich Antivir (die Programmoberfläche) nicht mehr starten kann. Den AVGuard kann ich noch ein/ausschalten. Könnte nach einem Rechner-Neustart behoben sein? Kleine Unstimmigkeit mit Combofix?

Ich mach jetzt erst mal den MBRCheck.

Ja, nach CF bitte den Rechner neustarten, wenn CF das nicht selbst tut.

MBR-Check. "Found non-standard or infected MBR. Enter 'y' for more options or 'n' ... to exit" .

Wenn ich "no" und Exit wähle, finde ich keine txt-Datei auf dem Desktop.

Wenn ich "yes" wähle, habe ich die Options
1: Dump the MBR of a physical disk to file.
2: Restore the MBR of a physical disk with a standard boot code.
3: Exit

Soll ich hier wählen? Und wenn ja, was?

Gruß,
Marion

Das Log landet im selben Ordner, in dem auch die MBRcheck.exe ist