Guten Tag,

habe mir einen Virus, Trojaner oder was auch immer eingefangen. Ich habe mir ein Video angeschaut und aufmal wird der Bildschirm weiß und ich soll 100 Euro via U-Kash überweisen, damit mein Desktop wieder freigegeben wird. Ich habe jetzt wieder die Kontrolle über meinen Rechner erlangt, in dem ich im abgesicherten Modus eine Systemwiederherstellung gemacht habe. Habe dann direkt in dem Modus ein Fullscan mit MSE gemacht und S&D. Habe einige Trojaner entfernt. Alle hatten etwas mit Java zu tun. Habe dann den Firefox Ordner gelöscht und neu gestartet. Dann habe ich Malwarebytes durchlaufen lassen. Full-Scan und Flashscan. Habe dann weitere 6 Viren gelöscht. Diese waren aber "harmlos". Waren alles Keylogger versteckt in exe Datein, die ich schon seit Jahren nicht mehr verwendet habe.

Habe jetzt einen Scan mit OTL gemacht. Wäre nett, wenn jemand noch mal drüber schauen könnte, ob jetzt wirklich alles wieder in Ordnung ist. Als nächstes lasse ich nochmal nach Anleitung einen Rootkit-Scanner durchlaufen. Wäre über jede Hilfe dankbar, denn ich möcht mich wieder etwas sicherer fühlen. Traue den Scans meiner Antivirus, Antimalware und co nicht mehr

Vielen Dank im Vorraus.


Mfg der Gebeutelte.

Moin nochmal.

Habe nun einen Scan gemacht. Keine Ahnung was mir das sagen soll. Vielleicht kann hier jemand was damit anfangen.

Mfg Gebeutelt.

Zitat:

Habe dann direkt in dem Modus ein Fullscan mit MSE gemacht und S&D. Habe einige Trojaner entfernt. Alle hatten etwas mit Java zu tun. Habe dann den Firefox Ordner gelöscht und neu gestartet. Dann habe ich Malwarebytes durchlaufen lassen. Full-Scan und Flashscan. Habe dann weitere 6 Viren gelöscht.

Logs von MSE und MBAM alle komplett nachreichen bitte.

Hallo,

hier einmal die Logs von Malwarebytes. Ich weiß nicht wie ich den Verlauf von MSE extrahiere. Weiß das wer?

S&D hatte gar nichts gefunden. Das hat irgendwie noch nie was gefunden

Mfg Gebeutelt

*edit: Verlauf von MSE als .jpeg angehängt

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes)

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Moin,

nein ich mache nichts außer zocken an dem Rechner. Mit E-Banking hab ich nichts am Hut. Ist mir zu unsicher.. scheinbar mit recht

Mfg Gebeutelt

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hi,

hier noch ein zweiter Scan mit OTL. Musste ihn Zippen, sonst wäre er zu groß gewesen. Hatte oben schon mal einen eingefügt, aber nicht mit einem Custom-Scan. Habe alle Programme geschlossen gehabt und auch die Virenscanner deaktiviert.

Mfg Gebeutelt

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://onepieceofbleach.com/"
[2011.05.06 23:07:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\XXXXX\AppData\Roaming\mozilla\Firefox\Profiles\g1xbimo4.default\extensions\engine@conduit.com
[2010.04.13 00:03:10 | 000,000,903 | ---- | M] () -- C:\Users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\searchplugins\conduit.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump) - G:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,000,049 | R--- | M] () - G:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell\AutoRun\command - "" = J:\start.exe
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump)
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\AutoRun\command - "" = H:\autorun.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\directx\command - "" = H:\DirectX9\dxsetup.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\setup\command - "" = H:\setup.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:7013C3D98A027985
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Guten Tag,

habe den Fix durchgeführt und neu gestartet. Beim neustarten hat er dann das Log geöffnet. Habs als Anhang angehängt.

Mfg Gebeutelt

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-08-15.07 - XXXXX 15.08.2011  16:07:11.1.4 - x64
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.4094.2481 [GMT 2:00]
ausgeführt von:: c:\users\XXXXX\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hpeE47C.dll
F:\install.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-15 bis 2011-08-15  ))))))))))))))))))))))))))))))
.
.
2011-08-15 14:12 . 2011-08-15 14:14	--------	d-----w-	c:\users\XXXXX\AppData\Local\temp
2011-08-15 14:12 . 2011-08-15 14:12	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2011-08-14 08:56 . 2011-07-13 04:53	8578896	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{ABB61767-4D63-46F3-9992-E3DDDC6D3822}\mpengine.dll
2011-08-13 11:33 . 2011-08-13 11:33	--------	d-----w-	C:\_OTL
2011-08-11 14:07 . 2011-03-08 13:05	601424	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FBE68FB2-150E-48CC-9108-984E7D1029B0}\gapaengine.dll
2011-08-10 20:14 . 2011-08-10 20:14	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2011-08-10 15:53 . 2011-06-06 10:59	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-06 10:59	2409784	----a-w-	c:\program files (x86)\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-17 16:16	451072	----a-w-	c:\windows\system32\winsrv.dll
2011-08-10 15:53 . 2011-07-06 15:49	275456	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-08-10 15:53 . 2011-06-17 20:14	1424272	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-08-10 15:53 . 2011-06-17 13:56	40448	----a-w-	c:\windows\system32\drivers\tcpipreg.sys
2011-08-10 15:53 . 2011-06-20 08:45	4699536	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-08-07 12:46 . 2011-08-07 12:45	627600	----a-w-	c:\windows\system32\deployJava1.dll
2011-08-07 10:11 . 2011-07-13 04:53	8578896	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-08-07 07:24 . 2011-08-07 07:24	--------	d-----w-	c:\program files (x86)\Apple Software Update
2011-08-07 06:40 . 2011-08-07 06:40	--------	d-----w-	c:\users\XXXXX\AppData\Roaming\Malwarebytes
2011-08-07 06:40 . 2011-07-06 17:52	41272	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-08-07 06:40 . 2011-08-07 06:40	--------	d-----w-	c:\programdata\Malwarebytes
2011-08-07 06:40 . 2011-08-07 06:40	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-08-07 06:40 . 2011-07-06 17:52	25912	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-20 17:12 . 2011-05-23 04:10	--------	d-----w-	c:\program files\teamspeak3-server_win64
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-13 04:53 . 2011-03-08 13:06	8578896	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-27 19:04 . 2011-05-23 14:40	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-02 13:50 . 2011-07-13 14:50	2764288	----a-w-	c:\windows\system32\win32k.sys
2011-05-21 04:01 . 2011-05-21 04:01	8863336	----a-w-	c:\windows\system32\nvwgf2umx.dll
2011-05-21 04:01 . 2011-05-21 04:01	7123560	----a-w-	c:\windows\system32\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01	67176	----a-w-	c:\windows\system32\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01	6555240	----a-w-	c:\windows\SysWow64\nvwgf2um.dll
2011-05-21 04:01 . 2011-05-21 04:01	57960	----a-w-	c:\windows\SysWow64\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01	5301352	----a-w-	c:\windows\SysWow64\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01	2943592	----a-w-	c:\windows\system32\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01	2804328	----a-w-	c:\windows\SysWow64\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01	2335848	----a-w-	c:\windows\SysWow64\nvapi.dll
2011-05-21 04:01 . 2011-05-21 04:01	22286952	----a-w-	c:\windows\system32\nvoglv64.dll
2011-05-21 04:01 . 2011-05-21 04:01	2212968	----a-w-	c:\windows\system32\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01	2082408	----a-w-	c:\windows\SysWow64\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01	18583144	----a-w-	c:\windows\system32\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01	16456296	----a-w-	c:\windows\SysWow64\nvoglv32.dll
2011-05-21 04:01 . 2011-05-21 04:01	15223912	----a-w-	c:\windows\system32\nvd3dumx.dll
2011-05-21 04:01 . 2011-05-21 04:01	1496168	----a-w-	c:\windows\system32\nvdispco6420150.dll
2011-05-21 04:01 . 2011-05-21 04:01	1427048	----a-w-	c:\windows\system32\nvgenco642090.dll
2011-05-21 04:01 . 2011-05-21 04:01	13206120	----a-w-	c:\windows\system32\drivers\nvlddmkm.sys
2011-05-21 04:01 . 2011-05-21 04:01	13011560	----a-w-	c:\windows\SysWow64\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01	11992680	----a-w-	c:\windows\SysWow64\nvd3dum.dll
2011-05-21 04:01 . 2011-04-07 21:19	2560616	----a-w-	c:\windows\system32\nvsvcr.dll
2011-05-21 04:01 . 2011-04-07 21:19	117864	----a-w-	c:\windows\system32\nvmctray.dll
2011-05-21 04:01 . 2011-04-07 21:19	1016936	----a-w-	c:\windows\system32\nvvsvc.exe
2011-05-21 04:01 . 2011-04-07 21:19	739432	----a-w-	c:\windows\system32\easyupdatusapiu64.dll
2011-05-21 04:01 . 2011-04-07 21:19	6300776	----a-w-	c:\windows\system32\nvcpl.dll
2011-05-21 04:01 . 2011-04-07 21:18	3040872	----a-w-	c:\windows\system32\nvsvc64.dll
2011-05-21 04:01 . 2009-05-01 00:46	61544	----a-w-	c:\windows\system32\nvshext.dll
2011-05-21 04:01 . 2008-05-22 05:34	2644584	----a-w-	c:\windows\system32\nvapi64.dll
2011-05-18 21:07 . 2011-05-18 21:07	74752	----a-w-	c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07	161792	----a-w-	c:\windows\SysWow64\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07	76800	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07	86528	----a-w-	c:\windows\SysWow64\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07	74752	----a-w-	c:\windows\SysWow64\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07	63488	----a-w-	c:\windows\SysWow64\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07	420864	----a-w-	c:\windows\SysWow64\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07	367104	----a-w-	c:\windows\SysWow64\html.iec
2011-05-18 21:07 . 2011-05-18 21:07	23552	----a-w-	c:\windows\SysWow64\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07	152064	----a-w-	c:\windows\SysWow64\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07	1427456	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07	35840	----a-w-	c:\windows\SysWow64\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07	142848	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2011-05-18 21:07 . 2011-05-18 21:07	11776	----a-w-	c:\windows\SysWow64\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07	101888	----a-w-	c:\windows\SysWow64\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07	222208	----a-w-	c:\windows\system32\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07	12288	----a-w-	c:\windows\system32\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07	114176	----a-w-	c:\windows\system32\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07	91648	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07	76800	----a-w-	c:\windows\system32\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07	49664	----a-w-	c:\windows\system32\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07	48640	----a-w-	c:\windows\system32\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07	135168	----a-w-	c:\windows\system32\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07	111616	----a-w-	c:\windows\system32\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07	85504	----a-w-	c:\windows\system32\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07	603648	----a-w-	c:\windows\system32\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07	448512	----a-w-	c:\windows\system32\html.iec
2011-05-18 21:07 . 2011-05-18 21:07	30720	----a-w-	c:\windows\system32\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07	165888	----a-w-	c:\windows\system32\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07	160256	----a-w-	c:\windows\system32\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07	1492992	----a-w-	c:\windows\system32\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07	173056	----a-w-	c:\windows\system32\ieUnatt.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" [2010-11-21 4608]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-10 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;d:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-12-15 25832]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [x]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [x]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [x]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [x]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [x]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [x]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
R4 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R4 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-21 2214504]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-04-07 378472]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-07 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
- c:\program files (x86)\Spybot - Search & Destroy\SDUpdate.exe [2008-11-24 14:31]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RAVCpl64.exe" [2008-05-20 6296064]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = 
mLocal Page = 
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
TCP: Interfaces\{1C7F18F4-66FE-49B6-B8D9-1B7B3A01D8C4}: NameServer = 192.168.2.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.startup.homepage - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files (x86)\DivX\DivXCodecUninstall.exe
AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - c:\program files (x86)\DivX\DivXPlayerUninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3668465672-3178741497-4134219737-1000\Software\SecuROM\License information*]
"datasecu"=hex:6d,6f,8a,ad,6b,7a,4f,3f,74,09,96,a5,17,e5,e8,6c,be,31,1f,d0,ce,
   79,69,49,5a,ee,da,a2,94,67,1c,79,a2,ea,55,bd,a9,bb,15,1f,8d,55,09,c2,87,02,\
"rkeysecu"=hex:9b,fb,7d,02,84,3a,18,6d,d3,de,ba,23,1f,f4,c7,49
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\ASUS\Six Engine\SixEngine.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-15  16:19:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-08-15 14:19
.
Vor Suchlauf: 10 Verzeichnis(se), 14.717.833.216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.783.586.304 Bytes frei
.
- - End Of File - - 7A03EB00D1DCF06A0F5CBA1E803D5051
         

--- --- ---

Kleine Anmerkung noch.

Ist das normal, dass ich nach dem Neustart so nen Standart Microsoft-Hintergrund habe, obwohl ich vorher einen normalen Schwarzen Hintergrund hatte?

Mfg Gebeutelt.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Moin,

habe den Scan durchgeführt. Musste ihn leider im abgesicherten Modus machen. Im normalen Modus habe ich sofort einen Bluescreen bekommen, sobald ich auf Scan geklickt habe. Anbei das Log.


Mfg Gebeutelt.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes