Boot.Mebroot

kira · 21.09.2011, 13:30

#28 <- mach das bitte noch, dann werden wir uns nochmal mit der Thematik beschäftigen

MacManus · 22.09.2011, 19:33

Zitat:

Zitat von kira

habe gelöscht

Zitat:

Zitat von Kira

#28 <- mach das bitte noch, dann werden wir uns nochmal mit der Thematik beschäftigen

Was meinst du mit den beiden Beiträgen?

MacManus · 28.09.2011, 23:01

Code:

ATTFilter

Scanstatistiken:
  Scanzeit: 2.283 Sekunden
  Scanziele: Gesamter Computer
  Zähler:
Gescannte Elemente insgesamt: 416.287
– Dateien und Laufwerke: 410.119
– Registrierungseinträge: 535
– Prozesse und Elemente beim Start: 5.002
– Netzwerk und Browser-Elemente: 627
– Sonstiges: 4
– Vertrauenswürdige Dateien: 9.432
– Übersprungene Dateien: 18.659

Erkannte Sicherheitsrisiken insgesamt: 7
Behobene Elemente insgesamt: 7
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
7 Tracking-Cookies
 Typ: Anomalie
 Risiko: Gering (Gering Verbergen, Gering Entfernen, Gering Leistung, Gering Datenschutz)  
 Kategorien: Tracking-Cookies
 Status: Vollständig behoben
 -----------
 7 Tracking-Cookies
Cookie:matze@ivwbox.de/ - Gelöscht
Cookie:matze@doubleclick.net/ - Gelöscht
Cookie:matze@ad3.adfarm1.adition.com/ - Gelöscht
Cookie:matze@tradedoubler.com/ - Gelöscht
Cookie:matze@mail.ru/ - Gelöscht
Cookie:matze@adfarm1.adition.com/ - Gelöscht
 - Gelöscht




Nicht behobene Bedrohungen:
Keine nicht behobenen Risiken

kira · 29.09.2011, 07:14

das ist jetzt das Protokoll von Norton?..ohne Fund?

MacManus · 29.09.2011, 08:57

Zitat:

Zitat von kira

das ist jetzt das Protokoll von Norton?..ohne Fund?

Ja das ist das Norton Protokoll. Das einzige was gefunden wurde, waren die Cookies.Allerdings hat Norton immer noch eine Bedrohung erkannt, die meine Aufmerksamkeit erfordert und das ist nach wie vor der Boot.Mebroot

kira · 30.09.2011, 03:29

Zitat:

Zitat von MacManus

Allerdings hat Norton immer noch eine Bedrohung erkannt, die meine Aufmerksamkeit erfordert und das ist nach wie vor der Boot.Mebroot

Im Log ist eigentlich nichts zu erkennen...

beantworte mir bitte diese Frage:
Posting #28 - abgearbeitet?

MacManus · 30.09.2011, 04:34

Ja Posting 28 abgearbeitet.

Wundert mich auch. Aber die Boot.MeBroot Meldung habe ich immer noch.Wenn alles in Ordnung ist, dürfte die ja eign nicht mehr auftauchen

kira · 01.10.2011, 06:08

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows 2000 (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte vorher fragen.
Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP

Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist.
Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

MacManus · 03.10.2011, 16:43

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-10-02.03 - Matze 03.10.2011  14:41:07.1.4 - x64
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.8175.6495 [GMT 2:00]
ausgeführt von:: c:\users\Matze\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Enabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\users\Matze\AppData\Local\Temp\3dcf2df1-2a83-477c-a7dd-858967792357\CliSecureRT.dll
c:\windows\SysWow64\muzapp.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-03 bis 2011-10-03  ))))))))))))))))))))))))))))))
.
.
2011-10-03 13:21 . 2011-10-03 13:21	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-09-28 21:06 . 2011-09-28 21:06	--------	d-----w-	c:\windows\SysWow64\wbem\en-US
2011-09-28 21:06 . 2011-09-28 21:06	--------	d-----w-	c:\windows\system32\wbem\en-US
2011-09-23 21:24 . 2011-09-23 21:24	--------	d-----w-	c:\program files (x86)\TeamViewer
2011-09-17 16:21 . 2011-09-17 16:21	--------	d-----w-	C:\Temp
2011-09-17 14:35 . 2011-09-17 14:35	--------	d-----w-	c:\users\Matze\AppData\Local\Samsung
2011-09-17 10:56 . 2011-07-20 07:45	177640	----a-w-	c:\windows\system32\drivers\ssadmdm.sys
2011-09-17 10:56 . 2011-07-20 07:45	16872	----a-w-	c:\windows\system32\drivers\ssadmdfl.sys
2011-09-17 10:56 . 2011-07-20 07:45	157672	----a-w-	c:\windows\system32\drivers\ssadbus.sys
2011-09-17 10:56 . 2011-07-20 07:45	13800	----a-w-	c:\windows\system32\drivers\ssadwhnt.sys
2011-09-17 10:56 . 2011-07-20 07:45	13800	----a-w-	c:\windows\system32\drivers\ssadwh.sys
2011-09-17 10:56 . 2011-07-20 07:45	13288	----a-w-	c:\windows\system32\drivers\ssadcmnt.sys
2011-09-17 10:56 . 2011-07-20 07:45	13288	----a-w-	c:\windows\system32\drivers\ssadcm.sys
2011-09-17 10:55 . 2011-07-26 15:26	4659712	----a-w-	c:\windows\SysWow64\Redemption.dll
2011-09-17 10:55 . 2011-09-17 10:55	--------	d-----w-	c:\program files (x86)\MarkAny
2011-09-17 10:55 . 2011-07-26 15:26	821824	----a-w-	c:\windows\SysWow64\dgderapi.dll
2011-09-17 10:55 . 2011-09-17 10:56	--------	d-----w-	c:\program files (x86)\Samsung
2011-09-17 10:55 . 2011-09-17 10:56	--------	d-----w-	c:\programdata\Samsung
2011-09-17 10:55 . 2011-09-17 10:55	--------	d-----w-	c:\users\Matze\AppData\Roaming\Samsung
2011-09-17 10:54 . 2011-09-17 10:54	--------	d-----w-	c:\users\Matze\AppData\Local\Downloaded Installations
2011-09-17 10:31 . 2011-09-17 10:31	--------	d-----w-	c:\users\Matze\AppData\Roaming\TeamViewer
2011-09-11 07:29 . 2011-09-25 20:55	--------	d-----w-	c:\users\Matze\AppData\Local\CrashDumps
2011-09-10 08:54 . 2011-09-10 08:54	--------	d-----w-	c:\users\Matze\AppData\Roaming\SUPERAntiSpyware.com
2011-09-10 08:52 . 2011-09-10 08:54	--------	d-----w-	c:\program files\SUPERAntiSpyware
2011-09-10 08:52 . 2011-09-10 08:52	--------	d-----w-	c:\programdata\SUPERAntiSpyware.com
2011-09-07 20:42 . 2011-09-07 20:42	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
2011-09-07 20:42 . 2011-09-07 20:42	--------	d-----w-	c:\users\Matze\AppData\Local\Adobe
2011-09-06 18:52 . 2011-09-10 08:47	--------	d-----w-	c:\program files\CCleaner
2011-09-06 16:11 . 2011-09-06 16:11	--------	d-----w-	c:\users\Matze\AppData\Roaming\Malwarebytes
2011-09-06 16:11 . 2011-09-06 16:11	--------	d-----w-	c:\programdata\Malwarebytes
2011-09-06 16:11 . 2011-07-06 17:52	41272	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-09-06 16:11 . 2011-09-06 16:11	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-09-06 16:11 . 2011-07-06 17:52	25912	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-09-06 15:57 . 2011-09-06 15:55	89088	----a-w-	c:\windows\system32\mbr.exe
2011-09-06 15:46 . 2011-09-06 15:46	253952	------w-	c:\windows\Setup1.exe
2011-09-06 15:46 . 2011-09-06 15:46	74752	----a-w-	c:\windows\ST6UNST.EXE
2011-09-05 05:34 . 2011-02-19 12:05	1139200	----a-w-	c:\windows\system32\FntCache.dll
2011-09-05 05:34 . 2011-02-19 12:04	1544192	----a-w-	c:\windows\system32\DWrite.dll
2011-09-05 05:34 . 2011-02-19 12:04	902656	----a-w-	c:\windows\system32\d2d1.dll
2011-09-05 05:34 . 2011-02-19 06:30	1076736	----a-w-	c:\windows\SysWow64\DWrite.dll
2011-09-05 05:34 . 2011-02-19 06:30	739840	----a-w-	c:\windows\SysWow64\d2d1.dll
2011-09-04 20:45 . 2011-09-27 19:26	--------	d-----w-	c:\program files (x86)\JDownloader
2011-09-04 19:17 . 2011-10-03 13:22	25640	----a-w-	c:\windows\gdrv.sys
2011-09-04 19:16 . 2011-09-04 19:37	24	--sh--w-	c:\windows\S78BED8B4.tmp
2011-09-04 19:16 . 2011-09-04 19:16	--------	d-----w-	c:\program files (x86)\SlySoft
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\users\Matze\AppData\Local\Apple
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\program files (x86)\Apple Software Update
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\program files\Common Files\Apple
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\program files\Bonjour
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\program files (x86)\Bonjour
2011-09-04 19:11 . 2011-09-04 19:12	--------	d-----w-	c:\program files (x86)\Common Files\Apple
2011-09-04 19:11 . 2011-09-04 19:11	--------	d-----w-	c:\programdata\Apple
2011-09-04 15:19 . 2011-09-04 15:19	--------	d-----w-	c:\program files (x86)\Common Files\Symantec Shared
2011-09-04 15:14 . 2011-09-04 15:18	--------	d-----w-	c:\program files\Symantec
2011-09-04 15:14 . 2011-09-04 15:18	174200	----a-w-	c:\windows\system32\drivers\SYMEVENT64x86.SYS
2011-09-04 15:14 . 2011-09-04 15:14	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2011-09-04 15:14 . 2011-09-04 19:17	--------	d-----w-	c:\windows\system32\drivers\NISx64
2011-09-04 15:14 . 2011-09-04 15:14	--------	d-----w-	c:\program files (x86)\Norton Internet Security
2011-09-04 15:14 . 2011-09-04 15:14	--------	d-----w-	c:\programdata\Norton
2011-09-04 15:13 . 2011-09-04 15:13	--------	d-----w-	c:\program files (x86)\NortonInstaller
2011-09-04 15:11 . 2011-09-04 15:11	--------	d-----w-	c:\windows\system32\appmgmt
2011-09-04 13:36 . 2011-09-04 13:36	--------	d-sh--w-	c:\programdata\SecuROM
2011-09-04 13:26 . 2011-09-08 20:32	525544	----a-w-	c:\windows\system32\deployJava1.dll
2011-09-04 13:26 . 2011-09-08 20:31	--------	d-----w-	c:\program files\Java
2011-09-04 13:19 . 2011-09-04 20:44	611224	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npdeployJava1.dll
2011-09-04 13:19 . 2011-09-04 20:44	544656	----a-w-	c:\windows\SysWow64\deployJava1.dll
2011-09-04 13:19 . 2011-09-08 20:30	--------	d-----w-	c:\program files (x86)\Java
2011-09-04 08:45 . 2011-09-04 08:45	--------	d-----w-	c:\users\Matze\AppData\Roaming\vlc
2011-09-04 00:06 . 2011-09-04 00:36	--------	d-----w-	c:\users\Matze\AppData\Roaming\SleepTimerUltimate
2011-09-03 23:15 . 2011-09-24 16:27	--------	d-----w-	c:\users\Matze\AppData\Roaming\Bioshock2
2011-09-03 17:03 . 2011-09-03 17:03	--------	d-----w-	c:\users\Matze\AppData\Local\HP
2011-09-03 17:03 . 2011-09-03 17:03	270912	----a-w-	c:\windows\system32\drivers\dtsoftbus01.sys
2011-09-03 17:03 . 2011-09-03 17:03	--------	d-----w-	c:\program files (x86)\DAEMON Tools Lite
2011-09-03 17:02 . 2011-09-10 08:44	--------	d-----w-	c:\users\Matze\AppData\Roaming\DAEMON Tools Lite
2011-09-03 17:02 . 2011-09-03 17:03	--------	d-----w-	c:\programdata\DAEMON Tools Lite
2011-09-03 16:43 . 2011-09-03 16:43	--------	d-----w-	c:\program files (x86)\Winamp
2011-09-03 16:42 . 2011-09-03 16:42	--------	d-----w-	c:\program files (x86)\AnyDVD
2011-09-03 16:40 . 2011-09-03 16:40	--------	d-----w-	c:\programdata\SlySoft
2011-09-03 16:39 . 2011-09-11 11:03	--------	d-----w-	c:\users\Matze\AppData\Roaming\Winamp
2011-09-03 16:30 . 2011-09-03 16:30	--------	d-----w-	c:\program files (x86)\Common Files\PX Storage Engine
2011-09-03 16:28 . 2011-09-03 16:28	--------	d-----w-	c:\program files (x86)\VideoLAN
2011-09-03 16:00 . 2011-09-03 16:02	--------	d-----w-	c:\program files (x86)\ICQ7.5
2011-09-03 15:52 . 2011-09-12 18:30	--------	d-----w-	c:\program files (x86)\Mozilla Thunderbird
2011-09-03 15:43 . 2011-09-03 16:05	--------	d-----w-	c:\program files (x86)\ICQ-Banner-Remover
2011-09-03 15:42 . 2011-09-10 09:15	--------	d-----w-	c:\users\Matze\AppData\Roaming\DesktopIconForAmazon
2011-09-03 15:35 . 2011-10-03 12:36	--------	d-----w-	c:\users\Matze\AppData\Roaming\ICQ
2011-09-03 15:35 . 2011-09-03 15:35	--------	d-----w-	c:\users\Matze\AppData\Local\AOL
2011-09-03 15:20 . 2011-09-03 15:20	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin7.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin6.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin5.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin4.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin3.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin2.dll
2011-09-03 15:07 . 2011-09-04 19:12	159744	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npqtplugin.dll
2011-09-03 14:57 . 2011-08-12 04:10	8862544	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3461E975-8812-47BB-86AC-58472ECF8F5F}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-28 14:06 . 2011-07-23 12:56	30528	----a-w-	c:\windows\GVTDrv64.sys
2011-07-26 15:26 . 2011-07-26 15:26	90112	----a-w-	c:\windows\MAMCityDownload.ocx
2011-07-26 15:26 . 2011-07-26 15:26	325552	----a-w-	c:\windows\MASetupCaller.dll
2011-07-26 15:26 . 2011-07-26 15:26	30568	----a-w-	c:\windows\MusiccityDownload.exe
2011-07-26 15:26 . 2011-07-26 15:26	974848	----a-w-	c:\windows\SysWow64\cis-2.4.dll
2011-07-26 15:26 . 2011-07-26 15:26	81920	----a-w-	c:\windows\SysWow64\issacapi_bs-2.3.dll
2011-07-26 15:26 . 2011-07-26 15:26	65536	----a-w-	c:\windows\SysWow64\issacapi_pe-2.3.dll
2011-07-26 15:26 . 2011-07-26 15:26	57344	----a-w-	c:\windows\SysWow64\MTXSYNCICON.dll
2011-07-26 15:26 . 2011-07-26 15:26	57344	----a-w-	c:\windows\SysWow64\MK_Lyric.dll
2011-07-26 15:26 . 2011-07-26 15:26	57344	----a-w-	c:\windows\SysWow64\issacapi_se-2.3.dll
2011-07-26 15:26 . 2011-07-26 15:26	569344	----a-w-	c:\windows\SysWow64\muzdecode.ax
2011-07-26 15:26 . 2011-07-26 15:26	491520	----a-w-	c:\windows\SysWow64\muzapp.dll
2011-07-26 15:26 . 2011-07-26 15:26	49152	----a-w-	c:\windows\SysWow64\MaJGUILib.dll
2011-07-26 15:26 . 2011-07-26 15:26	45056	----a-w-	c:\windows\SysWow64\MaXMLProto.dll
2011-07-26 15:26 . 2011-07-26 15:26	45056	----a-w-	c:\windows\SysWow64\MACXMLProto.dll
2011-07-26 15:26 . 2011-07-26 15:26	40960	----a-w-	c:\windows\SysWow64\MTTELECHIP.dll
2011-07-26 15:26 . 2011-07-26 15:26	40960	----a-w-	c:\windows\SysWow64\MAMACExtract.dll
2011-07-26 15:26 . 2011-07-26 15:26	352256	----a-w-	c:\windows\SysWow64\MSLUR71.dll
2011-07-26 15:26 . 2011-07-26 15:26	258048	----a-w-	c:\windows\SysWow64\muzoggsp.ax
2011-07-26 15:26 . 2011-07-26 15:26	245760	----a-w-	c:\windows\SysWow64\MSCLib.dll
2011-07-26 15:26 . 2011-07-26 15:26	24576	----a-w-	c:\windows\SysWow64\MASetupCleaner.exe
2011-07-26 15:26 . 2011-07-26 15:26	200704	----a-w-	c:\windows\SysWow64\muzwmts.dll
2011-07-26 15:26 . 2011-07-26 15:26	155648	----a-w-	c:\windows\SysWow64\MSFLib.dll
2011-07-26 15:26 . 2011-07-26 15:26	143360	----a-w-	c:\windows\SysWow64\3DAudio.ax
2011-07-26 15:26 . 2011-07-26 15:26	135168	----a-w-	c:\windows\SysWow64\muzaf1.dll
2011-07-26 15:26 . 2011-07-26 15:26	131072	----a-w-	c:\windows\SysWow64\muzmpgsp.ax
2011-07-26 15:26 . 2011-07-26 15:26	122880	----a-w-	c:\windows\SysWow64\muzeffect.ax
2011-07-26 15:26 . 2011-07-26 15:26	118784	----a-w-	c:\windows\SysWow64\MaDRM.dll
2011-07-26 15:26 . 2011-07-26 15:26	110592	----a-w-	c:\windows\SysWow64\muzmp4sp.ax
2011-07-16 04:26 . 2011-09-03 14:58	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2011-07-12 09:34 . 2011-07-12 09:34	96104	----a-w-	c:\windows\system32\dns-sd.exe
2011-07-12 09:34 . 2011-07-12 09:34	85864	----a-w-	c:\windows\system32\dnssd.dll
2011-07-12 09:34 . 2011-07-12 09:34	61288	----a-w-	c:\windows\system32\jdns_sd.dll
2011-07-12 09:34 . 2011-07-12 09:34	212840	----a-w-	c:\windows\system32\dnssdX.dll
2011-07-12 09:20 . 2011-07-12 09:20	83816	----a-w-	c:\windows\SysWow64\dns-sd.exe
2011-07-12 09:20 . 2011-07-12 09:20	73064	----a-w-	c:\windows\SysWow64\dnssd.dll
2011-07-12 09:20 . 2011-07-12 09:20	50536	----a-w-	c:\windows\SysWow64\jdns_sd.dll
2011-07-12 09:20 . 2011-07-12 09:20	178536	----a-w-	c:\windows\SysWow64\dnssdX.dll
2011-07-05 16:37 . 2011-07-05 16:37	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2011-07-05 16:37 . 2011-07-05 16:37	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]
"KiesHelper"="c:\program files (x86)\Samsung\Kies\KiesHelper.exe" [2011-07-26 958352]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2011-07-26 3507088]
"KiesPDLR"="c:\program files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2011-07-26 20880]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-11-05 283160]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-11-05 13336]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 GVTDrv64;GVTDrv64;c:\windows\GVTDrv64.sys [2011-07-28 30528]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1206000.01D\SYMDS64.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1206000.01D\SYMEFA64.SYS [x]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [x]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20110920.001\BHDrvx64.sys [2011-09-09 1152632]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20110930.030\IDSvia64.sys [2011-09-02 488568]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [2011-07-22 14928]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [2011-07-12 12368]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1206000.01D\Ironx64.SYS [x]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\NISx64\1206000.01D\SYMNETS.SYS [x]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [2011-08-11 140672]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\18.6.0.29\ccSvcHst.exe [2011-04-17 130008]
S2 Smart TimeLock;Smart TimeLock Service;c:\program files (x86)\GIGABYTE\Smart6\Timelock\TimeMgmtDaemon.exe [2009-10-13 114688]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-08-30 2358656]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2011-09-04 136824]
S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]
S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45d30484-7ded-43d9-957a-d2fd1f046511}]
2010-11-21 03:23	444752	----a-w-	c:\windows\System32\mscoree.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1d09c093-f71e-43c3-b948-19316cbd695e}"= "mscoree.dll" [2010-11-21 444752]
.
[HKEY_CLASSES_ROOT\CLSID\{1d09c093-f71e-43c3-b948-19316cbd695e}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-01-04 11772520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"RPMKickstart"="c:\program files\GIGABYTE\SMART6\Recovery\RPMKickstart.exe" [2010-08-23 2552320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files (x86)\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Matze\AppData\Roaming\Mozilla\Firefox\Profiles\7bwcp5u1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.klamm.de/
FF - prefs.js: keyword.URL - hxxp://startsear.ch/?q=
FF - prefs.js: network.proxy.type - 0
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\18.6.0.29\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\18.6.0.29\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-03  15:24:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-03 13:24
.
Vor Suchlauf: 9 Verzeichnis(se), 69.922.918.400 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 69.483.122.688 Bytes frei
.
- - End Of File - - 49D089ECE9F50097D0034550FDD6FD65

--- --- ---

MacManus · 03.10.2011, 16:44

Code:

ATTFilter

@BIOS
1400
1400_Help
1400Trb
Adobe Flash Player 10 Plugin
Adobe Reader X (10.1.0) - Deutsch
AIO_CDB_ProductContext
AIO_CDB_Software
AIO_Scan
AnyDVD
Apple Application Support
Apple Software Update
AutoGreen B10.1021.1
BioShock 2
BufferChm
Copy
DAEMON Tools Lite
Destinations
DeviceDiscovery
DocProc
Easy Tune 6 B10.1216.1
Etron USB3.0 Host Controller
Fax
GPBaseService2
HP Update
HPDiagnosticAlert
HPPhotoGadget
HPPhotoSmartDiscLabelContent1
HPPhotosmartEssential
HPProductAssistant
HPSSupply
HydraVision
ICQ 7.5 Build #5259 Banner Remover 1.0
ICQ7.5
Intel(R) Control Center
Intel(R) Management Engine Components
Intel(R) Rapid Storage Technology
JDownloader 0.9
Malwarebytes' Anti-Malware Version 1.51.1.1800
MarketResearch
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox 7.0.1 (x86 de)
Mozilla Thunderbird (6.0.2)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Norton Internet Security
ON_OFF Charge B11.0110.1
QuickTime
Realtek Ethernet Controller Driver
Realtek High Definition Audio Driver
Samsung Kies
Scan
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Smart 6 B10.1221.1
SmartWebPrinting
SolutionCenter
Status
TeamViewer 6
Toolbox
TrayApp
UnloadSupport
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
VideoLAN VLC media player 0.8.6c
WebReg
Winamp

kira · 04.10.2011, 15:06

lass Norton erneut laufen (vorher updaten), Protokoll posten...
ob tauchen noch Meldungen von Norton auf?

MacManus · 04.10.2011, 18:39

Meldung taucht nach wie vor auf:-(

kira · 06.10.2011, 09:45

Bisher führten leider alle Bemühungen nicht zum gewünschten Erfolg, dann empfiehlt es sich (um Dir Zeit und Ärger zu ersparen) eine Neuinstallation glaube ich. Das ist auf jeden Fall die sicherste Methode, deinen Rechner 100%ig wieder sauber bekommen.
Ob Norton Antivirus bringt einen False Meldung? Allerdings es ist schwierig richtig einschätzen zu können, da dein System ist / war von MBR-Rootkit befallen.

MacManus · 07.10.2011, 18:44

wie gesagt das mit der dos eingabe hab ich noch net gemacht..das ging ja net

kira · 08.10.2011, 06:45

wie gesagt, am besten das System neu aufsetzen, nur so kannst Dir sicher sein, dass dein Speicher sauber ist

Boot.Mebroot

Plagegeister aller Art und deren Bekämpfung: Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Boot.Mebroot

Ähnliche Themen: Boot.Mebroot

30.09.2011, 04:34	#37
MacManus	Boot.Mebroot Ja Posting 28 abgearbeitet. Wundert mich auch. Aber die Boot.MeBroot Meldung habe ich immer noch.Wenn alles in Ordnung ist, dürfte die ja eign nicht mehr auftauchen

04.10.2011, 18:39	#42
MacManus	Boot.Mebroot Meldung taucht nach wie vor auf:-(

07.10.2011, 18:44	#44
MacManus	Boot.Mebroot wie gesagt das mit der dos eingabe hab ich noch net gemacht..das ging ja net