Ahaaa.

Ich würde gern die Bereinigung bis zum Ende durchführen.

Viele Grüße, Ann

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo, hier das Log von Combofix - viele Grüße, Ann:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-10.01 - ds 10.10.2011  13:41:00.1.1 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2975.2072 [GMT 2:00]
ausgeführt von:: c:\users\ds\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\users\ds\Favorites\BackupManager.list
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-10 bis 2011-10-10  ))))))))))))))))))))))))))))))
.
.
2011-10-10 11:51 . 2011-10-10 11:51	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-10-10 11:51 . 2011-10-10 11:52	--------	d-----w-	c:\users\ds\AppData\Local\temp
2011-10-07 05:40 . 2011-09-12 23:14	7269712	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A881DF14-6D8E-454E-A521-762772719994}\mpengine.dll
2011-10-06 17:47 . 2011-10-06 17:47	--------	d-----w-	C:\_OTL
2011-10-05 17:09 . 2011-10-05 17:09	--------	d-----w-	c:\program files\ESET
2011-10-05 15:39 . 2011-10-07 07:27	--------	d-----w-	c:\users\ds\AppData\Roaming\vlc
2011-10-05 15:38 . 2011-10-05 15:38	--------	d-----w-	c:\program files\VideoLAN
2011-10-05 13:35 . 2011-10-05 13:35	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-04 22:44 . 2011-10-04 22:44	--------	d-----w-	c:\users\ds\AppData\Roaming\Malwarebytes
2011-10-04 22:44 . 2011-10-04 22:44	--------	d-----w-	c:\programdata\Malwarebytes
2011-10-04 22:44 . 2011-10-04 23:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-10-04 22:44 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-10-04 22:21 . 2011-10-04 22:21	388096	----a-r-	c:\users\ds\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-10-04 22:21 . 2011-10-04 22:21	--------	d-----w-	c:\program files\Trend Micro
2011-10-04 18:34 . 2011-10-04 20:38	--------	d-----w-	c:\users\ds\mozilla-sicherung
2011-09-27 18:10 . 2011-09-27 18:10	--------	d-----w-	c:\windows\system32\drivers\UMDF\it-IT
2011-09-27 18:10 . 2011-09-27 18:10	--------	d-----w-	c:\windows\system32\drivers\UMDF\fr-FR
2011-09-27 18:10 . 2011-09-27 18:10	--------	d-----w-	c:\windows\system32\drivers\UMDF\es-ES
2011-09-27 18:09 . 2011-09-27 18:09	--------	d-----w-	c:\windows\system32\drivers\UMDF\en-US
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-08-05 10:40 . 2011-08-05 10:40	3584	----a-w-	c:\windows\system32\drivers\UMDF\zh-TW\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	3584	----a-w-	c:\windows\system32\drivers\UMDF\zh-CN\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\sv-SE\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\ru-RU\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\pt-PT\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\pt-BR\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\pl-PL\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6656	----a-w-	c:\windows\system32\drivers\UMDF\nl-NL\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	5632	----a-w-	c:\windows\system32\drivers\UMDF\nb-NO\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	6144	----a-w-	c:\windows\system32\drivers\UMDF\ms-MY\ZuneDriver.dll.mui
2011-08-05 10:40 . 2011-08-05 10:40	4096	----a-w-	c:\windows\system32\drivers\UMDF\ko-KR\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	4608	----a-w-	c:\windows\system32\drivers\UMDF\ja-JP\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6656	----a-w-	c:\windows\system32\drivers\UMDF\it-IT\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6144	----a-w-	c:\windows\system32\drivers\UMDF\id-ID\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6656	----a-w-	c:\windows\system32\drivers\UMDF\hu-HU\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6144	----a-w-	c:\windows\system32\drivers\UMDF\fr-FR\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6144	----a-w-	c:\windows\system32\drivers\UMDF\fi-FI\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6656	----a-w-	c:\windows\system32\drivers\UMDF\es-ES\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6656	----a-w-	c:\windows\system32\drivers\UMDF\el-GR\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6144	----a-w-	c:\windows\system32\drivers\UMDF\de-DE\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	6144	----a-w-	c:\windows\system32\drivers\UMDF\da-DK\ZuneDriver.dll.mui
2011-08-05 10:39 . 2011-08-05 10:39	5632	----a-w-	c:\windows\system32\drivers\UMDF\cs-CZ\ZuneDriver.dll.mui
2011-08-05 10:26 . 2011-08-05 10:26	6144	----a-w-	c:\windows\system32\drivers\UMDF\en-US\ZuneDriver.dll.mui
2011-07-22 02:54 . 2011-08-11 10:13	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-07-22 02:48 . 2011-08-11 10:13	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-07-22 02:44 . 2011-08-11 10:13	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-07-16 04:27 . 2011-08-10 05:57	290816	----a-w-	c:\windows\system32\KernelBase.dll
2011-07-16 04:15 . 2011-08-10 05:57	4096	---ha-w-	c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	4096	---ha-w-	c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	4608	---ha-w-	c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	4096	---ha-w-	c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2011-07-16 04:15 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 05:57	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 05:57	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 05:57	3584	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2011-07-16 02:17 . 2011-08-10 05:57	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2011-09-29 07:09 . 2011-10-05 09:40	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ProductReg"="c:\program files\Acer\WR_PopUp\ProductReg.exe" [2009-04-15 135168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-06-18 1537320]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-06 7600672]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-06 1833504]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-08-19 487424]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-04-11 249600]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"VitaKeyPdtWzd"="c:\program files\Acer Bio Protection\PdtWzd.exe" [2009-09-05 3567616]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-04-08 1067528]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2007-11-19 128352]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 167424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 144384]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312]
"Zune Launcher"="c:\program files\Zune\ZuneLauncher.exe" [2011-08-05 159456]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	c:\program files\Acer Bio Protection\PwdFilter
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 136176]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 136176]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-06-22 100736]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\Drivers\motoandroid.sys [x]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-02 174592]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-02 1343400]
R3 WMZuneComm;Zune Windows Mobile Connectivity Service;c:\program files\Zune\WMZuneComm.exe [2011-08-05 268512]
S1 DPMemGridVista;Physical Memory I/O for GridVista;c:\program files\GridVista\DPMemGridVista.sys [2008-10-01 10504]
S1 VWiFiFlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360]
S2 DsiWMIService;Dritek WMI Service;c:\program files\Launch Manager\dsiwmis.exe [2009-03-23 117256]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [2009-08-19 688128]
S2 FPSensor;EgisTec-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2010-01-11 29744]
S2 IGBASVC;EgisTec Service;c:\program files\Acer Bio Protection\BASVC.exe [2009-09-05 3450368]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-04-11 61184]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-02-05 237568]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-05-25 122368]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2009-09-15 6114816]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-01 139776]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 08:08]
.
2011-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-14 08:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vz32&d=0609&m=travelmate_8371
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\ds\AppData\Roaming\Mozilla\Firefox\Profiles\u4g6exj8.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(568)
c:\program files\Acer Bio Protection\PwdFilter.DLL
.
Zeit der Fertigstellung: 2011-10-10  13:56:47
ComboFix-quarantined-files.txt  2011-10-10 11:56
.
Vor Suchlauf: 13 Verzeichnis(se), 202.719.526.912 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 203.253.702.656 Bytes frei
.
- - End Of File - - 3FECCF1145776D7AD12479C02552B344
         

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Soll ich bei GMER die IAT auch durchsuchen lassen, -> so wie die Häkchen in dem Link oben gesetzt sind http://www.trojaner-board.de/74908-a...-scanner.html, oder nicht, so wie ich das beim ersten Mal machen sollte http://www.trojaner-board.de/69886-a...beachten.html? Soll ich auch die D-Platte durchsuchen lassen? Ich mach jetzt mal mit OSAM weiter....

Hier das OSAM-Log, sah nicht ganz so aus wie in der Anleitung, hoffe, so ok, viele Grüße, Ann:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:51:51 on 10.10.2011

OS: Windows 7  Service Pack 1 (Build 7601), 32-bit
Default Browser: Mozilla Corporation Firefox 7.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl
"ISUSPM.cpl" - "Macrovision Corporation" - C:\Windows\system32\ISUSPM.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\ds\AppData\Local\Temp\catchme.sys  (File not found)
"int15" (int15) - ? - C:\Windows\system32\drivers\int15.sys  (File found, but it contains no detailed information)
"MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\Windows\system32\drivers\mbamswissarmy.sys  (File not found)
"Mot ADB Interface Driver" (motandroidusb) - ? - C:\Windows\System32\Drivers\motoandroid.sys  (File not found)
"MotCcgpFlService" (motccgpfl) - ? - C:\Windows\System32\DRIVERS\motccgpfl.sys  (File not found)
"Motorola USB CDC ACM Driver" (motmodem) - ? - C:\Windows\System32\DRIVERS\motmodem.sys  (File not found)
"Motorola USB Composite Device Driver" (motccgp) - ? - C:\Windows\System32\DRIVERS\motccgp.sys  (File not found)
"Motorola USB Dev Driver" (motusbdevice) - ? - C:\Windows\System32\DRIVERS\motusbdevice.sys  (File not found)
"Motorola USB Networking Driver Service" (Motousbnet) - ? - C:\Windows\System32\DRIVERS\Motousbnet.sys  (File not found)
"MotoSwitch Service" (MotoSwitchService) - ? - C:\Windows\System32\DRIVERS\motswch.sys  (File not found)
"Physical Memory I/O for GridVista" (DPMemGridVista) - "Dritek System Inc." - C:\Program Files\GridVista\DPMemGridVista.sys
"regi" (regi) - "InterVideo" - C:\Windows\System32\drivers\regi.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\Windows\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\Windows\System32\Drivers\NTIDrvr.sys
"USB Networking Driver Filter Service" (BTCFilterService) - ? - C:\Windows\System32\DRIVERS\motfilt.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\Shell Extensions\XCShInfo.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - c:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{8F9D8FBE-C5C1-4B65-986E-51235C9283E8} "FPLaunchCache" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\FPLaunchCache.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btncopy.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\Shell Extensions\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\Shell Extensions\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\Shell Extensions\XCShInfo.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{BC0E0A5D-AB5A-4fa4-A5FA-280E1D58EEEE} "Add to Evernote" - ? -   (File not found | COM-object registry key not found)
"Quick-Launch Area" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\PwdBank.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} "QuickStores-Toolbar" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} "PDF-XChange Viewer IE-Plugin" - "Tracker Software Products Ltd." - C:\Program Files\Tracker Software\Tracker Software\PDF Viewer\PDFXCviewIEPlugin.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Notification packages" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\PwdFilter.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\ds\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"Acer VCM.lnk" - "Acer Incorporated" - C:\Program Files\Acer\Acer VCM\AcerVCM.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Bluetooth.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ProductReg" - "Acer" - "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acer ePower Management" - "Acer Incorporated" - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"BackupManagerTray" - "NewTech Infosystems, Inc." - "C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -k
"CanonMyPrinter" - "CANON INC." - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu" - "CANON INC." - C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
"IAAnotif" - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
"IJNetworkScanUtility" - "CANON INC." - C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"
"LexwareInfoService" - "Haufe-Lexware GmbH & Co. KG" - C:\Program Files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
"LManager" - "Dritek System Inc." - C:\Program Files\Launch Manager\LManager.exe
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"PLFSetI" - ? - C:\Windows\PLFSetI.exe
"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
"VitaKeyPdtWzd" - "Egis Technology Inc." - "C:\Program Files\Acer Bio Protection\PdtWzd.exe"
"Zune Launcher" - "Microsoft Corporation" - "c:\Program Files\Zune\ZuneLauncher.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Canon BJNP Port" - "CANON INC." - C:\Windows\system32\CNMNPPM.DLL
"FRITZ!fax Color Monitor" - ? - FritzVistaColorMon.dll  (File not found)
"FRITZ!fax Port Monitor" - ? - FritzVistaMon.dll  (File not found)
"Redirected Port" - ? - C:\Windows\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acer ePower Service" (ePowerSvc) - "Acer Incorporated" - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
"Dritek WMI Service" (DsiWMIService) - "Dritek System Inc." - C:\Program Files\Launch Manager\dsiwmis.exe
"EgisTec Service" (IGBASVC) - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\BASVC.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Updater Service" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"NTI IScheduleSvc" (NTI IScheduleSvc) - "NewTech Infosystems, Inc." - C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Raw Socket Service" (RS_Service) - "Acer Incorporated" - C:\Program Files\Acer\Acer VCM\RS_Service.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
"Zune Network Sharing Service" (ZuneNetworkSvc) - "Microsoft Corporation" - c:\Program Files\Zune\ZuneNss.exe
"Zune Windows Mobile Connectivity Service" (WMZuneComm) - "Microsoft Corporation" - c:\Program Files\Zune\WMZuneComm.exe
"Zune Wireless Configuration Service" (ZuneWlanCfgSvc) - "Microsoft Corporation" - c:\Program Files\Zune\ZuneWlanCfgSvc.exe

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

Hier das GMER-Log (nachdem GMER zwei Mal abgestürzt war, habe ich wie beim ersten Mal scannen lassen: IAT ausgehakt, dafür auch D angehakt, hoffe, das nützt auch so) - viele Grüße, Ann:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-10 21:34:50
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST932032 rev.0303
Running: nov7xjnm.exe; Driver: C:\Users\ds\AppData\Local\Temp\pgtdapoc.sys


---- System - GMER 1.0.15 ----

SSDT            91D303DE                                                                                         ZwCreateSection
SSDT            91D303E3                                                                                         ZwSetContextThread
SSDT            91D3037F                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13D1                                                                    83091349 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           830CAD52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7                                                              830D1EAC 4 Bytes  [DE, 03, D3, 91]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597                                                              830D224C 4 Bytes  [E3, 03, D3, 91]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F                                                              830D2324 4 Bytes  [7F, 03, D3, 91]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004e                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                         fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556ef9a0f                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556ef9a0f@c8df7c89236b         0x39 0x22 0x1B 0x12 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002556ef9a0f@78471da65bb7         0x14 0xF3 0x65 0x52 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556ef9a0f (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556ef9a0f@c8df7c89236b             0x39 0x22 0x1B 0x12 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002556ef9a0f@78471da65bb7             0x14 0xF3 0x65 0x52 ...

---- EOF - GMER 1.0.15 ----
         

Guten Morgen Arne,

nachdem ich gestern wieder 3-4 Stunden dem PC beim Scannen zugeschaut hab (GMER 2x abgestürzt, Avast ohne Ende ;-) ), und mir auch nochmals Deine Antwort zu Sicherheit im Sinn war, habe ich mich eben umentschieden: Ich werde den Rechner Neuaufsetzen oder Neuaufsetzen lassen, wenn ich's nicht hinkriege. Die CDs habe ich grad zusammengesucht und schaue mir jetzt die Anleitung an.

Für mich extrem wichtig wäre, wenn Du mir vorab noch eine Frage zu meiner externen Festplatte beantworten könntest:

Hast Du auf den Logs zu D: irgendetwas entdeckt, das nach Infektion aussah?

In jedem Fall vielen Dank für Deine Unterstützung. Ich werd jetzt was spenden (aber vom nicht-infizierten Rechner aus :-) )!

Bitte lösche den Thread, wenn das möglich ist, weil ja doch einiges an Logs (wenn auch nur für Experten ersichtlich) zu meinem PC hier veröffentlicht sind.

Vielen Dank auch vorab, wenn Du mir die Frage zu der externen Festplatte noch beantwortest (ich weiß, dass ich auch das letztlich allein entscheide, ob ich den Daten traue, aber sind halt auch alle Fotos etc.) Mein Plan ist, als erstes D zu formatieren, dann die Daten rüberschieben und im Anschluss ein, zwei Scanner laufen lassen. Dann die Neuaufsetzung von C bzw. PC.

Falls Du noch einen Tipp hast, freue ich mich sehr, weil das mit dem Neuaufsetzen Neuland für mich ist.

Viele Grüße, Ann

Hab noch was vergessen:

- Spricht etwas dagegen, meine outlook.pst rüberzunehmen aufs dann neue System? Oder eben die aktuellen Dokumente auf C:?
- Bei der Anleitung zum Neuaufsetzen finde ich nirgends das berüchtigte "format c:" - macht man das vorher?
- Von meinem Notebook-Hersteller habe ich sowohl die System CD als auch die Recovery-CDs 1 und 2 hier liegen, das dürfte dann hoffentlich gut gehen.

Vielen Dank für Deine Hilfe, viele Grüße, Ann

Zitat:

Bitte lösche den Thread, wenn das möglich ist, weil ja doch einiges an Logs (wenn auch nur für Experten ersichtlich) zu meinem PC hier veröffentlicht sind.

Nein hier wird nichts gelöscht.
Und die letzten Logs sahen ok aus, deswegen versteh ich deine Entscheidung zur Neuinstallation nicht wirklich.

Hallo Arne,

Zitat:

Zitat von cosinus

Nein hier wird nichts gelöscht.

ich würde Dich oder den Admin doch bitten, die individuellen Logs zu löschen, nicht den Thread. Dabei geht es ja um einen Einzelfall und einen ganz privaten Rechner. Ich hatte vor 4 Jahren mal ein Problem, habe eine ähnliche Reinigung durchgeführt mit Online-Unterstützung und als der Fall abgeschlossen war, wurden die Logs gelöscht. Finde ich normal und würde insofern noch einmal darum bitten, entweder Dich oder den Admin DaGuru eben, weiß nicht, wer da zuständig ist.

Zitat:

Zitat von cosinus

Und die letzten Logs sahen ok aus, deswegen versteh ich deine Entscheidung zur Neuinstallation nicht wirklich.

Aus dem, was ich hier gelesen habe und aus Deiner Reaktion auf meine Fragen habe ich gelernt: "Wenn ein System kompromittiert ist durch einen Backdoor-Trojaner, hat man nur durch Neu-Aufsetzen Sicherheit."

Letztlich hast Du mir auf keine meiner Fragen so direkt gesagt, dass es so aussieht, als ob der Rechner sicher ist. Und das war mir zu unsicher, grad, weil ich den PC auch beruflich nutze.

Ich finde toll, was Ihr hier leistet, und verstehe, dass Ihr wenig Zeit habt, aber dass Du keine meiner kurzen Fragen (Backdoor-Trojaner in Malwarebytes-Quarantäne löschen ja/nein etc. etc.) zumindest stichwortartig beantwortet hast, fand ich schwierig. Neuinstallation scheint mir einfacher. Vielleicht hab ich das Prinzip des Forums nicht verstanden, aber dachte, ich kann auch fragen, wenn ich was nicht verstehe.

Was trotzdem cool wäre: Wenn Du (oder wer auch immer sich auskennt und hier noch mitliest) mir meine letzten Fragen zum Abschluss beantworten würdest (ich kopiere sie nochmals rein) - ich würd jetzt mal Deine Aussage nehmen, dass die Logs gut aussehen und den Krempel mitnehmen, aber netter wär's, Du meldest Dich nochmals:

- Spricht etwas dagegen, meine outlook.pst rüberzunehmen aufs dann neue System? Oder eben die aktuellen Dokumente auf C:?
- Bei der Anleitung zum Neuaufsetzen finde ich nirgends das berüchtigte "format c:" - macht man das vorher? Soweit ich weiß, lege ich die System-CD ein, boote von CD und dann kommt die Formatierung automatisch. Wäre nett, Du könntest mir das bestätigen.

Vielen Dank und gute Zeit, Ann

Zitat:

ich würde Dich oder den Admin doch bitten, die individuellen Logs zu löschen, nicht den Thread.

Nein die löschen wir nicht. Logs bleiben hier drin. Die zeigen auch keine persönlichen Infos, die solltest du ja editieren, im Zweifel wird nur noch unser Admin DaGuru evtl übersehene Realnamen wegeditieren. Aber die Logs hier bleiben.

Zitat:

durchgeführt mit Online-Unterstützung und als der Fall abgeschlossen war

Aber nicht im TB. Im Zweifel eine PN/Mail an DaGuru. Wir haben eine Anweisung hier NICHTS zu löschen, auch wenn wir es technisch gesehen könnten

Zitat:

und verstehe, dass Ihr wenig Zeit habt, aber dass Du keine meiner kurzen Fragen (Backdoor-Trojaner in Malwarebytes-Quarantäne löschen ja/nein etc. etc.) zumindest stichwortartig

Weil ich ungern eine laufende Bereinigung mit sowas unterbreche. Ich habs schon öfter erlebt, dass man dann vom Hundertsten ins Tausendste kommt mit Details und hinterher es schwieriger ist, die Bereingung fortzusetzen.
Wenn du keine Bereinigung wünscht hättest du das von Anfang an deutlicher sagen können oder wusstest du selbst nicht was du wolltest? Ich mag es nicht wenn man sich hier Arbeit durch Logs macht und kurz vor Ende wird "Pustekuchen ich mach doch alles platt" gesagt

Siehe dein Posting #16 - dir wurde ganz klar gesagt was Sache ist und wolltest das Risiko nun ist aber wieder der sprichwörtliche "Pustekuchen" von dir gebacken worden

Zitat:

Zitat von Anneschdo

Ahaaa.

Ich würde gern die Bereinigung bis zum Ende durchführen.

Viele Grüße, Ann

Die Outlook.pst kann man übernehmen und ja, man partitioniert/formatiert und das Setup von der Windows-CD/DVD

Hallo Arne,

Zitat:

Zitat von cosinus

oder wusstest du selbst nicht was du wolltest?

stimmt. Ich bin halt grad nicht die Expertin, weswegen ich mich an TB gewandt hab. Deswegen bitte ich um Verständnis, wenn ich mich dann (trotz Antwort '16) nach weiteren 5 Stunden Scans und verschiedenen Abstürzen umentscheide. Schade, dass Du so sauer reagierst.

Plattmachen war für mich die letzte Option und ohne Deine Hilfe hätte ich mich vermutlich nicht dazu entschieden, insofern danke und auch für die letzte Antwort. und

Alles Gute, Ann

Zitat:

Schade, dass Du so sauer reagierst.

ich bin nicht sauer, ich hab dir nur deutlich meine Meinung dazu gepostet

Hi zusammen,

@cosinus: Mein System ist neu aufgesetzt, war mit etwas Vorarbeit zum Glück nicht so schlimm und alles läuft wieder.

Ich finde zwar den Ton schon etwas irritierend, möchte mich aber gern bedanken für Deine Unterstützung. Ohne die verschiedenen Auskünfte hätte ich mich nie getraut, das System aufzusetzen - und letztlich ist das ja die Lösung, die auch hier empfohlen wird.

Allen, die sich einen solchen Backdoor/Trojaner eingefangen haben und hier mitlesen, würde ich aus den Erfahrungen der letzten Tage deutlich empfehlen, den Rechner neu aufzusetzen. Wenn man die System-CDs hat und sowieso sonst alles selbst installiert, dauert das zwar ne ganze Zeit, aber man kann's am Stück abarbeiten (halber Tag bei mir).

Bei der Bereinigung ist das Problem, dass die einzelnen Scanner schon jeder für sich oft mehrere Stunden brauchen und gern mal abstürzen. Dann hat man's endlich, postet die Logs und bis man eine Antwort bekommt (die man sehr, sehr schnell hat, bitte nicht falsch verstehn), dauert's halt doch nen halben Tag. Und dann bekommt man wieder neue Tools und Scans genannt. Und erfährt nie, welche noch nachkommen und wie lange es insgesamt dauert. Das ist mit Sicherheit die richtige Vorgehensweise und geht wohl nicht anders (also: KEINE KRITIK per se), aber es zieht sich halt wie Kaugummi. Wer seinen Rechner zügig braucht, sollte besser neu-aufsetzen. Aber das ist nur die völlig unmaßgebliche Laienmeinung von mir, keine "offizielle Beratung".

Wünsche allen Hintertüren-freies Arbeiten und Surfen!

Und verabschiede mich aus diesem Forum. Grüße, Ann