Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

ComboFix sagt mir, dass "antivirus: AntiVir Desktop" und "antispyware: AntiVir Desktop" aktiv sind, dabei habe ich AntiVir eigentlich deaktiviert?

Dann kannst du die Meldungen ignorieren

ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-18.04 - *** 18.10.2011  21:25:00.1.2 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.2008.1592 [GMT 2:00]
ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt


Überschreibung abgebrochen ... Bitte führe Combofix erneut aus
         

Soll ich es nochmal machen? Es kommt zwischen Stufe 38 und Stufe 39 die Meldung "Failed to get data for 'EnableLUA'". Weiß nicht, ob das eine Rolle spielt.

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Kommt wieder die gleiche Meldung. Kann es sein, dass AntiVir doch noch irgendwie aktiviert ist?

EDIT: Soll ich AntiVir vielleicht mal deinstallieren?

Kannst du mal probieren. Sollte aber mit installiertem AntiVir funktionieren. Wenn das auch nicht geht, gib Besched, dann überspringen wir CF erstmal.

Hat nichts gebracht.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-19 21:12:43
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD2500BEVS-88UST0 rev.01.01A01
Running: bug1cuvr.exe; Driver: C:\Users\***\AppData\Local\Temp\kwldapog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\fastfat \Fat                                                                                                              fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control@SystemStartOptions                                                                              /NOEXECUTE=OPTIN IN/MINT
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid                                                                                      604
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management@ExistingPageFiles                                             \??\C:\pagefile.sys?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BootId                                     1272
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BaseTime                                   332266659
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@VideoInitTime                              31
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID                                                                      61e1a054-b350-4f9c-a286-dfdce99
Reg             HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\WdiContextLog@FileCounter                                                        3
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002269f365dc                                                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@ReadyBootPlanUsage                                                           1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@LastBootStatus                                                               0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                                       2538
Reg             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile@EnableFirewall                            1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{006347A8-4F48-4EF4-8F2C-9309841E3BC9}@LeaseObtainedTime           1318548314
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{006347A8-4F48-4EF4-8F2C-9309841E3BC9}@T1                          1318980314
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{006347A8-4F48-4EF4-8F2C-9309841E3BC9}@T2                          1319304314
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{006347A8-4F48-4EF4-8F2C-9309841E3BC9}@LeaseTerminatesTime         1319412314
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters@ServiceDllUnloadOnStop                                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\002269f365dc (not active ControlSet)                                       
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedUserData\UsedDrives@MRUList                                             dcba
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\48945A8E67793824CA2E87B28A051A0C\Usage@Mandatory  1062076627
Reg             HKLM\SOFTWARE\Microsoft\Windows Media Player NSS\3.0\Events\{B0132B17-246E-45D7-838B-36AA9BE3FF46}                                    
Reg             HKLM\SOFTWARE\Microsoft\Windows Media Player NSS\3.0\Events\{CFF8E31E-7599-4BC3-9C14-A850D479A0C4}                                    
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3919767661-183490883-1508167686-1003@State                     0
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3919767661-183490883-1508167686-1003@RefCount                  0

---- EOF - GMER 1.0.15 ----
         

OSAM:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 21:22:47 on 19.10.2011

OS: Windows Vista Home Premium Edition Service Pack 1 (Build 6001), 32-bit
Default Browser: Mozilla Corporation Firefox 7.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"iproset.cpl" - "Intel(R) Corporation" - C:\Windows\system32\iproset.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"PROSet Tools" - "Intel(R) Corporation" - C:\Windows\System32\iPROSet.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - ? - C:\Windows\System32\DRIVERS\avgntflt.sys  (File not found)
"avipbb" (avipbb) - ? - C:\Windows\System32\DRIVERS\avipbb.sys  (File not found)
"DLABMFSM" (DLABMFSM) - "Roxio" - C:\Windows\System32\DLA\DLABMFSM.SYS
"DLABOIOM" (DLABOIOM) - "Roxio" - C:\Windows\System32\DLA\DLABOIOM.SYS
"DLACDBHM" (DLACDBHM) - "Roxio" - C:\Windows\System32\Drivers\DLACDBHM.SYS
"DLADResM" (DLADResM) - "Roxio" - C:\Windows\System32\DLA\DLADResM.SYS
"DLAIFS_M" (DLAIFS_M) - "Roxio" - C:\Windows\System32\DLA\DLAIFS_M.SYS
"DLAOPIOM" (DLAOPIOM) - "Roxio" - C:\Windows\System32\DLA\DLAOPIOM.SYS
"DLAPoolM" (DLAPoolM) - "Roxio" - C:\Windows\System32\DLA\DLAPoolM.SYS
"DLARTL_M" (DLARTL_M) - "Roxio" - C:\Windows\System32\Drivers\DLARTL_M.SYS
"DLAUDFAM" (DLAUDFAM) - "Roxio" - C:\Windows\System32\DLA\DLAUDFAM.SYS
"DLAUDF_M" (DLAUDF_M) - "Roxio" - C:\Windows\System32\DLA\DLAUDF_M.SYS
"DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\Windows\System32\Drivers\DRVMCDB.SYS
"DRVNDDM" (DRVNDDM) - "Roxio" - C:\Windows\System32\Drivers\DRVNDDM.SYS
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"ssmdrv" (ssmdrv) - ? - C:\Windows\System32\DRIVERS\ssmdrv.sys  (File not found)
"tvtfilter" (tvtfilter) - "Lenovo" - C:\Windows\System32\DRIVERS\tvtfilter.sys
"tvtumon" (tvtumon) - "Lenovo" - C:\Windows\System32\DRIVERS\tvtumon.sys
"WimFltr" (WimFltr) - "Microsoft Corporation" - C:\Windows\System32\DRIVERS\wimfltr.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Windows\system32\btncopy.dll
{5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Roxio" - C:\Program Files\Lenovo\Drag-to-Disc\Shellex.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - C:\Program Files\Avira\AntiVir Desktop\shlext.dll  (File not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie.htm
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Notification packages" - ? - ACGina  (File not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"BTTray.lnk" - "Broadcom Corporation." - C:\Program Files\Lenovo\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Steam" - "Valve Corporation" - "C:\Program Files\Valve\Steam\steam.exe" -silent
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ACTray" - "Lenovo" - C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
"ACWlIcon" - "Lenovo" - C:\Program Files\ThinkPad\ConnectUtilities\ACWlIcon.exe
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AMSG" - "LENOVO" - C:\Program Files\ThinkVantage\AMSG\Amsg.exe /startup
"avgnt" - ? - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min  (File not found)
"CameraApplicationLauncher" - ? - C:\Program Files\Lenovo\Camera Center\bin\CameraApplicationLaunchpadLauncher.exe
"LPManager" - "Lenovo Group Limited" - C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
"PMHandler" - "Lenovo" - C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
"RoxioDragToDisc" - "Roxio" - "C:\Program Files\Lenovo\Drag-to-Disc\DrgToDsc.exe"
"RoxWatchTray" - "Sonic Solutions" - "C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe"
"SmartAudio" - "Conexant" - C:\Program Files\CONEXANT\SMARTAUDIO\SMAUDIO.EXE /c
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"TPFNF7" - "Lenovo Group Limited" - C:\Program Files\Lenovo\NPDIRECT\TPFNF7SP.exe /r
"TPWAUDAP" - "Lenovo Group Limited" - C:\Program Files\Lenovo\HOTKEY\TpWAudAp.exe
"TVT Scheduler Proxy" - "Lenovo Group Limited" - C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@c:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
"Ac Profile Manager Service" (AcPrfMgrSvc) - "Lenovo" - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
"Access Connections Main Service" (AcSvc) - "Lenovo" - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
"Anzeige am Bildschirm" (TPHKSVC) - "Lenovo Group Limited" - C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe
"Avira AntiVir Guard" (AntiVirService) - ? - "C:\Program Files\Avira\AntiVir Desktop\avguard.exe"  (File not found)
"Avira AntiVir Planer" (AntiVirSchedulerService) - ? - "C:\Program Files\Avira\AntiVir Desktop\sched.exe"  (File not found)
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\Lenovo\Bluetooth Software\bin\btwdins.exe
"Fn+F5 Service" (FNF5SVC) - "Lenovo." - C:\Program Files\LENOVO\HOTKEY\FNF5SVC.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Intel® PROSet/Wireless Event Log" (EvtEng) - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
"Intel® PROSet/Wireless Registry Service" (RegSrvc) - "Intel(R) Corporation" - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
"LiveShare P2P Server 10" (RoxLiveShare10) - "Sonic Solutions" - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"PMSveH" (PMSveH) - "Lenovo" - C:\Program Files\Lenovo\PM Driver\PMSveH.exe
"Roxio Hard Drive Watcher 10" (RoxWatch10) - "Sonic Solutions" - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
"Roxio UPnP Renderer 10" (Roxio UPnP Renderer 10) - "Sonic Solutions" - C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe
"Roxio Upnp Server 10" (Roxio Upnp Server 10) - "Sonic Solutions" - C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe
"RoxMediaDB10" (RoxMediaDB10) - "Sonic Solutions" - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
"SessionLauncher" (SessionLauncher) - ? - C:\Users\ADMINI~1\AppData\Local\Temp\DX9\SessionLauncher.exe  (File not found)
"SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
"System Update" (SUService) - "Lenovo Group Limited" - C:\Program Files\Lenovo\System Update\SUService.exe
"ThinkVantage Registry Monitor Service" (ThinkVantage Registry Monitor Service) - "Lenovo Group Limited" - c:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
"TVT Backup Protection Service" (TVT Backup Protection Service) - ? - C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe
"TVT Backup Service" (TVT Backup Service) - "Lenovo Group Limited" - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
"TVT Scheduler" (TVT Scheduler) - "Lenovo Group Limited" - c:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
"TVT Windows Update Monitor" (TVT_UpdateMonitor) - "Lenovo Group Limited" - C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         

aswMBR:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-19 21:24:13
-----------------------------
21:24:13.295    OS Version: Windows 6.0.6001 Service Pack 1
21:24:13.295    Number of processors: 2 586 0xF0D
21:24:13.295    ComputerName: ***-PC  UserName: ***
21:24:16.119    Initialize success
21:26:41.355    AVAST engine defs: 11101901
21:26:50.637    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
21:26:50.653    Disk 0 Vendor: WDC_WD2500BEVS-88UST0 01.01A01 Size: 238475MB BusType: 3
21:26:52.712    Disk 0 MBR read successfully
21:26:52.712    Disk 0 MBR scan
21:26:52.727    Disk 0 unknown MBR code
21:26:52.743    Disk 0 scanning sectors +488394752
21:26:52.883    Disk 0 scanning C:\Windows\system32\drivers
21:27:09.248    Service scanning
21:27:11.073    Modules scanning
21:27:16.159    Disk 0 trace - called modules:
21:27:16.268    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys tcpip.sys NETIO.SYS 
21:27:16.283    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84f94030]
21:27:16.330    3 CLASSPNP.SYS[82ba4745] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8442f398]
21:27:19.435    AVAST engine scan C:\Windows
21:27:29.996    AVAST engine scan C:\Windows\system32
21:31:14.324    AVAST engine scan C:\Windows\system32\drivers
21:31:36.959    AVAST engine scan C:\Users\***
21:33:18.671    AVAST engine scan C:\ProgramData
21:34:08.747    Scan finished successfully
21:34:22.039    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
21:34:22.226    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"
         

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

aswMBR

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-20 16:36:03
-----------------------------
16:36:03.610    OS Version: Windows 6.0.6001 Service Pack 1
16:36:03.610    Number of processors: 2 586 0xF0D
16:36:03.610    ComputerName: ***-PC  UserName: ***
16:36:05.373    Initialize success
16:36:13.235    AVAST engine defs: 11101901
16:36:18.617    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
16:36:18.617    Disk 0 Vendor: WDC_WD2500BEVS-88UST0 01.01A01 Size: 238475MB BusType: 3
16:36:20.645    Disk 0 MBR read successfully
16:36:20.645    Disk 0 MBR scan
16:36:20.645    Disk 0 Windows VISTA default MBR code
16:36:20.645    Disk 0 scanning sectors +488394752
16:36:20.755    Disk 0 scanning C:\Windows\system32\drivers
16:36:29.132    Service scanning
16:36:30.598    Modules scanning
16:36:41.534    Disk 0 trace - called modules:
16:36:41.565    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys 
16:36:41.565    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x84ec7ac8]
16:36:41.565    3 CLASSPNP.SYS[82ba0745] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x84433238]
16:36:43.655    AVAST engine scan C:\Windows
16:36:49.115    AVAST engine scan C:\Windows\system32
16:38:31.389    AVAST engine scan C:\Windows\system32\drivers
16:38:42.683    AVAST engine scan C:\Users\***
16:39:45.349    AVAST engine scan C:\ProgramData
16:40:15.519    Scan finished successfully
16:40:26.127    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
16:40:26.127    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR2.txt"
         

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7987

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

20.10.2011 17:43:54
mbam-log-2011-10-20 (17-43-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Q:\|S:\|)
Durchsuchte Objekte: 288387
Laufzeit: 27 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

SASW:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/20/2011 at 07:42 PM

Application Version : 5.0.1134

Core Rules Database Version : 7824
Trace Rules Database Version: 5636

Scan type       : Complete Scan
Total Scan Time : 01:46:43

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 1 (Build 6.00.6001)
UAC Off - Administrator

Memory items scanned      : 345
Memory threats detected   : 0
Registry items scanned    : 37579
Registry threats detected : 0
File items scanned        : 135398
File threats detected     : 22

Adware.Tracking Cookie
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@2o7[1].txt [ /2o7 ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[1].txt [ /ad.yieldmanager ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.zanox[1].txt [ /ad.zanox ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ads.creative-serving[1].txt [ /ads.creative-serving ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adtech[1].txt [ /adtech ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt [ /doubleclick ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@maniapub.trackmania[2].txt [ /maniapub.trackmania ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@revsci[1].txt [ /revsci ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@toplist[1].txt [ /toplist ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[1].txt [ /tradedoubler ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@traffictrack[1].txt [ /traffictrack ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@webmasterplan[2].txt [ /webmasterplan ]
	C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox[2].txt [ /zanox ]
	C:\USERS\***\Cookies\***@zanox[2].txt [ Cookie:***@zanox.com/ ]
	C:\USERS\***\Cookies\***@webmasterplan[2].txt [ Cookie:***@webmasterplan.com/ ]
	C:\USERS\***\Cookies\***@tradedoubler[1].txt [ Cookie:***@tradedoubler.com/ ]
	C:\USERS\***\Cookies\***@doubleclick[1].txt [ Cookie:***@doubleclick.net/ ]
	C:\USERS\***\Cookies\***@traffictrack[1].txt [ Cookie:***@traffictrack.de/ ]
	C:\USERS\***\Cookies\***@revsci[1].txt [ Cookie:***@revsci.net/ ]
	C:\USERS\***\Cookies\***@ad.yieldmanager[1].txt [ Cookie:***@ad.yieldmanager.com/ ]
	C:\USERS\***\Cookies\***@ad.zanox[1].txt [ Cookie:***@ad.zanox.com/ ]
	.2o7.net [ C:\USERS\***\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\1EAN2XCI.DEFAULT\COOKIES.SQLITE ]
         

ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=fd993390a536834bbdf6076b89901e74
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-16 05:07:44
# local_time=2011-10-16 07:07:44 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775166 100 94 1141712 55321707 1206063 0
# compatibility_mode=5892 16776638 100 100 36730631 156317579 0 0
# compatibility_mode=8192 67108863 100 0 295 295 0 0
# scanned=340
# found=0
# cleaned=0
# scan_time=14
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=fd993390a536834bbdf6076b89901e74
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-16 05:15:52
# local_time=2011-10-16 07:15:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775166 100 94 1141847 55321842 1206198 0
# compatibility_mode=5892 16776638 100 100 36730766 156317714 0 0
# compatibility_mode=8192 67108863 100 0 430 430 0 0
# scanned=340
# found=0
# cleaned=0
# scan_time=367
ESETSmartInstaller@High as downloader log:
Can not read file from internet.ESETSmartInstaller@High as downloader log:
Can not read file from internet.esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=fd993390a536834bbdf6076b89901e74
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-16 08:05:27
# local_time=2011-10-16 10:05:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775166 100 94 1142582 55322577 1206933 0
# compatibility_mode=5892 16776638 100 100 36731501 156318449 0 0
# compatibility_mode=8192 67108863 100 0 1165 1165 0 0
# scanned=139961
# found=3
# cleaned=0
# scan_time=9806
C:\$Recycle.Bin\S-1-5-21-3919767661-183490883-1508167686-1003\$RVKQ1NS.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\Local\Temp\plugtmp-31\plugin-dvgnkldlyziugu.pdf	JS/Exploit.Pdfka.OYH trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\43993770-39c24085	a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a76e67754394f64883a3ebb6b5e9dcf0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-20 08:54:30
# local_time=2011-10-20 10:54:30 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=1797 16775166 100 0 0 0 1556504 0
# compatibility_mode=5892 16776638 100 100 37081072 156668020 0 0
# compatibility_mode=8192 67108863 100 0 350736 350736 0 0
# scanned=132447
# found=0
# cleaned=0
# scan_time=8778
         

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?