u5hr46sirtijyrt5.exe - PC durch Meldung blockiert

inxtremo · 06.12.2011, 09:01

Schönen guten Morgen,

mein Onkel hat mir Ende letzter Woche angerufen, er hätte ein Problem mit seinem PC :-).

Kurze Erklärung:
Der PC startet, man sieht den Anmeldeschirm von Vista und kann sich einloggen. Danach erscheinen mehrere modale Fenster. Von diesen Fenstern zeigt nur das erste in der oberen linken Ecke einen Text ".. leider keine Internetverbindung ...". Im Hintergrund hört man das Geräusch des OnKlick-Events der Maus und merkt das irgendwas am laden ist. Task Manager verschwindet nach dem Bruchteil einer Sekunde wieder. Abgesicherter Modus zeigt das gleiche Spiel.

Durch Google bin ich in diesem Forum auf mehrere ähnliche Meldungen gestoßen, BKA, Gema, ....

Noch kürzeres Vorgehen:
Durch mehrere Beiträge habe ich mich dazu entschlossen Combofix.exe auszuführen. Ja ich weiß, man sollte dies nur auf Anraten der Moderatoren machen. Ich bin das Risiko eingegangen.

Unten beigefügt der Log von Combofix. Nach ausführen war alles wieder in Ordnung. Erneutes ausführen, Virenscan, Malware Bytes, brachten keine neuerlichen Meldungen.

Da mein Onkel auch Online-Banking und Online-Shopping macht und ich in einem anderen Thread gelesen habe das der Moderator empfohlen hat auch nach durchführen vom Combofix den PC zu reinstallieren, wollte ich gerne die Meinung der erfahrenen Moderatoren und Nutzer zum unten stehenden Log einholen.

Ist eine Neuinstallation sinnvoll, notwendig?

Vielen Dank im Voraus und Grüße,
Daniel

PS: AntiVir habe ich eigentlich explizit vorher deaktiviert und den Prozess gekillt. Ich weiß nicht warum er im Log noch als Aktiv deklariert wird.

Code:

ATTFilter

ComboFix 11-12-03.01 - Benutzername 05.12.2011  17:50:08.1.2 - x86 MINIMAL
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2047.1621 [GMT 1:00]
ausgeführt von:: K:\ComboFix.exe
AV: AntiVir Desktop *Enabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Benutzername\4.0
c:\users\Benutzername\AppData\Roaming\Adobe\plugs
c:\users\Benutzername\AppData\Roaming\Adobe\shed
c:\users\Benutzername\AppData\Roaming\Adobe\shed\thr1.chm
c:\users\Benutzername\AppData\Roaming\Anvuba\exyb.exe
c:\users\Benutzername\AppData\Roaming\Cuerd\uphi.exe
c:\users\Benutzername\AppData\Roaming\dwlGina3.dll
c:\users\Benutzername\AppData\Roaming\u5hr46sirtijyrt5.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-05 bis 2011-12-05  ))))))))))))))))))))))))))))))
.
.
2011-12-05 16:55 . 2011-12-05 16:56	--------	d-----w-	c:\users\Benutzername\AppData\Local\temp
2011-12-05 16:55 . 2011-12-05 16:55	--------	d-----w-	c:\users\Gast\AppData\Local\temp
2011-12-05 16:55 . 2011-12-05 16:55	--------	d-----w-	c:\users\frech dachs\AppData\Local\temp
2011-12-05 16:55 . 2011-12-05 16:55	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-12-05 16:35 . 2011-12-05 16:38	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6FCC1627-4A54-4AD3-A170-1D029A881A1B}\offreg.dll
2011-12-02 14:50 . 2011-11-21 10:47	6823496	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6FCC1627-4A54-4AD3-A170-1D029A881A1B}\mpengine.dll
2011-11-27 17:47 . 2011-11-27 17:47	--------	d-----w-	c:\users\Gast\AppData\Roaming\AOL
2011-11-27 17:46 . 2011-11-27 17:46	--------	d-----w-	c:\users\Gast\AppData\Local\Adobe
2011-11-10 17:09 . 2011-10-17 11:41	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2011-11-10 17:09 . 2011-09-20 21:02	905088	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-11-10 17:09 . 2011-09-30 15:57	707584	----a-w-	c:\program files\Common Files\System\wab32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-03 17:18 . 2011-11-03 17:18	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-21 17:25 . 2011-04-11 16:19	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2010-06-30 17:33 . 2008-09-24 16:57	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Speech Recognition"="c:\windows\Speech\Common\sapisvr.exe" [2008-01-19 49664]
"WEB.DE_WEB.DE MultiMessenger"="c:\program files\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" [2009-04-17 4920752]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-07 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-30 30192]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-05-02 366400]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"recinfo101"="c:\recinfo\RecInfo.exe" [2007-10-23 2764800]
"CamserviceDeluxe2"="c:\program files\Hercules\Deluxe Optical Glass\Camservice.exe" [2007-08-10 81920]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"HostManager"="c:\program files\Common Files\AOL\1219417224\ee\AOLSoftware.exe" [2006-11-14 50736]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-05 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*Restore"="c:\windows\System32\rstrui.exe" [2008-01-19 318464]
.
c:\users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GOEC62~1.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe [2007-06-04 65536]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-07 136176]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2007-08-06 94720]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-30 30192]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-07 136176]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - ECACHE
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-07 17:54]
.
2011-11-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-07 17:54]
.
2010-12-16 c:\windows\Tasks\User_Feed_Synchronization-{8DFA412E-AA5A-4AEB-8DD6-9964F059C796}.job
- c:\windows\system32\msfeedssync.exe [2011-04-24 15:24]
.
2011-12-02 c:\windows\Tasks\User_Feed_Synchronization-{EC4290E1-F203-43E1-AF9C-49BB24F8E9C4}.job
- c:\windows\system32\msfeedssync.exe [2011-04-24 15:24]
.
.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyServer = http=127.0.0.1:62384
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &AOL Toolbar-Suche - c:\program files\aol\aol toolbar 4.0\resources\de-DE\local\search.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\wpclsp.dll
TCP: DhcpNameServer = 82.212.62.62 192.168.0.1
FF - ProfilePath - c:\users\Benutzername\AppData\Roaming\Mozilla\Firefox\Profiles\qm1m5dfo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - WEB.DE Suche
FF - prefs.js: browser.startup.homepage - mozilla firefox
FF - prefs.js: keyword.URL - hxxp://go.web.de/br/moz4_keyurl_search/?su=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)
HKCU-Run-Twainuser - c:\users\Benutzername\AppData\Roaming\Depjava\dvduser.exe
HKCU-Run-{3E24D330-053E-2B9F-3C90-813F3752DD67} - c:\users\Benutzername\AppData\Roaming\Cuerd\uphi.exe
HKCU-Run-{EDA2DC04-5AA1-5E4D-E2D1-D400DB15FD50} - c:\users\Benutzername\AppData\Roaming\Anvuba\exyb.exe
HKCU-Run-avupdate - C:\avupdate.exe
HKCU-Run-XStzV0FikIADbMr - c:\users\Benutzername\AppData\Roaming\u5hr46sirtijyrt5.exe
HKLM-Run-XStzV0FikIADbMr - c:\users\Benutzername\AppData\Roaming\u5hr46sirtijyrt5.exe
AddRemove-AIM_6 - c:\program files\AIM6\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-05 17:56
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{36596b38-1ccf-4d83-a259-4467a3ef7e5d}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d0050fc
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{54bcb752-fdb2-425f-8eda-55856b312382}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0f020054
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9ffce9e9-7547-4daf-a223-5b3cee7754d3}]
@DACL=(02 0000)
"Dhcpv6State"=dword:00000000
"NameServer"=""
"Domain"=""
"Dhcpv6Iaid"=dword:08001d92
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d38d61ce-578b-43dd-8b74-def7be8e8707}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0b001b11
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
Zeit der Fertigstellung: 2011-12-05  17:58:27
ComboFix-quarantined-files.txt  2011-12-05 16:58
.
Vor Suchlauf: 22 Verzeichnis(se), 155.580.891.136 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 156.773.777.408 Bytes frei
.
- - End Of File - - 92A7ECB5E21126746CDD2D523FF1087A

cosinus · 06.12.2011, 11:04

Zitat:

Erneutes ausführen, Virenscan, Malware Bytes, brachten keine neuerlichen Meldungen.

Bitte alle Logs nach Möglichkeit posten, v.a. alle von Malwarebytes

inxtremo · 07.12.2011, 09:46

Hallo Arne,

leider habe ich versäumt mir die anderen Logs auf den USB-Stick zu kopieren.

Speziell der Log von Malwarebytes sagte aber aus das keine Schädlinge gefunden wurden, auch in der Registry nicht.

Grüße,
Daniel

u5hr46sirtijyrt5.exe - PC durch Meldung blockiert

Plagegeister aller Art und deren Bekämpfung: u5hr46sirtijyrt5.exe - PC durch Meldung blockiert