Hallo,

am Mittwoch abend hatte ich während des Surfens auf den Spiegel-Online Seiten mehrere Warnungen durch Antivir vor HTML/Infected.WebPage.Gen2, der sich bei mir in C:\Users\***\AppData\Local\Opera\Opera\cache\dcache4.url befinden soll.
Dies trat am Mi mehrmals hintereinander in kurzen Abständen auf und ebenfalls gestern (FR), als ich wieder online war, diesmal nicht auf den Spiegel-Seiten, sondern auf anderen. Insgesamt hatte ich 8 Meldungen, davon sind 7 in Quarantäne. Was mit dem einen anderen ist, weiß ich nicht.
Heute gab es noch keine Meldungen, trotzdem bin ich mir unsicher, ob es ein Virus ist und inwiefern es Einfluss auf meinen PC hat.
Gestern hatte ich zudem Verzögerungen beim Eingeben von Text in Textboxen (bei FB), was auch nach einem Neustart nicht behoben war sowie eine Meldung, dass mir das Speichern auf dem Desktop nicht gestattet wäre. Dies trat heute nicht mehr auf, daher weiß ich nicht, ob das zusammen hängen kann.

Ich habe im Internet geforscht, aber keine genauen Auskünfte zu dem Virus gefunden, nur dass es ein generisches ist, nichts jedenfalls, was mir weiter geholfen hat.

Ich habe dann gestern abend noch von Antivir einen Systemcheck machen lassen, ohne Ergebnis, d.h. es wurde nichts gefunden (Log angehängt). Trotzdem will ich auf Nummer Sicher gehen und hoffe, ihr könnt mir helfen, vor allem da ich mit dem PC alles mache, auch Online-Banking.

Ich habe euren Anweisungen zufolge defogger laufen lassen, dies ohne Probleme. Danach habe ich OTL heruntergeladen und es auch den Anweisungen zufolge laufen lassen, mit dem Ergebnis, dass es beim zweiten Manual File Scan abgebrochen hat. Man hörte die Festplatte vorher noch arbeiten, dann auf einmal nicht mehr und ca. 10-15 Minuten später kam die Meldung "out of memory". Ich habe es dann ein zweites Mal versucht und laufen lassen, mit dem gleichen Ergebnis (Screenshot angehängt). Die Partition C ist zwar recht voll, hat aber noch 4GB frei. Das sollte doch dafür ausreichen, oder? Gmer habe ich noch nicht heruntergeladen. Soll ich das trotzdem noch tun?

Ich nutze Windows 7 32bit und als Browser Opera.

Ich bin dankbar für jede Hilfe.

LG

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt
gmer.txt

Hallo Daniel,

vielen Dank für deine Antwort! Habe alle Programme laufen lassen und diesmal keine Fehlermeldungen bekommen.

Laut deinem Post möchtest du die Files direkt im Thread gepostet haben, ich hoffe das ist jetzt richtig

Hier die gewünschten Logfiles:

----
ddt.txt

Code: Alles auswählenAufklappen

ATTFilter

.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_29
Run by Sandra at 15:03:07 on 2012-01-22
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1397 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\FsUsbExService.Exe
C:\Windows\system32\svchost.exe -k hpdevmgmt
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k HPService
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuz1.dll
mURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuz1.dll
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuz1.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuz1.dll
TB: {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - No File
EB: HP Smart Web Printing: {555d4d79-4bd2-4094-a395-cfc534424a05} - c:\program files\hp\digital imaging\smart web printing\hpswp_bho.dll
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\icq7.0\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{098A5219-FCA2-4A0B-8C35-2BDB38E56EDB} : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{098A5219-FCA2-4A0B-8C35-2BDB38E56EDB}\142736F627D26414444453633544 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{098A5219-FCA2-4A0B-8C35-2BDB38E56EDB}\54C6C6960267F6E6024303030284562747A7 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{098A5219-FCA2-4A0B-8C35-2BDB38E56EDB}\D4F6E6374756270215 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{FEF4C783-059C-49CC-8096-53B22351814E} : NameServer = 192.168.178.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
LSA: Authentication Packages = msv1_0 relog_ap
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\sandra\appdata\roaming\mozilla\firefox\profiles\o0d1ugwq.default\
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpClipBook.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpClipBookDB.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpNeoLogger.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpSaturn.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpSeymour.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpSmartSelect.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpSmartWebPrinting.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpSWPOperation.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpXPLogging.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpXPMTC.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpXPMTL.dll
FF - component: c:\program files\hp\digital imaging\smart web printing\mozillaaddon3\components\hpXREStub.dll
FF - component: c:\users\sandra\appdata\roaming\mozilla\firefox\profiles\o0d1ugwq.default\extensions\{0b457caa-602d-484a-8fe7-c1d894a011ba}\platform\winnt_x86-msvc\components\SSSLauncher.dll
FF - component: c:\users\sandra\appdata\roaming\mozilla\firefox\profiles\o0d1ugwq.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCoreGecko19.dll
FF - component: c:\users\sandra\appdata\roaming\mozilla\firefox\profiles\o0d1ugwq.default\extensions\engine@conduit.com\components\RadioWMPCoreGecko19.dll
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\opera\program\plugins\np_gp.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\users\sandra\appdata\roaming\mozilla\firefox\profiles\o0d1ugwq.default\extensions\2020player@2020technologies.com\plugins\NP2020Player.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
============= SERVICES / DRIVERS ===============
.
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [2007-4-3 39680]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [2007-4-2 35712]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-23 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-23 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-23 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-23 74640]
R2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-8-20 233472]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\tuneup utilities 2010\TuneUpUtilitiesService32.exe [2011-5-31 1052480]
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [2010-8-20 36608]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
R3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\tuneup utilities 2010\TuneUpUtilitiesDriver32.sys [2009-10-14 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-7-5 52224]
.
=============== Created Last 30 ================
.
2012-01-20 22:12:54	6557240	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{37552c0d-c82a-4bd1-8db2-8fae6ab0918b}\mpengine.dll
2012-01-17 22:08:50	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-17 22:08:50	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-17 22:08:50	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-17 22:08:50	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-17 22:08:49	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-17 22:08:49	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-17 22:08:49	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-17 22:08:49	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-17 22:08:49	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-17 22:08:49	100352	----a-w-	c:\windows\system32\sspicli.dll
2012-01-11 19:03:56	626688	----a-w-	c:\program files\mozilla firefox\msvcr80.dll
2012-01-11 19:03:56	548864	----a-w-	c:\program files\mozilla firefox\msvcp80.dll
2012-01-11 19:03:56	479232	----a-w-	c:\program files\mozilla firefox\msvcm80.dll
2012-01-11 19:03:56	43992	----a-w-	c:\program files\mozilla firefox\mozutils.dll
2012-01-11 17:55:44	1288472	----a-w-	c:\windows\system32\ntdll.dll
2012-01-11 17:55:41	67072	----a-w-	c:\windows\system32\packager.dll
2012-01-11 17:55:39	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-01-11 17:55:39	1328128	----a-w-	c:\windows\system32\quartz.dll
.
==================== Find3M  ====================
.
2011-12-16 18:41:04	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:25:27	2342912	----a-w-	c:\windows\system32\win32k.sys
2011-11-15 13:29:56	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-11-05 04:26:03	2048	----a-w-	c:\windows\system32\tzres.dll
2011-11-03 22:47:42	1798144	----a-w-	c:\windows\system32\jscript9.dll
2011-11-03 22:40:21	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-11-03 22:39:47	1127424	----a-w-	c:\windows\system32\wininet.dll
2011-11-03 22:31:57	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-26 04:47:40	3967856	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-26 04:47:40	3912560	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-26 04:28:12	38912	----a-w-	c:\windows\system32\csrsrv.dll
.
============= FINISH: 15:03:52,31 ===============
         

----
attach.txt

Code: Alles auswählenAufklappen

ATTFilter

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Professional 
Boot Device: \Device\HarddiskVolume2
Install Date: 20.02.2010 20:53:42
System Uptime: 22.01.2012 14:38:25 (1 hours ago)
.
Motherboard: MICRO-STAR INT'L CO.,LTD |  | MS-16361
Processor: Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz | CPU 1 | 780/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 49 GiB total, 4,048 GiB free.
D: is FIXED (NTFS) - 97 GiB total, 10,012 GiB free.
E: is CDROM ()
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP292: 21.01.2012 21:08:34 - OTL Restore Point - 21.01.2012 21:08:33
.
==== Installed Programs ======================
.
 Update for Microsoft Office 2007 (KB2508958)
1400
1400_Help
1400Trb
32 Bit HP CIO Components Installer
Acronis*True*Image*Home
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Photoshop Elements 6.0
Adobe Reader 9.4.5 - Deutsch
AIO_CDB_ProductContext
AIO_CDB_Software
AIO_Scan
Amazon MP3-Downloader 1.0.9
Avira Free Antivirus
BufferChm
Copy
DDBAC
Designer 2.0
Destinations
DeviceDiscovery
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
DocProc
ElsterFormular 11.0.0
Fax
FileZilla Client 3.3.2.1
GPBaseService2
Haufe iDesk-Browser
Haufe iDesk-Service
HP Imaging Device Functions 13.0
HP Photosmart Essential 3.5
HP Photosmart Officejet and Deskjet All-In-One Driver Software 13.0 Rel. B
HP Smart Web Printing 4.51
HP Solution Center 13.0
HP Update
HPPhotoGadget
HPPhotoSmartDiscLabelContent1
HPPhotosmartEssential
HPProductAssistant
HPSSupply
ICQ7
Java Auto Updater
Java(TM) 6 Update 2
Java(TM) 6 Update 29
Junk Mail filter update
Lexware buchhalter 2011
Lexware Elster
Lexware Info Service
Lexware online banking
LG Intelligent Update
LG Smart Cam
Microsoft .NET Framework 4 Client Profile
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (German) 2007
Microsoft Office File Validation Add-In
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (German) 2007
Microsoft Office Visio 2007 Service Pack 2 (SP2)
Microsoft Office Visio MUI (German) 2007
Microsoft Office Visio Professional 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Microsoft WSE 3.0 Runtime
Mozilla Firefox 9.0.1 (x86 de)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Network
NVIDIA Display Control Panel
NVIDIA Drivers
Nvu 1.0
O2Micro Flash Memory Card Reader Driver Installer(x86)
OCR Software by I.R.I.S. 13.0
Opera 11.60
PDFCreator
Quicken 2009
Quicken 2009 - ServicePack 3
Quicken Import Export Server 2009
QuickSteuer Deluxe 2010
QuickSteuer Deluxe 2011
QuickSteuer DELUXE Wissens-Center 2010
QuickSteuer DELUXE Wissens-Center 2011
Realtek High Definition Audio Driver
RENESIS® Player Browser Plugins
SAMSUNG Mobile Composite Device Software
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Drive Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung New PC Studio
Scan
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2553089)
Security Update for 2007 Microsoft Office System (KB2553090)
Security Update for 2007 Microsoft Office System (KB2584063)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio 2007 (KB2553010)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
Servicepack Datumsaktualisierung
Shop for HP Supplies
Skype™ 4.1
SmartWebPrinting
SolutionCenter
Status
Synaptics Pointing Device Driver
System Requirements Lab
Toolbox
TrayApp
TuneUp Utilities
TuneUp Utilities Language Pack (de-DE)
UnloadSupport
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 System (KB2539530)
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
Update for Microsoft Office OneNote 2007 (KB980729)
VC80CRTRedist - 8.0.50727.4053
VLC media player 1.0.5
Vuze
Vuze_Remote Toolbar
WebReg
Wertpapieranalyse 2009
Windows Live-Uploadtool
Windows Live Anmelde-Assistent
Windows Live Communications Platform
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Mail
Windows Live Movie Maker
Windows Live Sync
Windows Media Player Firefox Plugin
Xvid 1.2.2 final uninstall
.
==== End Of File ===========================
         

----
gmer.txt

Code: Alles auswählenAufklappen

ATTFilter

GMER Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-22 16:08:43
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9160821AS rev.3.ALC
Running: p87wzx9p.exe; Driver: C:\Users\Sandra\AppData\Local\Temp\ugddypod.sys


---- System - GMER 1.0.15 ----

SSDT            8E50838E                                                                                         ZwCreateSection
SSDT            8E508398                                                                                         ZwRequestWaitReplyPort
SSDT            8E508393                                                                                         ZwSetContextThread
SSDT            8E50839D                                                                                         ZwSetSecurityObject
SSDT            8E5083A2                                                                                         ZwSystemDebugControl
SSDT            8E50832F                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13D1                                                                    82E5C369 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           82E95D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7                                                              82E9CEAC 4 Bytes  [8E, 83, 50, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1553                                                              82E9D208 4 Bytes  [98, 83, 50, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597                                                              82E9D24C 4 Bytes  [93, 83, 50, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1613                                                              82E9D2C8 4 Bytes  [9D, 83, 50, 8E]
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1667                                                              82E9D31C 4 Bytes  [A2, 83, 50, 8E]
.text           ...                                                                                              
?               C:\Users\Sandra\AppData\Local\Temp\mbr.sys                                                       Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volsnap \Device\HarddiskVolumeShadowCopy1                                                snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004c                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                         fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\000df04649a3                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\000df04649a3@0024914d087e         0xA8 0xFD 0x97 0xB7 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\000df04649a3@b0ec71d09bc0         0xCD 0x0A 0xDD 0x19 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\000df04649a3 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\000df04649a3@0024914d087e             0xA8 0xFD 0x97 0xB7 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\000df04649a3@b0ec71d09bc0             0xCD 0x0A 0xDD 0x19 ...

---- EOF - GMER 1.0.15 ----
         
 
--- --- ---
         

Dank dir und LG
Sandra

Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall Vuze.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äusserster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.




Ich sehe das Du sogenannte Registry Cleaner am System hast.
In deinem Fall Tune Up.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.


Bitte poste in deiner nächsten Antwort
Combofix.txt

Hi Daniel,

danke für den Hinweis mit Vuze. Diese Software hatte ich schon komplett vergessen - vor langer Zeit mal installiert, aber genauso lange auch nicht mehr genutzt. Darüber kann also definitiv nichts gekommen sein. Hab diese Leiche aus dem System entfernt.
Tune Up hab ich jetzt auch runtergeschmissen, hatte ich auch schon seit eh und je installiert und nie detailliert drüber nachgedacht. Hatte allerdings auch noch nie Probleme deswegen.

Hier das Log von Combofix.


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-01-21.02 - Sandra 22.01.2012  22:58:04.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2047.1363 [GMT 1:00]
ausgeführt von:: c:\users\Sandra\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\lgcenter.ini
c:\windows\system32\uxt4B71.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-22 bis 2012-01-22  ))))))))))))))))))))))))))))))
.
.
2012-01-22 22:06 . 2012-01-22 22:07	--------	d-----w-	c:\users\Sandra\AppData\Local\temp
2012-01-22 22:06 . 2012-01-22 22:06	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-01-22 21:40 . 2012-01-22 21:40	2560	----a-w-	c:\windows\_MSRSTRT.EXE
2012-01-20 22:12 . 2012-01-06 04:19	6557240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{37552C0D-C82A-4BD1-8DB2-8FAE6AB0918B}\mpengine.dll
2012-01-17 22:08 . 2011-11-17 05:41	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-17 22:08 . 2011-11-17 05:39	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-17 22:08 . 2011-11-17 05:34	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-17 22:08 . 2011-11-17 05:32	1038848	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-17 22:08 . 2011-11-17 05:41	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-17 22:08 . 2011-11-17 05:35	314880	----a-w-	c:\windows\system32\webio.dll
2012-01-17 22:08 . 2011-11-17 05:34	15872	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-17 22:08 . 2011-11-17 05:34	100352	----a-w-	c:\windows\system32\sspicli.dll
2012-01-17 22:08 . 2011-11-17 05:34	22016	----a-w-	c:\windows\system32\secur32.dll
2012-01-17 22:08 . 2011-11-17 05:29	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-11 19:03 . 2012-01-11 19:03	626688	----a-w-	c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-11 19:03 . 2012-01-11 19:03	548864	----a-w-	c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-11 19:03 . 2012-01-11 19:03	479232	----a-w-	c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-11 19:03 . 2012-01-11 19:03	43992	----a-w-	c:\program files\Mozilla Firefox\mozutils.dll
2012-01-11 17:55 . 2011-11-17 05:38	1288472	----a-w-	c:\windows\system32\ntdll.dll
2012-01-11 17:55 . 2011-11-19 14:01	67072	----a-w-	c:\windows\system32\packager.dll
2012-01-11 17:55 . 2011-10-26 04:32	514560	----a-w-	c:\windows\system32\qdvd.dll
2012-01-11 17:55 . 2011-10-26 04:32	1328128	----a-w-	c:\windows\system32\quartz.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-16 18:41 . 2011-05-14 14:51	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-08 20:50 . 2011-10-23 19:10	134856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-11-24 04:25 . 2011-12-15 15:56	2342912	----a-w-	c:\windows\system32\win32k.sys
2011-11-15 13:29 . 2010-02-20 20:09	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-11-05 04:26 . 2011-12-15 15:56	2048	----a-w-	c:\windows\system32\tzres.dll
2011-11-03 22:47 . 2011-12-16 17:37	1798144	----a-w-	c:\windows\system32\jscript9.dll
2011-11-03 22:40 . 2011-12-16 17:37	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2011-11-03 22:39 . 2011-12-16 17:37	1127424	----a-w-	c:\windows\system32\wininet.dll
2011-11-03 22:31 . 2011-12-16 17:37	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-26 04:47 . 2011-12-15 23:24	3967856	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-26 04:47 . 2011-12-15 23:24	3912560	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-26 04:28 . 2011-12-15 15:56	38912	----a-w-	c:\windows\system32\csrsrv.dll
2012-01-11 19:03 . 2011-06-18 13:58	121816	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Quicken 2009 Zahlungserinnerung.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Quicken 2009 Zahlungserinnerung.lnk
backup=c:\windows\pss\Quicken 2009 Zahlungserinnerung.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Sandra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Netzmanager.lnk]
path=c:\users\Sandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Netzmanager.lnk
backup=c:\windows\pss\Netzmanager.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2006-10-17 10:47	87584	----a-w-	c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
2006-10-18 14:29	1962896	----a-w-	c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02	37296	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2010-08-20 17:51	102400	----a-w-	c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24	54840	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2008-07-22 17:33	150528	----a-w-	c:\program files\HP\Digital Imaging\bin\HpqSRmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-10-27 12:20	133432	----a-w-	c:\program files\ICQ7.0\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 08:11	339312	----a-w-	c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LG Intelligent Update]
2010-02-20 20:42	251184	----a-w-	c:\program files\lg_swupdate\GiljabiStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-07-09 14:20	110696	----a-w-	c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL]
2008-07-03 06:58	94208	----a-w-	c:\windows\PLFSetL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2010-02-08 17:46	8505888	------w-	c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SNUVCDSM]
2009-08-10 07:14	27184	----a-w-	c:\windows\snuvcdsm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-07-12 03:00	132496	----a-w-	c:\program files\Java\jre1.6.0_02\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-01-12 04:36	827392	----a-w-	c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2006-10-18 14:23	1189920	----a-w-	c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
"LexwareInfoService"=c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
S0 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2007-04-03 39680]
S0 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2007-04-02 35712]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 36000]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-01-08 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-01-08 36608]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - FSUSBEXDISK
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{FEF4C783-059C-49CC-8096-53B22351814E}: NameServer = 192.168.178.1
FF - ProfilePath - c:\users\Sandra\AppData\Roaming\Mozilla\Firefox\Profiles\o0d1ugwq.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(656)
c:\windows\system32\relog_ap.DLL
.
Zeit der Fertigstellung: 2012-01-22  23:11:45
ComboFix-quarantined-files.txt  2012-01-22 22:11
.
Vor Suchlauf: 4.611.346.432 Bytes frei
Nach Suchlauf: 4.692.434.944 Bytes frei
.
- - End Of File - - D2FEB4FCE439C3A76ECDAFDE2D6B19A0
         

--- --- ---



Danke und LG
Sandra

Macht der Rechner eigentlich Probleme ?

Seit dem Post hier nicht mehr - wie gesagt, ich hatte diese Meldungen von Antivir Mi und Fr mehrmals hintereinander (Do war ich nicht online). Seitdem hatte ich Ruhe und der Rechner verhielt sich auch normal. Ich habe mich allerdings nicht getraut irgendwas mit sensiblen Daten zu machen, sei es Online-Banking oder Online-Shopping.

Wieso, findest du nichts? Das wäre doch auch eine gute Nachricht...

Nichts was mich aufschreien lassen würde.



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, also ESET scheint etwas gefunden zu haben. Was mich allerdings sehr verwundert, wo, nämlich in den Windows.old-Dateien. Das würde ja heißen, dass der Kram ziemlich alt wäre oder? Was ist das für ein Zeug? Brauche ich die Windows.old-Dateien überhaupt noch? Die nehmen nämlich einiges an Platz auf C weg.

Hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3a5a4e43550e2c4da7b80d61bfc8a898
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-24 12:30:38
# local_time=2012-01-24 01:30:38 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 7952709 7952709 0 0
# compatibility_mode=5893 16776574 100 94 85076 78980921 0 0
# compatibility_mode=8192 67108863 100 0 3753 3753 0 0
# scanned=535054
# found=10
# cleaned=0
# scan_time=15308
C:\Windows.old\Documents and Settings\Sandra\AppData\Local\Anwendungsdaten\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Documents and Settings\Sandra\AppData\Local\Anwendungsdaten\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Documents and Settings\Sandra\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Documents and Settings\Sandra\AppData\Local\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Documents and Settings\Sandra\Lokale Einstellungen\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Documents and Settings\Sandra\Lokale Einstellungen\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Sandra\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Sandra\AppData\Local\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Sandra\Lokale Einstellungen\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Sandra\Lokale Einstellungen\Temporary Internet Files\Low\Content.IE5\1K1XQTPC\step-ironcup_net[1].htm	JS/TrojanDownloader.Agent.NSA trojan (unable to clean)	00000000000000000000000000000000	I
         

Hy,

Der Windows.old Ordner kommt von einer "falschen" Neuinstallation. Sogenanntes Drüberinstallieren.

Der ist nichts anderes als deine vorhergehende Windows Installation. Wenn du da keine wichtigen Daten mehr auf das Hauptwindows kopieren willst, dann kannst du den Ordner löschen.



Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter-
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.



Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 30 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Wenn du keine weiteren Probleme mehr hast, sind wir hier fertig.



Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



Du kannst alle Tools sowie Logfiles löschen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hi Daniel,

vielen vielen Dank für deine unkomplizierte, schnelle und kompetente Hilfe! Hat mir wirklich sehr geholfen. Jetzt kann ich mich wieder ans Online-Banking wagen

Noch 2 kleine Fragen hätte ich:

1. Defogger: Den hatte ich ja zu Beginn laufen lassen. Muss ich da wieder irgendwas zurückstellen oder kann ich es so belassen?

2. Windows.Old: Mit "Zeug" oben meinte ich diese Funde von ESET, also diese NSA.trojan. Was ist das? Ich habe den Ordner jetzt gelöscht, aber würde mich trotzdem noch interessieren ob das was Gefährliches war und vor allem was es dort in diesen alten Dateien zu suchen hatte. Ich vermute, dass ich mir das in der vorherigen Installation mal eingefangen hatte, oder?

Danke dir,

LG
Sandra

Bezüglich Online Banking.
In heutigen Zeiten, rate ich generell davon ab. Nachsehen ja, Überweisungen mache ich dann doch lieber persönlich.
Es gibt keine 100%ige Sicherheit mehr.

Nein, du hast keine Emulatoren laufen, also brauchst du mi defogger nichts mehr machen.

Gut möglich, dass sich da früher mal was eingenistet hat. Ist auf jeden Fall jetzt futsch

Ok, dann weiß ich Bescheid

Vielen Dank nochmal.

LG
Sandra

Froh das wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen