|
Plagegeister aller Art und deren Bekämpfung: Windowssystem blockiert 50 euro virusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.02.2012, 20:33 | #1 |
| Windowssystem blockiert 50 euro virus Hallo, Auch mein pc wurde leider von dem 50euro virus befallen. Das problem ist, dass sich das fenster meist direkt nach dem start öffnet, wenn wlan eingeschaltet ist und ich dann nichts mehr machen kann. Habe einen scan mit meinem virenprogramm pc tools durchgeführt, er hat auch einen trojaner gefunden und ihn auch angeblich entfernt, es kommt trotzdem immer wieder und bei einem erneuten scan findet er auch den gleichen wieder... Nun habe ich bei den anderen usern mit dem gleichen problem gelesen, sie sollen sich ein programm runterladen. Nur wie soll das funktionieren wenn beim einschalten gleich das fenster kommt.... Ich bin am verzweifeln und es wäre total lieb wenn ihr mir helfen könntet. Lg Meike |
11.02.2012, 05:21 | #2 |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virusMein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows
Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr
Bitte poste in deiner nächsten Antwort dds.txt attach.txt
__________________ |
11.02.2012, 17:22 | #3 |
| Windowssystem blockiert 50 euro virus Hallo Daniel,
__________________danke für deine schnelle Antwort und vor allem deine Hilfe! Ich habe die ersten Anweisungen jetzt ausgeführt und poste jetzt die beiden Logfiles: dds.txt: . DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_24 Run by Meike at 17:16:38 on 2012-02-11 Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2693 [GMT 1:00] . AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F} FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\svchost.exe -k RPCSS C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\Windows\Explorer.EXE C:\Windows\system32\ctfmon.exe C:\Windows\system32\conhost.exe C:\Windows\system32\wbem\wmiprvse.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395 uInternet Settings,ProxyOverride = *.local mSearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395 uURLSearchHooks: H - No File uURLSearchHooks: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll uWinlogon: shell=c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe,Explorer.exe, BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: PC Tools Browser Guard BHO: {2a0f3d1b-0909-4ff4-b272-609cce6054e7} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll BHO: CescrtHlpr Object: {2eecd738-5844-4a99-b4b6-146bf802613b} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\bh\BabylonToolbar.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll TB: Babylon Toolbar: {98889811-442d-49dd-99d7-dc866be87dbc} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarTlbr.dll TB: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll TB: toolplugin: {dfefcdee-cf1a-4fc8-89af-189327213627} - c:\users\meike\appdata\roaming\toolplugin\toolbar.dll uRun: [ICQ] "c:\program files\icq7.4\ICQ.exe" silent loginmode=4 uRun: [utilopen] c:\programdata\utilopen.exe uRun: [paintgraf] c:\users\meike\appdata\roaming\paintgraf.exe uRun: [Firefox helper] c:\users\meike\appdata\local\mozilla\firefox\firefox.exe uRun: [InetAccelerator] c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe uRun: [{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5}] c:\users\meike\appdata\roaming\keyf\wuilo.exe mRun: [PCTools FGuard] c:\program files\pc tools security\bdt\FGuard.exe mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe" mRun: [BabylonToolbar] "c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN mRun: [ISTray] "c:\program files\pc tools security\pctsGui.exe" /hideGUI mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe" mRun: [PDFPrint] c:\program files\pdf24\pdf24.exe mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe" StartupFolder: c:\users\meike\appdata\roaming\microsoft\windows\start menu\programs\startup\dxdiag.exe StartupFolder: c:\users\meike\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5) mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL LSP: c:\program files\common files\pc tools\lsp\PCTLsp.dll DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{7612030D-1ABD-490D-90D4-EA366DCBEDFC} : DhcpNameServer = 192.168.2.1 TCP: Interfaces\{79598063-2EC6-4A2F-B9B5-6657F933947F} : DhcpNameServer = 192.168.2.1 . ================= FIREFOX =================== . FF - ProfilePath - c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\ FF - prefs.js: browser.search.selectedEngine - Search the web FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q= FF - component: c:\program files\pc tools security\bdt\firefox\platform\winnt_x86-msvc\components\libheuristic.dll FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components\XPATLCOM.dll FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\ffxtlbr@babylon.com\components\FFHst.dll FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\program files\microsoft silverlight\4.0.60831.0\npctrlui.dll FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll . ---- FIREFOX POLICIES ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . ============= SERVICES / DRIVERS =============== . R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2011-3-8 239168] R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2011-3-8 338880] R0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2011-3-8 656320] R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2011-3-8 251560] R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168] R3 pctNdisMP;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536] R3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2007-8-3 9344] R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-13 311296] S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2011-3-8 51984] S0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2011-3-8 69392] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952] S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\pc tools security\bdt\BDTUpdateService.exe [2011-3-8 247760] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176] S2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2011-3-8 160448] S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\pc tools security\pctsAuxs.exe [2011-3-8 366840] S2 sdCoreService;PC Tools Security Service;c:\program files\pc tools security\pctsSvc.exe [2011-3-8 1150936] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888] S3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-9-19 245760] S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176] S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\drivers\KMWDFILTER.sys [2009-4-29 25088] S3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-3-8 89472] S3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536] S3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2011-3-8 125248] S3 pctplsg;pctplsg;c:\windows\system32\drivers\pctplsg.sys [2011-3-8 70536] S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2011-3-8 33552] S3 ThreatFire;ThreatFire;c:\program files\pc tools security\tfengine\tfservice.exe service --> c:\program files\pc tools security\tfengine\TFService.exe service [?] S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920] . =============== Created Last 30 ================ . 2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Keyf 2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Bici 2012-02-07 16:55:45 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE 2012-02-04 22:18:00 -------- d-----w- c:\users\meike\appdata\roaming\InetAccelerator 2012-02-04 22:18:00 -------- d-----w- c:\programdata\InetAccelerator 2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Quryg 2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Ofsya 2012-02-04 21:57:11 103432 ----a-w- c:\users\meike\appdata\roaming\paintgraf.exe 2012-02-04 21:57:11 103432 ----a-w- c:\programdata\utilopen.exe 2012-01-31 15:32:52 1037312 ----a-w- c:\windows\system32\lsasrv.dll 2012-01-31 15:32:50 224768 ----a-w- c:\windows\system32\schannel.dll 2012-01-31 15:32:45 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2012-01-31 15:32:43 369352 ----a-w- c:\windows\system32\drivers\cng.sys 2012-01-31 15:32:37 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys 2012-01-31 15:32:33 314368 ----a-w- c:\windows\system32\webio.dll 2012-01-31 15:32:30 99840 ----a-w- c:\windows\system32\sspicli.dll 2012-01-31 15:32:30 22528 ----a-w- c:\windows\system32\lsass.exe 2012-01-31 15:32:29 22016 ----a-w- c:\windows\system32\secur32.dll 2012-01-31 15:32:29 15360 ----a-w- c:\windows\system32\sspisrv.dll . ==================== Find3M ==================== . 2012-02-04 22:08:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-24 04:23:31 2340352 ----a-w- c:\windows\system32\win32k.sys 2011-11-19 14:06:13 67072 ----a-w- c:\windows\system32\packager.dll 2011-11-17 05:41:38 1288984 ----a-w- c:\windows\system32\ntdll.dll . ============= FINISH: 17:17:53,29 =============== attach.txt: . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft Windows 7 Home Premium Boot Device: \Device\HarddiskVolume1 Install Date: 08.03.2011 18:34:28 System Uptime: 11.02.2012 17:09:13 (0 hours ago) . Motherboard: Sony Corporation | | VAIO Processor: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz | N/A | 2094/200mhz . ==== Disk Partitions ========================= . C: is FIXED (NTFS) - 298 GiB total, 229,836 GiB free. D: is CDROM () . ==== Disabled Device Manager Items ============= . Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} Description: TfSysMon Device ID: ROOT\LEGACY_TFSYSMON\0000 Manufacturer: Name: TfSysMon PNP Device ID: ROOT\LEGACY_TFSYSMON\0000 Service: TFSysMon . Class GUID: Description: Basissystemgerät Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0 Manufacturer: Name: Basissystemgerät PNP Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0 Service: . Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} Description: Security Processor Loader Driver Device ID: ROOT\LEGACY_SPLDR\0000 Manufacturer: Name: Security Processor Loader Driver PNP Device ID: ROOT\LEGACY_SPLDR\0000 Service: spldr . Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} Description: TfFsMon Device ID: ROOT\LEGACY_TFFSMON\0000 Manufacturer: Name: TfFsMon PNP Device ID: ROOT\LEGACY_TFFSMON\0000 Service: TfFsMon . ==== System Restore Points =================== . RP91: 02.09.2011 11:37:41 - Windows Update RP92: 09.09.2011 16:39:55 - Windows Update RP93: 09.09.2011 19:29:21 - Windows Update RP94: 19.09.2011 19:14:42 - Windows Update RP95: 12.10.2011 21:26:40 - Windows Update RP96: 18.10.2011 19:43:15 - Installed iTunes RP97: 27.10.2011 14:58:41 - Windows Update RP98: 02.11.2011 19:15:13 - Windows Update RP99: 14.11.2011 20:13:19 - Windows Update RP100: 15.11.2011 19:40:57 - Windows Update RP101: 19.12.2011 20:11:47 - Windows Update RP102: 19.12.2011 20:28:53 - Windows Update RP103: 11.01.2012 19:20:55 - Windows Update RP104: 16.01.2012 18:49:02 - Windows Update RP105: 16.01.2012 19:03:18 - Windows Update RP106: 02.02.2012 11:33:04 - Windows Update . ==== Installed Programs ====================== . Update for Microsoft Office 2007 (KB2508958) 7-Zip 9.20 Adobe Flash Player 10 Plugin Adobe Flash Player 11 ActiveX Adobe Reader X (10.1.1) - Deutsch Apple Application Support Apple Mobile Device Support Apple Software Update Babylon toolbar Bonjour Brother MFL-Pro Suite DCP-J315W Browser Defender 3.0 Google Earth Plug-in Google Update Helper ICQ7.5 iTunes Java Auto Updater Java(TM) 6 Update 24 Microsoft .NET Framework 4 Client Profile Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Office 2007 Service Pack 2 (SP2) Microsoft Office Excel MUI (German) 2007 Microsoft Office Home and Student 2007 Microsoft Office OneNote MUI (German) 2007 Microsoft Office PowerPoint MUI (German) 2007 Microsoft Office Proof (English) 2007 Microsoft Office Proof (French) 2007 Microsoft Office Proof (German) 2007 Microsoft Office Proof (Italian) 2007 Microsoft Office Proofing (German) 2007 Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) Microsoft Office Shared MUI (German) 2007 Microsoft Office Word MUI (German) 2007 Microsoft Silverlight Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Mozilla Firefox 8.0.1 (x86 de) PC Tools Internet Security 8.0 PDF24 Creator 3.7.0 Security Update for 2007 Microsoft Office System (KB2288621) Security Update for 2007 Microsoft Office System (KB2288931) Security Update for 2007 Microsoft Office System (KB2345043) Security Update for 2007 Microsoft Office System (KB2553089) Security Update for 2007 Microsoft Office System (KB2553090) Security Update for 2007 Microsoft Office System (KB2584063) Security Update for 2007 Microsoft Office System (KB969559) Security Update for 2007 Microsoft Office System (KB976321) Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708) Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870) Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition Security Update for Microsoft Office InfoPath 2007 (KB979441) Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition Security Update for Microsoft Office system 2007 (972581) Security Update for Microsoft Office system 2007 (KB974234) Security Update for Microsoft Office Visio Viewer 2007 (KB973709) Security Update for Microsoft Office Word 2007 (KB2344993) Surf & E-Mail-Stick toolplugin Update für Microsoft Office Excel 2007 Help (KB963678) Update für Microsoft Office Powerpoint 2007 Help (KB963669) Update für Microsoft Office Word 2007 Help (KB963665) Update for 2007 Microsoft Office System (KB967642) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition Update for Microsoft Office 2007 System (KB2539530) Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition Update for Microsoft Office OneNote 2007 (KB980729) VLC media player 1.1.7 Windows Movie Maker 2.6 WinFunktion Mathematik plus 18 . ==== End Of File =========================== Viele Grüße Meike |
11.02.2012, 20:25 | #4 |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virus Da ist ein bisschen mehr zu tun. Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter @echo off for %%G in ( c:\users\meike\appdata\local\mozilla\firefox\firefox.exe c:\users\meike\appdata\roaming\keyf\wuilo.exe ) do ( del /a /f /q %%g ) echo Erledigt, Rechner neu starten. del %0
Dauert nur ein paar Sekunden. Solltest dann den Rechner wieder normal starten können. Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Bitte poste in deiner nächsten Antwort gmer.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
12.02.2012, 10:32 | #5 |
| Windowssystem blockiert 50 euro virus Hallo Daniel, Habe ein kleines Problem bei den Anweisungen. Ich habe wieder in diesem abgesicherten modus mit netzwerk gestartet und dann windows +r gedrückt, alles eingegeben und gespeichert. Wenn ich die datei dann als administrator ausgeführt habe, ist sie vom desktop verschwunden und es ist auch nichts passiert. Naja ich dachte vielleicht muss es so und habe dann wie du geschrieben hast den rechner neu und normal gestartet, um mir das angegebene programm zu laden. Allerdings kam dann direkt wieder dieses 50 euro bild. Hast du eine idee was ich falsch gemacht haben könnte mit dieser datei,woran es liegt und wie ich es nochmal versuchen sollte? Danke |
12.02.2012, 19:00 | #7 |
| Windowssystem blockiert 50 euro virus Hallo, habe es soweit alles durchgeführt, jetzt hat es auch geklappt mit dem abgesichertem modus. ich poste jetzt gmer.txt: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover Rootkit scan 2012-02-12 18:57:03 Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK3255GSX rev.FG010A Running: 4w78dub4.exe; Driver: C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0x8A828F68] SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0x8A829230] SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateUserProcess [0x8A82952C] SSDT \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwTerminateProcess [0x8A8289D8] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 820855D9 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 820AA092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!RtlSidHashLookup + 35C 820B199C 8 Bytes [68, 8F, 82, 8A, 30, 92, 82, ...] .text ntkrnlpa.exe!RtlSidHashLookup + 394 820B19D4 4 Bytes [2C, 95, 82, 8A] .text ntkrnlpa.exe!RtlSidHashLookup + 7E8 820B1E28 4 Bytes [D8, 89, 82, 8A] ? \Device\Harddisk0\Partition2\Windows\system32\drivers\PctWfpFilter.sys Das System kann den angegebenen Pfad nicht finden. ! ? C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000051 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp pctgntdi.sys AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Udp pctgntdi.sys AttachedDevice \Driver\tdx \Device\RawIp pctgntdi.sys ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9 0x64 0x81 0x94 0x30 ... Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb 0x99 0xBC 0x60 0xB8 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9 0x64 0x81 0x94 0x30 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb 0x99 0xBC 0x60 0xB8 ... ---- EOF - GMER 1.0.15 ---- lg meike |
12.02.2012, 20:22 | #8 | |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virusCombofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort Combofix.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
13.02.2012, 19:52 | #9 |
| Windowssystem blockiert 50 euro virus Einmal die Auswertung von Combofix: Combofix Logfile: Code:
ATTFilter ComboFix 12-02-13.01 - Meike 13.02.2012 19:29:55.1.2 - x86 NETWORK Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2469 [GMT 1:00] ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2} FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9} SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\InetAccelerator c:\programdata\InetAccelerator\InetAccelerator.exe c:\programdata\utilopen.exe c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe c:\users\Meike\AppData\Roaming\Keyf c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe c:\users\Meike\AppData\Roaming\paintgraf.exe c:\users\Meike\AppData\Roaming\Quryg c:\users\Meike\AppData\Roaming\Quryg\evyce.iln c:\users\Meike\AppData\Roaming\toolplugin\toOLbar.dll . . ((((((((((((((((((((((( Dateien erstellt von 2012-01-13 bis 2012-02-13 )))))))))))))))))))))))))))))) . . 2012-02-13 18:38 . 2012-02-13 18:38 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-02-07 16:55 . 2012-02-12 20:32 -------- d-----w- c:\users\Meike\AppData\Roaming\Bici 2012-02-07 16:55 . 2012-02-07 16:55 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE 2012-02-04 22:18 . 2012-02-07 15:27 -------- d-----w- c:\users\Meike\AppData\Roaming\InetAccelerator 2012-02-04 21:57 . 2012-02-04 21:57 -------- d-----w- c:\users\Meike\AppData\Roaming\Ofsya 2012-01-31 15:32 . 2011-11-17 05:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 224768 ----a-w- c:\windows\system32\schannel.dll 2012-01-31 15:32 . 2011-11-17 05:48 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2012-01-31 15:32 . 2011-11-17 05:42 369352 ----a-w- c:\windows\system32\drivers\cng.sys 2012-01-31 15:32 . 2011-11-17 05:48 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys 2012-01-31 15:32 . 2011-11-17 05:39 314368 ----a-w- c:\windows\system32\webio.dll 2012-01-31 15:32 . 2011-11-17 05:39 99840 ----a-w- c:\windows\system32\sspicli.dll 2012-01-31 15:32 . 2011-11-17 05:36 22528 ----a-w- c:\windows\system32\lsass.exe 2012-01-31 15:32 . 2011-11-17 05:39 15360 ----a-w- c:\windows\system32\sspisrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 22016 ----a-w- c:\windows\system32\secur32.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-04 22:08 . 2011-06-05 15:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-24 04:23 . 2011-12-19 19:19 2340352 ----a-w- c:\windows\system32\win32k.sys 2011-11-19 14:06 . 2012-01-11 18:20 67072 ----a-w- c:\windows\system32\packager.dll 2011-11-17 05:41 . 2012-01-11 18:19 1288984 ----a-w- c:\windows\system32\ntdll.dll 2011-12-12 18:04 . 2011-09-10 08:38 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064] "BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688] "BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440] "ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208] "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240] "PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736] . c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService" . R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984] R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952] R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448] R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472] R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248] R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536] R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552] R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920] S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168] S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880] S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320] S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560] S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840] S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344] S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] . . Inhalt des "geplante Tasks" Ordners . 2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . 2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395 uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\ FF - prefs.js: browser.search.selectedEngine - Search the web FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q= FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-utilopen - c:\programdata\utilopen.exe HKCU-Run-paintgraf - c:\users\Meike\AppData\Roaming\paintgraf.exe HKCU-Run-Firefox helper - c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe HKCU-Run-InetAccelerator - c:\users\Meike\AppData\Roaming\InetAccelerator\InetAccelerator.exe HKCU-Run-{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5} - c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe AddRemove-toolplugin - c:\users\Meike\AppData\Local\Temp\WZSE0.TMP\setup.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2012-02-13 19:44:30 ComboFix-quarantined-files.txt 2012-02-13 18:44 . Vor Suchlauf: 5 Verzeichnis(se), 247.031.480.320 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 247.052.132.352 Bytes frei . - - End Of File - - CA123E37F6A3757B98F8BD5F353ED60E LG |
13.02.2012, 21:13 | #10 |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virus Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DirLook:: c:\users\Meike\AppData\Roaming\Bici Folder:: c:\users\Meike\AppData\Roaming\Ofsya Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BabylonToolbar"=- DDS:: uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395 FireFox:: FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\ FF - prefs.js: browser.search.selectedEngine - Search the web FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q= Wichtig:
Bitte poste in deiner nächsten Antwort Combofix.txt
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
15.02.2012, 18:28 | #11 |
| Windowssystem blockiert 50 euro virus So einmal den Logfile: Combofix Logfile: Code:
ATTFilter ComboFix 12-02-15.01 - Meike 15.02.2012 18:14:10.2.2 - x86 NETWORK Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2671 [GMT 1:00] ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2} FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9} SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . ((((((((((((((((((((((( Dateien erstellt von 2012-01-15 bis 2012-02-15 )))))))))))))))))))))))))))))) . . 2012-02-15 17:22 . 2012-02-15 17:22 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-02-07 16:55 . 2012-02-12 20:32 -------- d-----w- c:\users\Meike\AppData\Roaming\Bici 2012-02-07 16:55 . 2012-02-07 16:55 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE 2012-02-04 22:18 . 2012-02-07 15:27 -------- d-----w- c:\users\Meike\AppData\Roaming\InetAccelerator 2012-02-04 21:57 . 2012-02-04 21:57 -------- d-----w- c:\users\Meike\AppData\Roaming\Ofsya 2012-01-31 15:32 . 2011-11-17 05:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 224768 ----a-w- c:\windows\system32\schannel.dll 2012-01-31 15:32 . 2011-11-17 05:48 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2012-01-31 15:32 . 2011-11-17 05:42 369352 ----a-w- c:\windows\system32\drivers\cng.sys 2012-01-31 15:32 . 2011-11-17 05:48 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys 2012-01-31 15:32 . 2011-11-17 05:39 314368 ----a-w- c:\windows\system32\webio.dll 2012-01-31 15:32 . 2011-11-17 05:39 99840 ----a-w- c:\windows\system32\sspicli.dll 2012-01-31 15:32 . 2011-11-17 05:36 22528 ----a-w- c:\windows\system32\lsass.exe 2012-01-31 15:32 . 2011-11-17 05:39 15360 ----a-w- c:\windows\system32\sspisrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 22016 ----a-w- c:\windows\system32\secur32.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-04 22:08 . 2011-06-05 15:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-24 04:23 . 2011-12-19 19:19 2340352 ----a-w- c:\windows\system32\win32k.sys 2011-11-19 14:06 . 2012-01-11 18:20 67072 ----a-w- c:\windows\system32\packager.dll 2011-12-12 18:04 . 2011-09-10 08:38 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((( SnapShot@2012-02-13_18.38.57 ))))))))))))))))))))))))))))))))))))))))) . + 2012-02-15 17:01 . 2012-02-15 17:01 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - 2012-02-13 18:20 . 2012-02-13 18:20 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-02-15 17:01 . 2012-02-15 17:01 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2012-02-13 18:20 . 2012-02-13 18:20 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064] "BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688] "BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440] "ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208] "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240] "PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736] . c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService" . R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984] R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952] R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448] R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840] R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472] R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248] R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536] R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552] R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920] S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168] S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880] S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320] S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560] S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344] S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] . . Inhalt des "geplante Tasks" Ordners . 2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . 2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395 uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\ FF - prefs.js: browser.search.selectedEngine - Search the web FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q= FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2012-02-15 18:26:48 ComboFix-quarantined-files.txt 2012-02-15 17:26 ComboFix2.txt 2012-02-13 18:44 . Vor Suchlauf: 9 Verzeichnis(se), 247.137.132.544 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 247.073.230.848 Bytes frei . - - End Of File - - 73AF8DC83813671F96E9E3BE0DD983A3 lg |
16.02.2012, 01:32 | #12 |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virus Du hast CF nicht mit dem Script gestartet. Bitte wiederholen.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
16.02.2012, 21:54 | #13 |
| Windowssystem blockiert 50 euro virus Wie starte ich cf denn mit dem skript? Durch doppelklick auf das skript öffnet es sich nur .... Ich bin jetzt "leider" bis montag im urlaub und könnte dir erst dienstag wieder antworten (ich weiß es überschreitet deine drei tage regel), ich hoffe du löscht mich deswegen nicht Lg |
17.02.2012, 08:10 | #14 |
/// Selecta Jahrusso | Windowssystem blockiert 50 euro virus Zieh das Script einfach auf die Combofix.exe. Wie wenn du eine Datei in einen Ordner schieben willst. Mehr als eine .gif Animation kann ich nun wirklich nicht mehr posten.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
21.02.2012, 17:07 | #15 |
| Windowssystem blockiert 50 euro virus Soo, nun endlich die Auswertung geöffnet mit dem Skript: Combofix Logfile: Code:
ATTFilter ComboFix 12-02-15.01 - Meike 21.02.2012 17:02:49.4.2 - x86 NETWORK Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2535 [GMT 1:00] ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\users\Meike\Desktop\CFScript.txt AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2} FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9} SP: Internet Security Anti-Spyware *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . - REDUZIERTER FUNKTIONALITÄTSMODUS - . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Vorheriger Suchlauf ------- . c:\users\Meike\AppData\Roaming\Ofsya . . ((((((((((((((((((((((( Dateien erstellt von 2012-01-21 bis 2012-02-21 )))))))))))))))))))))))))))))) . . 2012-02-21 16:03 . 2012-02-21 16:03 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-02-07 16:55 . 2012-02-12 20:32 -------- d-----w- c:\users\Meike\AppData\Roaming\Bici 2012-02-07 16:55 . 2012-02-07 16:55 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE 2012-02-04 22:18 . 2012-02-07 15:27 -------- d-----w- c:\users\Meike\AppData\Roaming\InetAccelerator 2012-01-31 15:32 . 2011-11-17 05:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 224768 ----a-w- c:\windows\system32\schannel.dll 2012-01-31 15:32 . 2011-11-17 05:48 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2012-01-31 15:32 . 2011-11-17 05:42 369352 ----a-w- c:\windows\system32\drivers\cng.sys 2012-01-31 15:32 . 2011-11-17 05:48 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys 2012-01-31 15:32 . 2011-11-17 05:39 314368 ----a-w- c:\windows\system32\webio.dll 2012-01-31 15:32 . 2011-11-17 05:39 99840 ----a-w- c:\windows\system32\sspicli.dll 2012-01-31 15:32 . 2011-11-17 05:36 22528 ----a-w- c:\windows\system32\lsass.exe 2012-01-31 15:32 . 2011-11-17 05:39 15360 ----a-w- c:\windows\system32\sspisrv.dll 2012-01-31 15:32 . 2011-11-17 05:39 22016 ----a-w- c:\windows\system32\secur32.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-04 22:08 . 2011-06-05 15:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-11-24 04:23 . 2011-12-19 19:19 2340352 ----a-w- c:\windows\system32\win32k.sys 2011-12-12 18:04 . 2011-09-10 08:38 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\users\Meike\AppData\Roaming\Bici ---- . 2012-02-12 20:31 . 2012-02-12 20:31 2718 ----a-w- c:\users\Meike\AppData\Roaming\Bici\atywx.tmp . . ((((((((((((((((((((((((((((( SnapShot@2012-02-13_18.38.57 ))))))))))))))))))))))))))))))))))))))))) . - 2011-03-08 17:28 . 2012-02-13 18:36 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2011-03-08 17:28 . 2012-02-16 20:48 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2011-03-08 17:28 . 2012-02-13 18:36 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2011-03-08 17:28 . 2012-02-16 20:48 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2009-07-14 04:41 . 2012-02-13 18:36 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-07-14 04:41 . 2012-02-16 20:48 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2011-03-08 17:39 . 2012-02-16 20:47 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2011-03-08 17:39 . 2012-02-12 20:33 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2011-03-08 17:39 . 2012-02-12 20:33 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2011-03-08 17:39 . 2012-02-16 20:47 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2011-03-08 17:39 . 2012-02-16 20:47 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2011-03-08 17:39 . 2012-02-12 20:33 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2011-03-08 17:39 . 2012-02-12 20:34 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2011-03-08 17:39 . 2012-02-16 20:47 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2011-03-08 17:39 . 2012-02-12 20:34 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2011-03-08 17:39 . 2012-02-16 20:47 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2011-03-09 08:55 . 2012-02-16 20:47 2190 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat - 2012-02-13 18:20 . 2012-02-13 18:20 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-02-21 15:45 . 2012-02-21 15:45 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-02-21 15:45 . 2012-02-21 15:45 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2012-02-13 18:20 . 2012-02-13 18:20 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688] "BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440] "ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208] "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240] "PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736] . c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984] R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952] R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448] R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840] R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176] R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472] R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248] R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536] R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552] R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920] S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168] S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880] S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320] S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560] S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344] S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] . . Inhalt des "geplante Tasks" Ordners . 2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . 2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23] . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\ FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2012-02-21 17:06:48 ComboFix-quarantined-files.txt 2012-02-21 16:06 ComboFix2.txt 2012-02-15 17:26 ComboFix3.txt 2012-02-13 18:44 . Vor Suchlauf: 9 Verzeichnis(se), 247.087.915.008 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 247.057.924.096 Bytes frei . - - End Of File - - 7AD6DA226BC020311C3D4A395B105438 lg |
Themen zu Windowssystem blockiert 50 euro virus |
andere, anderen, angeblich, blockiert, direkt, durchgeführt, einschalten, entfernt, erneute, euro, fenster, funktionieren, nichts, problem, programm, rojaner gefunden, scan, start, tools, total, troja, trojaner, trojaner gefunden, usern, virus, wlan, öffnet |