Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windowssystem blockiert 50 euro virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.02.2012, 20:33   #1
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Hallo,

Auch mein pc wurde leider von dem 50euro virus befallen. Das problem ist, dass sich das fenster meist direkt nach dem start öffnet, wenn wlan eingeschaltet ist und ich dann nichts mehr machen kann. Habe einen scan mit meinem virenprogramm pc tools durchgeführt, er hat auch einen trojaner gefunden und ihn auch angeblich entfernt, es kommt trotzdem immer wieder und bei einem erneuten scan findet er auch den gleichen wieder...
Nun habe ich bei den anderen usern mit dem gleichen problem gelesen, sie sollen sich ein programm runterladen. Nur wie soll das funktionieren wenn beim einschalten gleich das fenster kommt....
Ich bin am verzweifeln und es wäre total lieb wenn ihr mir helfen könntet.

Lg Meike

Alt 11.02.2012, 05:21   #2
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus





Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  • Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
  • Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.




Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows
  • Starte den Rechner neu auf.
  • Sobald du den Rechner das erste mal piepen hörst, drücke die F8 Taste. ( Dies kann von System zu System variieren )
  • Windows wird dir ein Auswahlmenu geben anstatt sich normal zu starten.
  • Wähle hier Abgesicherter Modus mit Netzwerktreibern und drücke Enter.




Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
  • Schließe alle laufenden Programme.
  • Starte DDS mit Doppelklick.
  • Es wird 2 Logfiles erstellen.
    • dds.txt
    • attach.txt
  • Speichere beide Logfiles auf deinem Desktop
  • Poste beide Logfiles hier.



Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt
__________________

__________________

Alt 11.02.2012, 17:22   #3
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Hallo Daniel,

danke für deine schnelle Antwort und vor allem deine Hilfe!
Ich habe die ersten Anweisungen jetzt ausgeführt und poste jetzt die beiden Logfiles:

dds.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK
Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_24
Run by Meike at 17:16:38 on 2012-02-11
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2693 [GMT 1:00]
.
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uInternet Settings,ProxyOverride = *.local
mSearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uURLSearchHooks: H - No File
uURLSearchHooks: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
uWinlogon: shell=c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe,Explorer.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: PC Tools Browser Guard BHO: {2a0f3d1b-0909-4ff4-b272-609cce6054e7} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
BHO: CescrtHlpr Object: {2eecd738-5844-4a99-b4b6-146bf802613b} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\bh\BabylonToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Babylon Toolbar: {98889811-442d-49dd-99d7-dc866be87dbc} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarTlbr.dll
TB: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
TB: toolplugin: {dfefcdee-cf1a-4fc8-89af-189327213627} - c:\users\meike\appdata\roaming\toolplugin\toolbar.dll
uRun: [ICQ] "c:\program files\icq7.4\ICQ.exe" silent loginmode=4
uRun: [utilopen] c:\programdata\utilopen.exe
uRun: [paintgraf] c:\users\meike\appdata\roaming\paintgraf.exe
uRun: [Firefox helper] c:\users\meike\appdata\local\mozilla\firefox\firefox.exe
uRun: [InetAccelerator] c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe
uRun: [{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5}] c:\users\meike\appdata\roaming\keyf\wuilo.exe
mRun: [PCTools FGuard] c:\program files\pc tools security\bdt\FGuard.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [BabylonToolbar] "c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun
mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [ISTray] "c:\program files\pc tools security\pctsGui.exe" /hideGUI
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [PDFPrint] c:\program files\pdf24\pdf24.exe
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
StartupFolder: c:\users\meike\appdata\roaming\microsoft\windows\start menu\programs\startup\dxdiag.exe
StartupFolder: c:\users\meike\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: c:\program files\common files\pc tools\lsp\PCTLsp.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{7612030D-1ABD-490D-90D4-EA366DCBEDFC} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{79598063-2EC6-4A2F-B9B5-6657F933947F} : DhcpNameServer = 192.168.2.1
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - component: c:\program files\pc tools security\bdt\firefox\platform\winnt_x86-msvc\components\libheuristic.dll
FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components\XPATLCOM.dll
FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\ffxtlbr@babylon.com\components\FFHst.dll
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2011-3-8 239168]
R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2011-3-8 338880]
R0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2011-3-8 656320]
R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2011-3-8 251560]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
R3 pctNdisMP;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2007-8-3 9344]
R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-13 311296]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2011-3-8 51984]
S0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2011-3-8 69392]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\pc tools security\bdt\BDTUpdateService.exe [2011-3-8 247760]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2011-3-8 160448]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\pc tools security\pctsAuxs.exe [2011-3-8 366840]
S2 sdCoreService;PC Tools Security Service;c:\program files\pc tools security\pctsSvc.exe [2011-3-8 1150936]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-9-19 245760]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\drivers\KMWDFILTER.sys [2009-4-29 25088]
S3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-3-8 89472]
S3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
S3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2011-3-8 125248]
S3 pctplsg;pctplsg;c:\windows\system32\drivers\pctplsg.sys [2011-3-8 70536]
S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2011-3-8 33552]
S3 ThreatFire;ThreatFire;c:\program files\pc tools security\tfengine\tfservice.exe service --> c:\program files\pc tools security\tfengine\TFService.exe service [?]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920]
.
=============== Created Last 30 ================
.
2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Keyf
2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Bici
2012-02-07 16:55:45 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE
2012-02-04 22:18:00 -------- d-----w- c:\users\meike\appdata\roaming\InetAccelerator
2012-02-04 22:18:00 -------- d-----w- c:\programdata\InetAccelerator
2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Quryg
2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Ofsya
2012-02-04 21:57:11 103432 ----a-w- c:\users\meike\appdata\roaming\paintgraf.exe
2012-02-04 21:57:11 103432 ----a-w- c:\programdata\utilopen.exe
2012-01-31 15:32:52 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2012-01-31 15:32:50 224768 ----a-w- c:\windows\system32\schannel.dll
2012-01-31 15:32:45 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32:43 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-01-31 15:32:37 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32:33 314368 ----a-w- c:\windows\system32\webio.dll
2012-01-31 15:32:30 99840 ----a-w- c:\windows\system32\sspicli.dll
2012-01-31 15:32:30 22528 ----a-w- c:\windows\system32\lsass.exe
2012-01-31 15:32:29 22016 ----a-w- c:\windows\system32\secur32.dll
2012-01-31 15:32:29 15360 ----a-w- c:\windows\system32\sspisrv.dll
.
==================== Find3M ====================
.
2012-02-04 22:08:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23:31 2340352 ----a-w- c:\windows\system32\win32k.sys
2011-11-19 14:06:13 67072 ----a-w- c:\windows\system32\packager.dll
2011-11-17 05:41:38 1288984 ----a-w- c:\windows\system32\ntdll.dll
.
============= FINISH: 17:17:53,29 ===============

attach.txt:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 08.03.2011 18:34:28
System Uptime: 11.02.2012 17:09:13 (0 hours ago)
.
Motherboard: Sony Corporation | | VAIO
Processor: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz | N/A | 2094/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 229,836 GiB free.
D: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: TfSysMon
Device ID: ROOT\LEGACY_TFSYSMON\0000
Manufacturer:
Name: TfSysMon
PNP Device ID: ROOT\LEGACY_TFSYSMON\0000
Service: TFSysMon
.
Class GUID:
Description: Basissystemgerät
Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Manufacturer:
Name: Basissystemgerät
PNP Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Service:
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: Security Processor Loader Driver
Device ID: ROOT\LEGACY_SPLDR\0000
Manufacturer:
Name: Security Processor Loader Driver
PNP Device ID: ROOT\LEGACY_SPLDR\0000
Service: spldr
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: TfFsMon
Device ID: ROOT\LEGACY_TFFSMON\0000
Manufacturer:
Name: TfFsMon
PNP Device ID: ROOT\LEGACY_TFFSMON\0000
Service: TfFsMon
.
==== System Restore Points ===================
.
RP91: 02.09.2011 11:37:41 - Windows Update
RP92: 09.09.2011 16:39:55 - Windows Update
RP93: 09.09.2011 19:29:21 - Windows Update
RP94: 19.09.2011 19:14:42 - Windows Update
RP95: 12.10.2011 21:26:40 - Windows Update
RP96: 18.10.2011 19:43:15 - Installed iTunes
RP97: 27.10.2011 14:58:41 - Windows Update
RP98: 02.11.2011 19:15:13 - Windows Update
RP99: 14.11.2011 20:13:19 - Windows Update
RP100: 15.11.2011 19:40:57 - Windows Update
RP101: 19.12.2011 20:11:47 - Windows Update
RP102: 19.12.2011 20:28:53 - Windows Update
RP103: 11.01.2012 19:20:55 - Windows Update
RP104: 16.01.2012 18:49:02 - Windows Update
RP105: 16.01.2012 19:03:18 - Windows Update
RP106: 02.02.2012 11:33:04 - Windows Update
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
7-Zip 9.20
Adobe Flash Player 10 Plugin
Adobe Flash Player 11 ActiveX
Adobe Reader X (10.1.1) - Deutsch
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Babylon toolbar
Bonjour
Brother MFL-Pro Suite DCP-J315W
Browser Defender 3.0
Google Earth Plug-in
Google Update Helper
ICQ7.5
iTunes
Java Auto Updater
Java(TM) 6 Update 24
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 8.0.1 (x86 de)
PC Tools Internet Security 8.0
PDF24 Creator 3.7.0
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2553089)
Security Update for 2007 Microsoft Office System (KB2553090)
Security Update for 2007 Microsoft Office System (KB2584063)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
Surf & E-Mail-Stick
toolplugin
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 System (KB2539530)
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
Update for Microsoft Office OneNote 2007 (KB980729)
VLC media player 1.1.7
Windows Movie Maker 2.6
WinFunktion Mathematik plus 18
.
==== End Of File ===========================

Viele Grüße
Meike
__________________

Alt 11.02.2012, 20:25   #4
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Da ist ein bisschen mehr zu tun.



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
for %%G in (
c:\users\meike\appdata\local\mozilla\firefox\firefox.exe
c:\users\meike\appdata\roaming\keyf\wuilo.exe
) do (
del /a /f /q %%g
)
echo Erledigt, Rechner neu starten.
del %0
         
  • Wähle Datei --> Speichern unter
  • Dateiname: file.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.

    Es sollte nun ungefähr so aussehen
  • Starte die file.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Dauert nur ein paar Sekunden. Solltest dann den Rechner wieder normal starten können.



Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Bitte poste in deiner nächsten Antwort
gmer.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 12.02.2012, 10:32   #5
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Hallo Daniel,

Habe ein kleines Problem bei den Anweisungen. Ich habe wieder in diesem abgesicherten modus mit netzwerk gestartet und dann windows +r gedrückt, alles eingegeben und gespeichert. Wenn ich die datei dann als administrator ausgeführt habe, ist sie vom desktop verschwunden und es ist auch nichts passiert. Naja ich dachte vielleicht muss es so und habe dann wie du geschrieben hast den rechner neu und normal gestartet, um mir das angegebene programm zu laden. Allerdings kam dann direkt wieder dieses 50 euro bild.
Hast du eine idee was ich falsch gemacht haben könnte mit dieser datei,woran es liegt und wie ich es nochmal versuchen sollte?
Danke


Alt 12.02.2012, 17:08   #6
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Okay, dann hat die Batch zu wenig Power.

Starte bitte erneut in den abgesicherten Modus und lass GMER laufen.
__________________
--> Windowssystem blockiert 50 euro virus

Alt 12.02.2012, 19:00   #7
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Hallo,
habe es soweit alles durchgeführt, jetzt hat es auch geklappt mit dem abgesichertem modus. ich poste jetzt gmer.txt:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2012-02-12 18:57:03
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK3255GSX rev.FG010A
Running: 4w78dub4.exe; Driver: C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateProcess [0x8A828F68]
SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateProcessEx [0x8A829230]
SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateUserProcess [0x8A82952C]
SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwTerminateProcess [0x8A8289D8]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                  820855D9 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           820AA092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 35C                                                              820B199C 8 Bytes  [68, 8F, 82, 8A, 30, 92, 82, ...]
.text           ntkrnlpa.exe!RtlSidHashLookup + 394                                                              820B19D4 4 Bytes  [2C, 95, 82, 8A]
.text           ntkrnlpa.exe!RtlSidHashLookup + 7E8                                                              820B1E28 4 Bytes  [D8, 89, 82, 8A]
?               \Device\Harddisk0\Partition2\Windows\system32\drivers\PctWfpFilter.sys                           Das System kann den angegebenen Pfad nicht finden. !
?               C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys                                                   Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000051                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\tdx \Device\Tcp                                                                          pctgntdi.sys
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                          pctgntdi.sys
AttachedDevice  \Driver\tdx \Device\RawIp                                                                        pctgntdi.sys

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9         0x64 0x81 0x94 0x30 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb         0x99 0xBC 0x60 0xB8 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9             0x64 0x81 0x94 0x30 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb             0x99 0xBC 0x60 0xB8 ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---

lg meike

Alt 12.02.2012, 20:22   #8
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Bitte poste in deiner nächsten Antwort
Combofix.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 13.02.2012, 19:52   #9
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Einmal die Auswertung von Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-02-13.01 - Meike 13.02.2012  19:29:55.1.2 - x86 NETWORK
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2469 [GMT 1:00]
ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\InetAccelerator
c:\programdata\InetAccelerator\InetAccelerator.exe
c:\programdata\utilopen.exe
c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe
c:\users\Meike\AppData\Roaming\Keyf
c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe
c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe
c:\users\Meike\AppData\Roaming\paintgraf.exe
c:\users\Meike\AppData\Roaming\Quryg
c:\users\Meike\AppData\Roaming\Quryg\evyce.iln
c:\users\Meike\AppData\Roaming\toolplugin\toOLbar.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-13 bis 2012-02-13  ))))))))))))))))))))))))))))))
.
.
2012-02-13 18:38 . 2012-02-13 18:38	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-07 16:55 . 2012-02-12 20:32	--------	d-----w-	c:\users\Meike\AppData\Roaming\Bici
2012-02-07 16:55 . 2012-02-07 16:55	--------	d-----w-	c:\programdata\F4D55F3B00016B33000B3823A60145BE
2012-02-04 22:18 . 2012-02-07 15:27	--------	d-----w-	c:\users\Meike\AppData\Roaming\InetAccelerator
2012-02-04 21:57 . 2012-02-04 21:57	--------	d-----w-	c:\users\Meike\AppData\Roaming\Ofsya
2012-01-31 15:32 . 2011-11-17 05:38	1037312	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 15:32 . 2011-11-17 05:48	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32 . 2011-11-17 05:42	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 15:32 . 2011-11-17 05:48	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32 . 2011-11-17 05:39	314368	----a-w-	c:\windows\system32\webio.dll
2012-01-31 15:32 . 2011-11-17 05:39	99840	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 15:32 . 2011-11-17 05:36	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-31 15:32 . 2011-11-17 05:39	15360	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	22016	----a-w-	c:\windows\system32\secur32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-04 22:08 . 2011-06-05 15:05	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23 . 2011-12-19 19:19	2340352	----a-w-	c:\windows\system32\win32k.sys
2011-11-19 14:06 . 2012-01-11 18:20	67072	----a-w-	c:\windows\system32\packager.dll
2011-11-17 05:41 . 2012-01-11 18:19	1288984	----a-w-	c:\windows\system32\ntdll.dll
2011-12-12 18:04 . 2011-09-10 08:38	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
.
c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService"
.
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]
R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]
R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]
R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]
R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]
S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]
S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]
S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-utilopen - c:\programdata\utilopen.exe
HKCU-Run-paintgraf - c:\users\Meike\AppData\Roaming\paintgraf.exe
HKCU-Run-Firefox helper - c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe
HKCU-Run-InetAccelerator - c:\users\Meike\AppData\Roaming\InetAccelerator\InetAccelerator.exe
HKCU-Run-{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5} - c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe
AddRemove-toolplugin - c:\users\Meike\AppData\Local\Temp\WZSE0.TMP\setup.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-02-13  19:44:30
ComboFix-quarantined-files.txt  2012-02-13 18:44
.
Vor Suchlauf: 5 Verzeichnis(se), 247.031.480.320 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 247.052.132.352 Bytes frei
.
- - End Of File - - CA123E37F6A3757B98F8BD5F353ED60E
         
--- --- ---

LG

Alt 13.02.2012, 21:13   #10
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:
ATTFilter
DirLook::
c:\users\Meike\AppData\Roaming\Bici
Folder::
c:\users\Meike\AppData\Roaming\Ofsya
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BabylonToolbar"=-
DDS::
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
FireFox::
FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
         
Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:
  • Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.


  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Bitte poste in deiner nächsten Antwort
Combofix.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 15.02.2012, 18:28   #11
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



So einmal den Logfile:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-02-15.01 - Meike 15.02.2012  18:14:10.2.2 - x86 NETWORK
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2671 [GMT 1:00]
ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-15 bis 2012-02-15  ))))))))))))))))))))))))))))))
.
.
2012-02-15 17:22 . 2012-02-15 17:22	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-07 16:55 . 2012-02-12 20:32	--------	d-----w-	c:\users\Meike\AppData\Roaming\Bici
2012-02-07 16:55 . 2012-02-07 16:55	--------	d-----w-	c:\programdata\F4D55F3B00016B33000B3823A60145BE
2012-02-04 22:18 . 2012-02-07 15:27	--------	d-----w-	c:\users\Meike\AppData\Roaming\InetAccelerator
2012-02-04 21:57 . 2012-02-04 21:57	--------	d-----w-	c:\users\Meike\AppData\Roaming\Ofsya
2012-01-31 15:32 . 2011-11-17 05:38	1037312	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 15:32 . 2011-11-17 05:48	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32 . 2011-11-17 05:42	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 15:32 . 2011-11-17 05:48	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32 . 2011-11-17 05:39	314368	----a-w-	c:\windows\system32\webio.dll
2012-01-31 15:32 . 2011-11-17 05:39	99840	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 15:32 . 2011-11-17 05:36	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-31 15:32 . 2011-11-17 05:39	15360	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	22016	----a-w-	c:\windows\system32\secur32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-04 22:08 . 2011-06-05 15:05	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23 . 2011-12-19 19:19	2340352	----a-w-	c:\windows\system32\win32k.sys
2011-11-19 14:06 . 2012-01-11 18:20	67072	----a-w-	c:\windows\system32\packager.dll
2011-12-12 18:04 . 2011-09-10 08:38	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-02-13_18.38.57   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-02-15 17:01 . 2012-02-15 17:01	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-02-13 18:20 . 2012-02-13 18:20	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-02-15 17:01 . 2012-02-15 17:01	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-02-13 18:20 . 2012-02-13 18:20	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
.
c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService"
.
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]
R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]
R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]
R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]
R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]
S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]
S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]
S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-02-15  18:26:48
ComboFix-quarantined-files.txt  2012-02-15 17:26
ComboFix2.txt  2012-02-13 18:44
.
Vor Suchlauf: 9 Verzeichnis(se), 247.137.132.544 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 247.073.230.848 Bytes frei
.
- - End Of File - - 73AF8DC83813671F96E9E3BE0DD983A3
         
--- --- ---


lg

Alt 16.02.2012, 01:32   #12
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Du hast CF nicht mit dem Script gestartet. Bitte wiederholen.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 16.02.2012, 21:54   #13
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Wie starte ich cf denn mit dem skript? Durch doppelklick auf das skript öffnet es sich nur .... Ich bin jetzt "leider" bis montag im urlaub und könnte dir erst dienstag wieder antworten (ich weiß es überschreitet deine drei tage regel), ich hoffe du löscht mich deswegen nicht
Lg

Alt 17.02.2012, 08:10   #14
Larusso
/// Selecta Jahrusso
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Zieh das Script einfach auf die Combofix.exe. Wie wenn du eine Datei in einen Ordner schieben willst.

Mehr als eine .gif Animation kann ich nun wirklich nicht mehr posten.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 21.02.2012, 17:07   #15
Piccolina
 
Windowssystem blockiert 50 euro virus - Standard

Windowssystem blockiert 50 euro virus



Soo, nun endlich die Auswertung geöffnet mit dem Skript:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-02-15.01 - Meike 21.02.2012  17:02:49.4.2 - x86 NETWORK
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2535 [GMT 1:00]
ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Meike\Desktop\CFScript.txt
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
SP: Internet Security Anti-Spyware *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\users\Meike\AppData\Roaming\Ofsya
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-01-21 bis 2012-02-21  ))))))))))))))))))))))))))))))
.
.
2012-02-21 16:03 . 2012-02-21 16:03	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-02-07 16:55 . 2012-02-12 20:32	--------	d-----w-	c:\users\Meike\AppData\Roaming\Bici
2012-02-07 16:55 . 2012-02-07 16:55	--------	d-----w-	c:\programdata\F4D55F3B00016B33000B3823A60145BE
2012-02-04 22:18 . 2012-02-07 15:27	--------	d-----w-	c:\users\Meike\AppData\Roaming\InetAccelerator
2012-01-31 15:32 . 2011-11-17 05:38	1037312	----a-w-	c:\windows\system32\lsasrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	224768	----a-w-	c:\windows\system32\schannel.dll
2012-01-31 15:32 . 2011-11-17 05:48	134000	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32 . 2011-11-17 05:42	369352	----a-w-	c:\windows\system32\drivers\cng.sys
2012-01-31 15:32 . 2011-11-17 05:48	67440	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32 . 2011-11-17 05:39	314368	----a-w-	c:\windows\system32\webio.dll
2012-01-31 15:32 . 2011-11-17 05:39	99840	----a-w-	c:\windows\system32\sspicli.dll
2012-01-31 15:32 . 2011-11-17 05:36	22528	----a-w-	c:\windows\system32\lsass.exe
2012-01-31 15:32 . 2011-11-17 05:39	15360	----a-w-	c:\windows\system32\sspisrv.dll
2012-01-31 15:32 . 2011-11-17 05:39	22016	----a-w-	c:\windows\system32\secur32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-04 22:08 . 2011-06-05 15:05	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23 . 2011-12-19 19:19	2340352	----a-w-	c:\windows\system32\win32k.sys
2011-12-12 18:04 . 2011-09-10 08:38	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Meike\AppData\Roaming\Bici ----
.
2012-02-12 20:31 . 2012-02-12 20:31	2718	----a-w-	c:\users\Meike\AppData\Roaming\Bici\atywx.tmp
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-02-13_18.38.57   )))))))))))))))))))))))))))))))))))))))))
.
- 2011-03-08 17:28 . 2012-02-13 18:36	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-03-08 17:28 . 2012-02-16 20:48	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-03-08 17:28 . 2012-02-13 18:36	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-03-08 17:28 . 2012-02-16 20:48	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2012-02-13 18:36	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2012-02-16 20:48	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-03-08 17:39 . 2012-02-16 20:47	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-03-08 17:39 . 2012-02-12 20:33	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-03-08 17:39 . 2012-02-12 20:33	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-03-08 17:39 . 2012-02-16 20:47	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-03-08 17:39 . 2012-02-16 20:47	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-03-08 17:39 . 2012-02-12 20:33	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-03-08 17:39 . 2012-02-12 20:34	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-03-08 17:39 . 2012-02-16 20:47	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-03-08 17:39 . 2012-02-12 20:34	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-03-08 17:39 . 2012-02-16 20:47	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-03-09 08:55 . 2012-02-16 20:47	2190              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat
- 2012-02-13 18:20 . 2012-02-13 18:20	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-02-21 15:45 . 2012-02-21 15:45	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2012-02-21 15:45 . 2012-02-21 15:45	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2012-02-13 18:20 . 2012-02-13 18:20	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]
.
c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]
R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]
R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]
R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]
R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]
R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]
R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]
R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]
S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]
S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]
S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]
S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-02-21  17:06:48
ComboFix-quarantined-files.txt  2012-02-21 16:06
ComboFix2.txt  2012-02-15 17:26
ComboFix3.txt  2012-02-13 18:44
.
Vor Suchlauf: 9 Verzeichnis(se), 247.087.915.008 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 247.057.924.096 Bytes frei
.
- - End Of File - - 7AD6DA226BC020311C3D4A395B105438
         
--- --- ---


lg

Antwort

Themen zu Windowssystem blockiert 50 euro virus
andere, anderen, angeblich, blockiert, direkt, durchgeführt, einschalten, entfernt, erneute, euro, fenster, funktionieren, nichts, problem, programm, rojaner gefunden, scan, start, tools, total, troja, trojaner, trojaner gefunden, usern, virus, wlan, öffnet




Ähnliche Themen: Windowssystem blockiert 50 euro virus


  1. Virus blockiert PC! Gema Bundestrojaner Virus - 50 euro Ukash?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  2. Windowssystem blockiert / 50 Euro Virus
    Alles rund um Windows - 11.03.2012 (5)
  3. Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. 50€ Virus
    Log-Analyse und Auswertung - 09.03.2012 (30)
  4. Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. 50 Euro-Virus.
    Log-Analyse und Auswertung - 25.02.2012 (3)
  5. Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Soll 50 Euro zahlen!
    Log-Analyse und Auswertung - 17.02.2012 (13)
  6. Ihr Windowssystem wurde blockiert... (Virus)
    Log-Analyse und Auswertung - 13.02.2012 (2)
  7. Achtung! Ihr Windowssystem wurde blockiert. 50 Euro mit PayPal oder Ukash zahlen
    Log-Analyse und Auswertung - 12.02.2012 (5)
  8. Schwarzer Bildschirm, Windowssystem blockiert, 50 Euro um System wieder nutzen zu koennen
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (25)
  9. "Windowssystem blockiert 50 Euro für bereinigung", brauche Hilfe!
    Log-Analyse und Auswertung - 04.02.2012 (5)
  10. Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. 50 Euro-Virus.
    Log-Analyse und Auswertung - 04.02.2012 (21)
  11. 50 Euro Virus "Ihr Windowssystem wurde aus Sicherheitsgründen blockiert"
    Log-Analyse und Auswertung - 01.02.2012 (8)
  12. Windowssystem blockiert 50 Euro
    Log-Analyse und Auswertung - 31.01.2012 (18)
  13. Windowssystem blockiert 50,- EURO
    Plagegeister aller Art und deren Bekämpfung - 24.01.2012 (5)
  14. Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. 50 Euro-Virus.
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (15)
  15. Aus sicherheitsgründen wurde Ihr Windowssystem blockiert zahle 50 Euro
    Plagegeister aller Art und deren Bekämpfung - 18.01.2012 (5)
  16. 50 euro Virus "Achtung aus Sicherheitsgruenden wurde ihr Windowssystem blockiert"
    Log-Analyse und Auswertung - 18.01.2012 (10)
  17. Windowssystem blockiert und 50 Euro
    Log-Analyse und Auswertung - 13.01.2012 (5)

Zum Thema Windowssystem blockiert 50 euro virus - Hallo, Auch mein pc wurde leider von dem 50euro virus befallen. Das problem ist, dass sich das fenster meist direkt nach dem start öffnet, wenn wlan eingeschaltet ist und ich - Windowssystem blockiert 50 euro virus...
Archiv
Du betrachtest: Windowssystem blockiert 50 euro virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.