Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.

msraten · 08.03.2012, 13:56

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-03-08.01 - Pennywise 08.03.2012  13:32:53.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.1278.374 [GMT 1:00]
ausgeführt von:: c:\users\Pennywise\Downloads\ComboFix.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
 ADS - system32: deleted 0 bytes in 5 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\CyberLink.v2218_r70001_R1_DVD111007-02.exe
c:\program files\No23Recorder2103.exe
c:\program files\xp-AntiSpy
c:\program files\xp-AntiSpy\Uninstall.exe
c:\program files\xp-AntiSpy\xp-AntiSpy.chm
c:\program files\xp-AntiSpy\xp-AntiSpy.exe
c:\program files\xp-AntiSpy\xp-AntiSpy.url
c:\programdata\pswi_preloaded.exe
c:\users\Pennywise\AppData\Local\assembly\tmp
c:\users\Pennywise\AppData\Local\lame_enc.dll
c:\users\Pennywise\AppData\Local\no23xwrapper.dll
c:\users\Pennywise\AppData\Local\ogg.dll
c:\users\Pennywise\AppData\Local\vorbis.dll
c:\users\Pennywise\AppData\Local\vorbisenc.dll
c:\users\Pennywise\AppData\Local\vorbisfile.dll
c:\users\Pennywise\Documents\~WRL0147.tmp
c:\users\Pennywise\Documents\~WRL0247.tmp
c:\users\Pennywise\Documents\~WRL1282.tmp
c:\users\Pennywise\Documents\~WRL1619.tmp
c:\users\Pennywise\Documents\~WRL2724.tmp
c:\users\Pennywise\Documents\~WRL3093.tmp
c:\users\Pennywise\Documents\~WRL3754.tmp
c:\users\Pennywise\Documents\~WRL3844.tmp
c:\windows\IsUn0407.exe
c:\windows\UA000024.DLL
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-08 bis 2012-03-08  ))))))))))))))))))))))))))))))
.
.
2012-03-08 12:43 . 2012-03-08 12:43	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-08 11:35 . 2012-03-08 11:41	--------	d-----w-	C:\_OTL
2012-03-08 08:12 . 2012-03-08 08:12	17408	----a-w-	c:\windows\system32\rpcnetp.dll
2012-03-08 08:06 . 2012-03-08 08:06	17408	----a-w-	c:\windows\system32\rpcnetp.exe
2012-03-08 07:45 . 2012-03-08 07:45	--------	d-----w-	c:\users\Gast
2012-02-23 11:18 . 2012-02-23 15:52	--------	d-----w-	c:\users\Pennywise\AppData\Roaming\VDownloader
2012-02-23 11:18 . 2012-02-23 12:06	--------	d-----w-	c:\users\Pennywise\AppData\Local\VDownloader
2012-02-23 11:17 . 2012-02-23 11:17	--------	d-----w-	c:\program files\WinPcap
2012-02-23 11:17 . 2010-01-26 09:11	444283	----a-w-	c:\program files\Common Files\WinPcapNmap.exe
2012-02-23 11:17 . 2012-02-23 15:53	--------	d-----w-	c:\program files\VDownloader
2012-02-18 08:49 . 2012-02-18 08:49	--------	d-----w-	c:\program files\R
2012-02-17 11:00 . 2012-02-17 11:00	--------	d-----w-	c:\users\Pennywise\AppData\Roaming\Xilisoft
2012-02-17 10:58 . 2012-02-17 10:58	--------	d-----w-	c:\programdata\Xilisoft
2012-02-17 10:58 . 2012-02-17 10:58	--------	d-----w-	c:\program files\Xilisoft
2012-02-15 09:58 . 2012-02-25 22:05	45016	----a-w-	c:\program files\Mozilla Firefox\mozutils.dll
2012-02-15 09:58 . 2012-02-15 09:58	626688	----a-w-	c:\program files\Mozilla Firefox\msvcr80.dll
2012-02-15 09:58 . 2012-02-15 09:58	548864	----a-w-	c:\program files\Mozilla Firefox\msvcp80.dll
2012-02-15 09:58 . 2012-02-15 09:58	479232	----a-w-	c:\program files\Mozilla Firefox\msvcm80.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-15 09:32 . 2012-01-15 09:32	1207568	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-02-25 22:05 . 2011-08-06 09:05	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2010-06-23 1699128]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 815104]
"PMHandler"="c:\progra~1\Lenovo\PMDRIV~1\PMHandler.exe" [2007-06-05 34352]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-22 8433664]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 4423680]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-28 569344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2088190436-1358837005-1259054015-1003]
"EnableNotificationsRef"=dword:00000002
.
S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [2011-01-24 99840]
S2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2009-11-08 108768]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-01-23 501560]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - COMHOST
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-17 18:14]
.
2012-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-17 18:14]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://go.1und1.de/links/home
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Pennywise\AppData\Roaming\Mozilla\Firefox\Profiles\wwewtz63.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{64ead72b-ffd4-4e01-aa3a-4c71665d73e4} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{64EAD72B-FFD4-4E01-AA3A-4C71665D73E4} - (no file)
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-xp-AntiSpy - c:\program files\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\serviceIEConfig]
"ImagePath"="c:\windows\System32\ieconfig_1und1_svc.exe /startedbyscm:016FE01B-40E31F2D-serviceIEConfig"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{329F96B6-DF1E-4328-BFDA-39EA953C1312}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD11\Common\NavFilter\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,50,8c,2c,73,bc,a1,9a,48,b6,4f,cc,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,50,8c,2c,73,bc,a1,9a,48,b6,4f,cc,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\LEXBCES.EXE
c:\windows\System32\LEXPPS.EXE
c:\windows\system32\IPSSVC.EXE
c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\program files\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe
c:\program files\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe
c:\program files\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe
c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe
c:\program files\LENOVO\HOTKEY\FNF5SVC.exe
c:\windows\system32\conime.exe
c:\program files\Lenovo\PM Driver\PMSveH.exe
c:\windows\System32\ieconfig_1und1_svc.exe
c:\program files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
c:\program files\LENOVO\HOTKEY\TPHKSVC.exe
c:\program files\Lenovo\Client Security Solution\tvttcsd.exe
c:\program files\Lenovo\Rescue and Recovery\rrpservice.exe
c:\program files\Lenovo\Rescue and Recovery\rrservice.exe
c:\program files\Common Files\Lenovo\Scheduler\tvtsched.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\program files\Lenovo\PM Driver\PMHandler.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\scrnsave.scr
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-08  13:55:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-08 12:54
.
Vor Suchlauf: 10 Verzeichnis(se), 22.225.354.752 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23.282.663.424 Bytes frei
.
- - End Of File - - 6B3943038C2FE2E8615307870198922B

--- --- ---

Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.

Log-Analyse und Auswertung: Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.

Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.

Ähnliche Themen: Blackscreen "Ihr Windowssystem wurde aus Sicherheitsgründen.... Bezahlen und runterladen.