Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452

cosinus · 16.03.2012, 21:09

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

broko · 16.03.2012, 21:58

Code:

ATTFilter

Combofix Logfile:

	Code: 

 ATTFilter

  
	ComboFix 12-03-16.03 - *** 16.03.2012  21:48:04.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Marco M³ller\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\dllcache\dlimport.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-16 bis 2012-03-16  ))))))))))))))))))))))))))))))
.
.
2012-03-16 18:00 . 2012-03-16 18:00	--------	d-----w-	C:\_OTL
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-03 09:57 . 2004-08-04 12:00	1860224	----a-w-	c:\windows\system32\win32k.sys
2012-01-04 23:01 . 2012-01-04 23:01	32768	----a-w-	c:\windows\system32\drivers\taphss.sys
2012-02-16 14:55 . 2012-02-29 23:54	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-07-22 401408]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-07-22 385024]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-07-22 21:46	110592	----a-w-	c:\programme\Intel\Wireless\Bin\LgNotify.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [29.02.2012 00:00 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.02.2012 00:00 86224]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [15.02.2012 13:30 158856]
S3 ATIXPGAA;ATIXPGAA;c:\dell\drivers\R101351\ATIXPGAA.SYS [29.02.2012 18:26 12032]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 84133073
*Deregistered* - 84133073
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\b6p6e12c.default\
FF - prefs.js: browser.startup.homepage - kicker.de
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-16 21:52
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(644)
c:\windows\system32\Ati2evxx.dll
c:\programme\Intel\Wireless\Bin\LgNotify.dll
.
Zeit der Fertigstellung: 2012-03-16  21:54:48
ComboFix-quarantined-files.txt  2012-03-16 20:54
.
Vor Suchlauf: 2.947.502.080 Bytes frei
Nach Suchlauf: 2.900.791.296 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 7B76B016CB762BF643FCD90B4C648A25
         
 --- --- ---

cosinus · 17.03.2012, 14:27

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

broko · 17.03.2012, 19:10

Hej Arne,

wieder mal ein zwischenzeitlich großes Danke für Deine Hilfe!

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-17 18:36:47
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2060AH rev.00000096
Running: tnf4dfct.exe; Driver: C:\DOKUME~1\MARCOM~1\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT            F7CABFBC                  ZwClose
SSDT            F7CABF76                  ZwCreateKey
SSDT            F7CABFC6                  ZwCreateSection
SSDT            F7CABF6C                  ZwCreateThread
SSDT            F7CABF7B                  ZwDeleteKey
SSDT            F7CABF85                  ZwDeleteValueKey
SSDT            F7CABFB7                  ZwDuplicateObject
SSDT            F7CABF8A                  ZwLoadKey
SSDT            F7CABF58                  ZwOpenProcess
SSDT            F7CABF5D                  ZwOpenThread
SSDT            F7CABFDF                  ZwQueryValueKey
SSDT            F7CABF94                  ZwReplaceKey
SSDT            F7CABFD0                  ZwRequestWaitReplyPort
SSDT            F7CABF8F                  ZwRestoreKey
SSDT            F7CABFCB                  ZwSetContextThread
SSDT            F7CABFD5                  ZwSetSecurityObject
SSDT            F7CABF80                  ZwSetValueKey
SSDT            F7CABFDA                  ZwSystemDebugControl
SSDT            F7CABF67                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:40:10 on 17.03.2012

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"AEGIS Protocol (IEEE 802.1x) v3.2.0.3" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys
"Anchorfree HSS Adapter" (taphss) - "AnchorFree Inc" - C:\WINDOWS\System32\DRIVERS\taphss.sys
"ATIXPGAA" (ATIXPGAA) - "ATI Technologies Inc." - C:\Dell\Drivers\R101351\ATIXPGAA.SYS
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\MARCOM~1\LOKALE~1\Temp\catchme.sys  (File not found)
"cercsr6" (cercsr6) - "Adaptec, Inc." - C:\WINDOWS\system32\drivers\cercsr6.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"Conexant Setup API" (UIUSys) - ? - C:\WINDOWS\System32\drivers\UIUSys.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"OMCI" (OMCI) - "Dell Computer Corporation" - C:\WINDOWS\SYSTEM32\DRIVERS\OMCI.SYS
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pxtdypow" (pxtdypow) - ? - C:\DOKUME~1\MARCOM~1\LOKALE~1\Temp\pxtdypow.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{0FB6A909-6086-458F-BD92-1F8EE10042A0} "Complitly" - "SimplyGen" - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Complitly\Complitly.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 3.3.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"ATIPTA" - "ATI Technologies, Inc." - "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"IntelWireless" - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
"IntelZeroConfig" - "Intel Corporation" - C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Dell Wireless WLAN Card Logon Provider" - ? - C:\WINDOWS\System32\BCMLogon.dll  (File not found)

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"EvtEng" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"RegSrvc" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
"Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe
"Spectrum24 Event Monitor" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WLANKEEPER" (WLANKEEPER) - "Intel® Corporation" - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"IntelWireless" - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\LgNotify.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-17 18:47:32
-----------------------------
18:47:32.140    OS Version: Windows 5.1.2600 Service Pack 3
18:47:32.140    Number of processors: 1 586 0xD08
18:47:32.140    ComputerName: MM  UserName: 
18:47:32.437    Initialize success
18:55:14.359    AVAST engine defs: 12031700
18:55:37.671    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
18:55:37.671    Disk 0 Vendor: FUJITSU_MHV2060AH 00000096 Size: 57231MB BusType: 3
18:55:37.765    Disk 0 MBR read successfully
18:55:37.765    Disk 0 MBR scan
18:55:37.843    Disk 0 Windows XP default MBR code
18:55:37.859    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        20002 MB offset 63
18:55:37.859    Disk 0 Partition - 00     0F Extended LBA             37220 MB offset 40965750
18:55:37.906    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        37220 MB offset 40965813
18:55:37.937    Disk 0 scanning sectors +117194175
18:55:38.078    Disk 0 scanning C:\WINDOWS\system32\drivers
18:56:00.937    Service scanning
18:56:16.750    Modules scanning
18:56:42.906    Disk 0 trace - called modules:
18:56:42.921    ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
18:56:43.250    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86575ab8]
18:56:43.250    3 CLASSPNP.SYS[f763bfd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8655f4d0]
18:56:43.562    AVAST engine scan C:\WINDOWS
18:57:10.359    AVAST engine scan C:\WINDOWS\system32
19:02:27.437    AVAST engine scan C:\WINDOWS\system32\drivers
19:03:06.046    AVAST engine scan C:\Dokumente und Einstellungen\***
19:05:17.031    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:06:01.984    Scan finished successfully
19:06:18.000    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
19:06:18.000    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"

cosinus · 19.03.2012, 15:23

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

broko · 20.03.2012, 00:02

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.19.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: MM [Administrator]

19.03.2012 17:57:44
mbam-log-2012-03-19 (20-37-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249064
Laufzeit: 2 Stunde(n), 39 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ADLSoft_UnCompressor.exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\15378734.Uninstall\Uninstall.exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\is1293846689\IWantThisAD_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

(Ende)

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/19/2012 at 11:52 PM

Application Version : 5.0.1146

Core Rules Database Version : 8351
Trace Rules Database Version: 6163

Scan type       : Complete Scan
Total Scan Time : 03:05:02

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 505
Memory threats detected   : 0
Registry items scanned    : 32254
Registry threats detected : 0
File items scanned        : 107269
File threats detected     : 105

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@ad3.adfarm1.adition[2].txt [ /ad3.adfarm1.adition ]
	C:\Dokumente und Einstellungen\***\Cookies\***@ad4.adfarm1.adition[1].txt [ /ad4.adfarm1.adition ]
	C:\Dokumente und Einstellungen\***\Cookies\***@adx.chip[1].txt [ /adx.chip ]
	C:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[1].txt [ /im.banner.t-online ]
	C:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[1].txt [ /invitemedia ]
	C:\Dokumente und Einstellungen\***\Cookies\***@olympiaverlag.122.2o7[1].txt [ /olympiaverlag.122.2o7 ]
	C:\Dokumente und Einstellungen\***\Cookies\***@revsci[2].txt [ /revsci ]
	C:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[1].txt [ /tracking.quisma ]
	C:\Dokumente und Einstellungen\***\Cookies\MP1I9DXR.txt [ /ad2.adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\R9FRO7QJ.txt [ /adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\GIAV2FN0.txt [ /smartadserver.com ]
	C:\Dokumente und Einstellungen\***\Cookies\R6BX7EKT.txt [ /c.atdmt.com ]
	C:\Dokumente und Einstellungen\***\Cookies\9Z8MYW8I.txt [ /atdmt.com ]
	.im.banner.t-online.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.olympiaverlag.122.2o7.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.im.banner.t-online.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.traffictrack.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	tracking.mlsat02.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	track.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	track.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adform.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.apmebf.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.fastclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.invitemedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adxvalue.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad1.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad3.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.im.banner.t-online.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adviva.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad4.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad2.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.adtech.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	ad.zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.dyntracker.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.im.banner.t-online.de [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\B6P6E12C.DEFAULT\COOKIES.SQLITE ]
	accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\FAU51PDL.DEFAULT\COOKIES.SQLITE ]
	.accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\FAU51PDL.DEFAULT\COOKIES.SQLITE ]
	.accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\FAU51PDL.DEFAULT\COOKIES.SQLITE ]
	.accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\FAU51PDL.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-MSFake
	C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\DESKTOPICONFORAMAZON\ICONFORAMAZON.EXE

Adware.InstallCore
	C:\DOKUMENTE UND EINSTELLUNGEN\***\EIGENE DATEIEN\DOWNLOADS\ADLSOFT_UNCOMPRESSOR.EXE
	C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\15378734.UNINSTALL\UNINSTALL.EXE

cosinus · 20.03.2012, 16:23

Zitat:

C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ADLSoft_UnCompressor.exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\15378734.Uninstall\Uninstall.exe (Adware.Agent) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\is1293846689\IWantThisAD_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

Trojan.Agent/Gen-MSFake
C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\DESKTOPICONFORAMAZON\ICONFORAMAZON.EXE

Adware.InstallCore
C:\DOKUMENTE UND EINSTELLUNGEN\***\EIGENE DATEIEN\DOWNLOADS\ADLSOFT_UNCOMPRESSOR.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\15378734.UNINSTALL\UNINSTALL.EXE

Kannst du mit diesen Funden bzw. Dateien was anfangen?

broko · 20.03.2012, 17:21

Zitat:

C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ADLSoft_UnCompressor.exe (Adware.Agent) -> Keine Aktion durchgeführt.

Zitat:

C:\DOKUMENTE UND EINSTELLUNGEN\***\EIGENE DATEIEN\DOWNLOADS\ADLSOFT_UNCOMPRESSOR.EXE

Den habe ich aus Versehen

runtergeladen, als ich eigentlich den 7-zip installieren wollte. EIn Ergebnis aus keine Zeit, schnell, schnell und auf der offiziellen 7-zip page war eben der link dazu. Kann das nicht mehr genau rekonstruieren.

Zitat:

Trojan.Agent/Gen-MSFake
C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\DESKTOPICONFORAMAZON\ICONFORAMAZON.EXE

Der Amazon-Desktop-Icon hat sich beim Runterladen von einem der folgenden Programme installiert (ohne Wissen und Nachfrage): Spybot, Malwarebytes, defogger, dds oder Gmer. Das war der Tag, an dem ich zum ersten Mal Kontakt zu Dir aufnahm. Ich habe dem aber keine große Beachtung geschenkt, da ich dahinter keine .exe sondern nur ein Link vermutete und den Icon gleich in den Papierkorb geschoben.

Zu den Sachen im Temp-Ordner kann ich leider gar nichts sagen.

Was passiert eigentlich mit den Kandidaten, die sich in der Avira-Quarantäne (siehe Eingangsposting) befinden?

Vielen Dank weiterhin! Ich weiß das zu schätzen!

Gruß,
Marco

cosinus · 20.03.2012, 17:53

Dann lösch diesen Kram einfach. Das scheint wohl nur irgendwelches unerwünschtes Zeug zu sein.

Zitat:

Was passiert eigentlich mit den Kandidaten, die sich in der Avira-Quarantäne (siehe Eingangsposting) befinden?

DÜberleg doch mal was eine Quarantäne ist. Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

broko · 20.03.2012, 22:14

Toll, dann sind wir nun fertig?
Vielen, vielen Dank nochmals! Ich werde einen dieser Links unter deinem Namen nutzen.
Eine kleine (dumme) Frage habe ich noch: Kann ich die Dateien die ich nun löschen soll, vom Anti-Virus-Programm löschen lassen, oder soll ich das selbst im Explorer tun? Also wie lösche ich die richtig?
Nun werde ich Eurere "Anleitung: Maßnahmen zur Absicherung des Rechners" durcharbeiten und hoffen, Euch nicht bald wieder um Hilfe bitten zu müssen.

Gruß,
Marco

cosinus · 21.03.2012, 15:07

Zitat:

Also wie lösche ich die richtig?

Was hast du an meiner Erklärung zur Quarantäne denn jetzt nicht verstanden

Was willst du da "richtig" löschen

broko · 22.03.2012, 00:39

In begründeten Fällen kannst Du mich schon als Dummerchen hinstellen.
In diesem Fallen sind die Smiles (oder wie man "Balla" und "verwirrt" auch immer nennt) wohl fehl am Platz - siehe Deine Post vom 20.03.2012 17:53

Zitat:

Dann lösch diesen Kram einfach. Das scheint wohl nur irgendwelches unerwünschtes Zeug zu sein.

cosinus · 22.03.2012, 12:31

Und was genau ist jetzt noch an Problemen offen?

19.03.2012, 15:23	#20
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452 Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

22.03.2012, 12:31	#28
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452 Und was genau ist jetzt noch an Problemen offen? __________________ Logfiles bitte immer in CODE-Tags posten

Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452

Log-Analyse und Auswertung: Avira: TR/Crypt.XPACK.Gen & EXP/CVE-2010-4452