Hallo,

Versuche gerade den verseuchten PC eines Kollegen zu fixen. Habe den OTLPE-Scan ausgeführt. Ich wäre froh um die Fixes gemäss beigefügter OTL.txt.

Danke im Voraus!

Gruss
Manny

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:otl
O4 - HKLM..\Run: [5kS43ADO0bzprWo] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
O4 - HKLM..\Run: [cAcRAghqTypREor.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cAcRAghqTypREor.exe ( )
O4 - HKU\Besitzer_ON_C..\Run: [5kS43ADO0bzprWo] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe) - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe) - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
O20 - HKU\Besitzer_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe) - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
O20 - HKU\Besitzer_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe) - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe (QRPU)
[2012/04/17 06:05:24 | 000,321,536 | -H-- | C] ( ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cAcRAghqTypREor.exe
[2012/04/17 06:03:13 | 000,238,080 | -H-- | C] (QRPU) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe
[2012/04/14 07:34:59 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\SMART HDD
[2012/04/14 01:31:10 | 000,322,048 | -H-- | C] ( ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QkqnRvQCEE.exe
[2012/04/14 07:35:14 | 000,000,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-ZoDSNZEgBhSJpCr
[2012/04/14 07:35:14 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-ZoDSNZEgBhSJpC
[2012/04/14 07:35:00 | 000,000,845 | -H-- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\SMART_HDD.lnk
[2012/04/14 07:34:57 | 000,000,256 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoDSNZEgBhSJpC
[2012/04/14 07:34:50 | 000,221,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoDSNZEgBhSJpC.exe
[2012/04/14 01:25:02 | 000,322,048 | -H-- | M] ( ) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QkqnRvQCEE.exe
[2012/04/14 08:02:38 | 000,000,863 | -H-- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
:commands
[reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Downloade bitte Grinler's unhide.exe auf deinem Desktop
Starte das Tool mit Doppelklick.

Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen.
Es wird auch eine Logfile, Unhide.txt erstellen. Poste diese bitte hier.

Hallo Daniel

Vielen Dank für die prompte und kompetente Hilfe. Soweit scheint alles geklappt zu haben.

Hier die Log von OTL:

��========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\5kS43ADO0bzprWo deleted successfully.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\cAcRAghqTypREor.exe deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cAcRAghqTypREor.exe moved successfully.

Registry value HKEY_USERS\Besitzer_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\5kS43ADO0bzprWo deleted successfully.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

Registry value HKEY_USERS\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.

Registry value HKEY_USERS\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_USERS\Besitzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe deleted successfully.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe deleted successfully.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

Registry value HKEY_USERS\Besitzer_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe deleted successfully.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

Registry value HKEY_USERS\Besitzer_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe deleted successfully.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cAcRAghqTypREor.exe not found.

File C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\soundblaster_fx648.exe not found.

C:\Dokumente und Einstellungen\Besitzer\Startmen�\Programme\SMART HDD folder moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QkqnRvQCEE.exe moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-ZoDSNZEgBhSJpCr moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-ZoDSNZEgBhSJpC moved successfully.

C:\Dokumente und Einstellungen\Besitzer\Desktop\SMART_HDD.lnk moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoDSNZEgBhSJpC moved successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoDSNZEgBhSJpC.exe moved successfully.

File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QkqnRvQCEE.exe not found.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk moved successfully.

========== COMMANDS ==========



OTLPE by OldTimer - Version 3.1.48.0 log created on 04202012_162719



Weiter gehts mit der Log von Anti-Malware:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: KOI [Administrator]

Schutz: Deaktiviert

20.04.2012 16:37:02
mbam-log-2012-04-20 (16-37-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 188797
Laufzeit: 17 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NaDwLaiRnW.exe (Backdoor.Agent.RCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Und zu guter letzt noch das Textfile von unhide.exe:

Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 04/20/2012 05:04:29 PM
Windows Version: Windows XP

Please be patient while your files are made visible again.

Processing the A:\ drive
Finished processing the A:\ drive. 0 files processed.

Processing the C:\ drive
Finished processing the C:\ drive. 62901 files processed.

Processing the D:\ drive
Finished processing the D:\ drive. 7397 files processed.

Processing the G:\ drive
Finished processing the G:\ drive. 114 files processed.

Restoring the Start Menu.
* 161 Shortcuts and Desktop items were restored.


Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
* HidNoChangingWallPaperden policy was found and deleted!
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
* HideIcons was set to 1! It was set back to 0!
* Start_ShowMyMusic was set to 0! It was set back to 1!
* Start_ShowMyPics was set to 0! It was set back to 1!
* Start_ShowPrinters was set to 0! It was set back to 1!
* Start_ShowSetProgramAccessAndDefaults was set to 0! It was set back to 1!
* Start_ShowRecentDocs was set to 0! It was set back to 2!
* Start_ShowNetConn was set to 0! It was set back to 1!
* Start_ShowNetPlaces was set to 0! It was set back to 1!

Restarting Explorer.exe in order to apply changes.

Program finished at: 04/20/2012 05:10:57 PM
Execution time: 0 hours(s), 6 minute(s), and 28 seconds(s)



Schöne Grüsse
Manny

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Was soll denn diese DDS.com machen?

Ich habe alle Programme geschlossen und auch den Virenscanner deaktiviert, trotzdem hängt sich das Programm nach einigen Minuten auf und der Rechner stürzt komplett ab (freeze screen, nicht mal Caps Lock geht!)

Habe das ganze jetzt schon 3x versucht, immer mit demselben Ergebnis.

Sonst, scheint der Rechner wieder einwandfrei zu funktionieren.

[code]

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Auch hier dasselbe Bild, der Rechner hängt sich nach einigen Minuten Scan komplett auf. Er bootet allerdings wieder problemlos nach dem Kaltstart. Die Wiederherstellungskonsole konnte problemlos installiert werden.

Grüsse,
Manny

Deaktiviere bitte temporär deine Anti Virensoftware.

Drücke die + R Taste und schreibe folgendes in die Zeile.

Combofix /nombr

Drücke OK.
Mal sehen obs jetzt läuft

Jetzt läufts...

Hat fast ne Stunde gedauert, aber hier ist die Combofix.txt:




Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-04-22.01 - Besitzer 23.04.2012  20:51:40.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.41.1031.18.510.120 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: /nombr
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\dllcache\wmpvis.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-23 bis 2012-04-23  ))))))))))))))))))))))))))))))
.
.
2012-04-22 22:05 . 2012-04-22 22:05	56200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E600EE34-0AA0-4AD9-8DB7-381F1CD25C51}\offreg.dll
2012-04-22 22:04 . 2012-04-22 22:04	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E600EE34-0AA0-4AD9-8DB7-381F1CD25C51}\MpKsl73e51ebe.sys
2012-04-22 21:12 . 2012-04-12 22:36	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E600EE34-0AA0-4AD9-8DB7-381F1CD25C51}\mpengine.dll
2012-04-22 21:03 . 2012-04-22 21:03	--------	d-----w-	c:\programme\Microsoft CAPICOM 2.1.0.2
2012-04-22 13:14 . 2012-04-12 22:36	6734704	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-04-22 10:52 . 2012-04-22 10:52	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-04-20 20:27 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-04-20 20:20 . 2012-04-20 20:20	--------	d-----w-	C:\_OTL
2012-04-20 19:12 . 2012-04-20 19:12	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-04-20 19:10 . 2012-04-20 19:12	--------	d-----w-	c:\programme\Microsoft Security Client
2012-04-20 17:16 . 2012-01-31 12:44	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-04-20 17:15 . 2009-08-06 17:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2012-04-20 17:15 . 2009-08-06 17:23	215920	----a-w-	c:\windows\system32\muweb.dll
2012-04-20 14:35 . 2012-04-20 14:35	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2012-04-20 14:35 . 2012-04-20 14:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-20 14:35 . 2012-04-20 14:35	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-04-20 14:35 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-15 12:44 . 2012-04-15 12:44	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TeamViewer
2012-03-26 15:41 . 2012-03-26 15:41	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-22 19:12 . 2012-03-22 19:12	4435968	----a-w-	c:\windows\system32\GPhotos.scr
2012-03-01 11:00 . 2003-07-21 21:18	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2003-07-21 20:58	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2003-07-21 20:56	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2003-07-21 21:18	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2003-07-21 20:56	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2004-08-04 07:42	385024	----a-w-	c:\windows\system32\html.iec
2012-02-03 09:57 . 2003-07-21 21:17	1860224	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-10-02 118784]
"DLCICATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCItime.dll" [2006-10-20 73728]
"dlcimon.exe"="c:\programme\Dell AIO Printer 946\dlcimon.exe" [2006-12-08 435080]
"PMBVolumeWatcher"="c:\programme\Sony\PMB\PMBVolumeWatcher.exe" [2010-03-24 599328]
"LWS"="c:\programme\Logitech\LWS\Webcam Software\LWS.exe" [2010-05-07 165208]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 08:07	843712	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41	37296	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
2006-12-08 05:19	312200	----a-w-	c:\programme\Dell Fax Solutions\fm3032.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Quick Search Box]
2009-09-13 11:31	68592	----a-w-	c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-04-04 13:56	462408	----a-w-	c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMusic FastStart]
2010-03-04 14:10	2192672	----a-w-	c:\programme\Nokia\Ovi Player\NokiaOviPlayer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2010-07-02 11:20	671608	----a-w-	c:\programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 07:27	17351304	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-09-13 11:24	39408	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dlcicoms.exe"=
"c:\\Programme\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Logitech\\Vid HD\\Vid.exe"=
.
R0 DiMaint;Eicon-Wartungstreiber;c:\windows\system32\drivers\disdn\dimaint.sys [07.08.2009 13:35 91305]
R1 MpKsl73e51ebe;MpKsl73e51ebe;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E600EE34-0AA0-4AD9-8DB7-381F1CD25C51}\MpKsl73e51ebe.sys [23.04.2012 00:04 29904]
R2 DiCapi;Eicon CAPI 2.0-Treiber;c:\windows\system32\drivers\disdn\capi20.sys [07.08.2009 13:35 164923]
R2 dlci_device;dlci_device;c:\windows\system32\dlcicoms.exe -service --> c:\windows\system32\dlcicoms.exe -service [?]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [20.04.2012 16:35 654408]
R2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\programme\Sony\PMB\PMBDeviceInfoProvider.exe [24.10.2009 03:18 360224]
R3 DiWan;Eicon-Treiber f¸r alle DIVA-PnP-Karten;c:\windows\system32\drivers\disdn\Diwan.sys [07.08.2009 13:35 952007]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [20.04.2012 16:35 22344]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.09.2009 13:25 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [13.09.2009 13:25 133104]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MPKSL73E51EBE
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 15:34	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-23 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-07 17:52]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-13 11:25]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-13 11:25]
.
2012-04-23 c:\windows\Tasks\User_Feed_Synchronization-{4F03D689-23D4-467C-A55D-A1FBED1B6755}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.blick.ch/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 62.2.17.60 62.2.24.162 62.2.17.61 62.2.24.158
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
MSConfigStartUp-NaDwLaiRnW - c:\dokumente und einstellungen\All Users\Anwendungsdaten\NaDwLaiRnW.exe
MSConfigStartUp-QkqnRvQCEE - c:\dokumente und einstellungen\All Users\Anwendungsdaten\QkqnRvQCEE.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-23 21:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteintr‰ge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  DLCICATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCItime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-23  21:45:18
ComboFix-quarantined-files.txt  2012-04-23 19:44
.
Vor Suchlauf: 6 Verzeichnis(se), 20'473'765'888 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 21'947'850'752 Bytes frei
.
- - End Of File - - A614AB5D9E63C1EE9E9F7957C1332426
         

--- --- ---

Downloade dir von hier Combofix.exe.

Speichere diese auf dem USB Stick.
Gehe sicher, dass all deine Anti Virus und anderen Schutzprogramme abgeschalten sind.


Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.


Schließe den USB Stick an den infizierten Rechner an.



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Sorry für die späte Antwort, ich war geschäftlich einige Tage unterwegs.

Habe alles wie beschrieben gemacht, allerdings hat sich der Rechner während dem Combofix-Scan aufgehängt (freeze Screen, Caps-Lock geht auch nicht).

Ich habe also auch die Dienste des Antiviren-Scanners und der Anti-Malware beendet.

Vielleicht müsste wieder mit dem Parameter /nombr gescannt werden. Ich nehme an es geht um den Masterboot-Sektor, denkst du der ist auch betroffen?

Mehrfache Scans mit verschiedenen Tools ergeben alle, dass keine Schadsoftware mehr gefunden werden kann.

Gruss
Manny

Jetzt weiß ich auch, wo der Post hingekommen ist. Ins falsche Thema :O

Ne, der MBR ist nicht betroffen, es kann nur manchmal zu Konflikten kommen. Details, die ich nicht öffentlich posten darf.




ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier die Log:

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\358c5cd1-6b28f051 Java/Exploit.Agent.NAX trojan
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\jar_cache2342630217807110733.tmp probably a variant of Java/Exploit.CVE-2010-0840.NAB trojan

Sieht ganz gut aus
Wie läuft der Rechner ? Noch irgendwelche Probleme ?

Hallo

Der Rechner läuft ganz flott wenn er mal richtig aufgestartet ist. Sieht meiner Beurteilung nach gut aus.

Aber was ist mit den zwei Einträgen, welche ESET gefunden hat. Ich habe ja gemäss Anweisung KEIN Haken gesetzt bei "Remove Found Threads". Somit sind diese ja noch vorhanden, oder?

Danke für alles...

Gruss,
Manny