BKA Trojaner: Der computer ist für die Gesetze... Ukash

hofbräu · 15.07.2012, 20:46

Hallo Gemeinde,
so jetzt hats mich also auch erwischt.

Der Trojaner den ich da auf meinem Vista Home Premium SP2-Rechner habe, scheint ähnlich, aber nicht identisch mit dem bekannten BKA-Trojaner. Das nervige Abzocker-Bild sieht bloß ein bisschen anders aus, als die, die ich im Netz gesehen habe.

Mein eigenes Konto auf dem Rechner ist vom Virus lahmgelegt,
mit dem Konto meiner Frau kann ich aber (noch?) arbeiten.
An das Adminkonto mag ich jetzt gar nicht rangehen.

Folgendes habe ich bisher gemacht:

0. Meinen Rechner aufgeschraubt und die zweite Festplatte abgestöpselt.

1. Im abgesicherten Modus gestartet und in der registry den Schlüssel Kkey_LocalMachine/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell gecheckt, da steht explorer.exe - das soll ja wohl so sein.

2. Malwarebytes runtergeladen, Quickscan findet nichts. (Vom Konto meiner Frau aus)

3. Avira Antivirus Premium startet gar keinen Scan - der bleibt bei 0% stehen.

4. Dann bin ich auf dieses Board gestoßen und habe mich an eure ToDo-Liste gehalten, also defogger, OTL und GMER abgearbeitet.

Nicht notwendig zu sagen: Wenn mir hier jemand helfen könnte, wäre ich sehr glücklich.

Sollten evtl. Reparaturmaßnahmen dann eigentlich besser vom Admin-Konto aus erfolgen? Ist eigentlich ein Linux-PC besser geschützt? Warum gibt es Viren? Brauchen wir wirklich Computer?

Die Logfiles folgen:
...Gmer arbeitet noch...

hofbräu · 15.07.2012, 21:37

So, hier ist die OTL.txt:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 15.07.2012 20:46:47 - Run 2
OTL by OldTimer - Version 3.2.54.0     Folder = C:\Users\Andrea\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 57,70% Memory free
6,22 Gb Paging File | 4,85 Gb Available in Paging File | 78,04% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 303,35 Gb Total Space | 218,40 Gb Free Space | 72,00% Space Free | Partition Type: NTFS
Drive D: | 150,69 Gb Total Space | 63,13 Gb Free Space | 41,89% Space Free | Partition Type: NTFS
 
Computer Name: FUJITSU | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.07.15 19:55:46 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Andrea\Desktop\OTL.exe
PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.07.03 13:46:44 | 000,462,920 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.05.14 15:33:14 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2012.05.14 15:33:14 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.14 15:33:14 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.14 15:33:13 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2012.05.14 15:33:13 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.14 15:33:13 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.10.07 11:40:42 | 001,387,288 | ---- | M] (Logitech, Inc.) -- C:\Programme\Logitech\SetPointP\SetPoint.exe
PRC - [2011.09.27 21:05:24 | 000,149,784 | ---- | M] (Logitech, Inc.) -- C:\Programme\Common Files\Logishrd\KHAL3\KHALMNPR.exe
PRC - [2011.01.17 18:50:34 | 011,322,880 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2011.01.17 18:50:34 | 011,314,688 | ---- | M] (OpenOffice.org) -- C:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2010.02.10 11:47:14 | 001,214,352 | ---- | M] (mquadr.at softwareengineering und consulting gmbh) -- C:\Windows\System32\ieconfig_1und1_svc.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.04.11 08:27:20 | 000,088,576 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\audiodg.exe
PRC - [2008.01.18 23:38:40 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2008.01.18 23:38:34 | 000,319,544 | ---- | M] (Microsoft Corporation) -- c:\Programme\Windows Defender\MpCmdRun.exe
PRC - [2008.01.18 23:33:40 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008.01.18 23:33:40 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2006.12.08 11:52:04 | 000,204,800 | ---- | M] (Fujitsu Siemens Computers) -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe
PRC - [2006.11.03 12:01:16 | 000,319,488 | ---- | M] (PixArt Imaging Incorporation) -- C:\Windows\PixArt\PAC207\Monitor.exe
PRC - [2006.09.14 07:56:06 | 000,102,400 | ---- | M] () -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
PRC - [2005.04.02 03:51:48 | 000,217,600 | ---- | M] (Rocket Division Software) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.10.07 11:41:16 | 000,879,896 | ---- | M] () -- C:\Programme\Logitech\SetPointP\Macros\MacroCore.dll
MOD - [2011.08.28 23:19:12 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2011.06.18 17:29:03 | 000,985,088 | ---- | M] () -- C:\Programme\OpenOffice.org 3\program\libxml2.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
SRV - [2012.07.12 16:41:02 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.06.15 00:17:46 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.05.14 15:33:14 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe -- (AntiVirWebService)
SRV - [2012.05.14 15:33:14 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.14 15:33:13 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012.05.14 15:33:13 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.01.03 15:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.09.27 21:03:28 | 000,295,192 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2010.02.10 11:47:14 | 001,214,352 | ---- | M] (mquadr.at softwareengineering und consulting gmbh) [Auto | Running] -- C:\Windows\System32\ieconfig_1und1_svc.exe -- (serviceIEConfig)
SRV - [2008.01.18 23:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.18 23:33:40 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2006.12.08 11:52:04 | 000,204,800 | ---- | M] (Fujitsu Siemens Computers) [Auto | Running] -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2006.09.14 07:56:06 | 000,102,400 | ---- | M] () [Auto | Running] -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor5.0)
SRV - [2005.04.02 03:51:48 | 000,217,600 | ---- | M] (Rocket Division Software) [Auto | Running] -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- (StarWindService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.05.14 15:33:14 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.14 15:33:14 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.09.02 08:31:28 | 000,039,192 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2011.09.02 08:31:28 | 000,030,360 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2011.09.02 08:31:20 | 000,041,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2011.07.20 14:47:44 | 000,639,224 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2011.03.18 15:46:26 | 000,061,704 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2011.03.18 15:46:10 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2010.06.23 09:21:32 | 000,259,176 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.11.25 15:02:46 | 001,108,480 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2008.10.09 19:40:34 | 000,217,128 | ---- | M] (Silicon Image, Inc) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\Si3132r5.sys -- (Si3132r5)
DRV - [2008.10.09 19:40:34 | 000,017,064 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SiWinAcc.sys -- (SiFilter)
DRV - [2008.10.09 19:40:34 | 000,012,200 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SiRemFil.sys -- (SiRemFil)
DRV - [2008.08.18 12:58:16 | 000,145,952 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2008.03.25 07:38:20 | 001,048,480 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2008.02.12 04:42:38 | 000,232,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\VMM.sys -- (vmm)
DRV - [2008.02.05 02:50:44 | 000,059,960 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\VMNetSrv.sys -- (VPCNetS2)
DRV - [2008.01.01 00:14:34 | 000,074,800 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SI3132.sys -- (SI3132)
DRV - [2007.10.25 19:31:08 | 000,616,064 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PFC027.SYS -- (PAC207)
DRV - [2007.07.02 17:37:10 | 000,131,616 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\nvrd32.sys -- (nvrd32)
DRV - [2007.06.13 23:47:12 | 000,048,256 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\jraid.sys -- (JRAID)
DRV - [2007.06.01 17:46:00 | 007,479,008 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2006.10.30 11:22:26 | 000,008,192 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV - [2004.08.09 14:51:24 | 000,052,416 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\v800bus.sys -- (v800bus) Sony Ericsson V800-Vodafone 802SE driver (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/home
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://go.web.de/tab2 [binary data]
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://go.web.de/homehxxp://go.web.de/tab2 [binary data]
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.1und1.de/links/home
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes,DefaultScope = {C2D7AEC4-A563-44D1-A3D7-551A303CE307}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{272CA46F-16DB-4269-AC64-A5C245341D26}: "URL" = hxxp://search.1und1.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{338745EA-A621-4651-9E6C-B168A8E7D1BB}: "URL" = hxxp://go.web.de/suchbox/ebay?query={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{3C06D4EE-D7C4-4BF3-8C44-AF99F0521E4F}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{56F2F0B4-4EB8-4534-9190-4250CEBC7F0C}: "URL" = hxxp://go.web.de/suchbox/amazon/?keywords={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{75FA63C8-2E47-43D0-B2C3-A135B631839C}: "URL" = hxxp://go.web.de/suchbox/google?q={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{7679AC89-236E-4BEE-AA81-94D359D21008}: "URL" = hxxp://go.1und1.de/suchbox/amazon?tag=1und1icon-21&field-keywords={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{A10B4E2B-55D4-467F-B6BA-E372124FC6F3}: "URL" = hxxp://suche.gmx.net/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{ADE5078B-D11F-495B-8690-4963E88AB50A}: "URL" = hxxp://go.web.de/suchbox/smartshopping/?searchText={searchTerms}&mc=searchplugin@suche@msie.suche@preisvergleich
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..\SearchScopes\{C2D7AEC4-A563-44D1-A3D7-551A303CE307}: "URL" = hxxp://go.1und1.de/suchbox/1und1suche?su={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>;*.local
 
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/home
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://go.web.de/tab2 [binary data]
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aol.de/
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes,DefaultScope = {46E18A32-ACB0-4172-9F64-40073EECC2BE}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{46E18A32-ACB0-4172-9F64-40073EECC2BE}: "URL" = hxxp://go.web.de/suchbox/google?q={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{8D39F9AF-4705-4B5D-8C25-78212C644DC0}: "URL" = hxxp://go.web.de/suchbox/ebay?query={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{A156A378-1887-4E19-9462-A701787488D6}: "URL" = hxxp://go.web.de/suchbox/smartshopping/?searchText={searchTerms}&mc=searchplugin@suche@msie.suche@preisvergleich
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{B937B959-2B11-495D-8463-E9237F10A54D}: "URL" = hxxp://go.1und1.de/suchbox/amazon?tag=1und1icon-21&field-keywords={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{D71AD151-5C89-44BB-911B-417E3B12921E}: "URL" = hxxp://search.1und1.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{E08C9982-438F-40EE-AB5B-28C1503A88D2}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\..\SearchScopes\{EC65A6EF-0631-4B65-B872-040946C20FF9}: "URL" = hxxp://suche.gmx.net/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.web.de/home
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://go.web.de/tab2 [binary data]
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://web.de/fm/ [binary data]
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes,DefaultScope = {0CF0A29B-267E-4EAF-9960-7998AB1F9FA8}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{0CF0A29B-267E-4EAF-9960-7998AB1F9FA8}: "URL" = hxxp://go.web.de/suchbox/google?q={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{432B39A7-46EE-4422-A87C-F3B112D6824F}: "URL" = hxxp://go.web.de/suchbox/ebay?query={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{542930EF-57A3-4BBF-8377-6C9E08E48DFF}: "URL" = hxxp://go.1und1.de/suchbox/amazon?tag=1und1icon-21&field-keywords={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{604E1376-CE39-47B5-91A5-991E88D296A9}: "URL" = hxxp://go.web.de/suchbox/amazon/?keywords={searchTerms}
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{9B244727-5F4B-425F-A5C5-B5CC65F00868}: "URL" = hxxp://suche.gmx.net/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{C4D3C980-2BBF-40F9-94B0-6A397F5C3AF9}: "URL" = hxxp://search.1und1.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{CE02660C-4A3D-4948-A4E7-ACD3E073451E}: "URL" = hxxp://search.1und1.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{DCFEE299-888F-4192-A4E4-B046B81B57DC}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&mc=searchplugin@suche@msie.suche@web&origin=searchplugin
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\..\SearchScopes\{E35D82B2-592C-4F77-8190-DB260CEBF3AA}: "URL" = hxxp://go.web.de/suchbox/smartshopping/?searchText={searchTerms}&mc=searchplugin@suche@msie.suche@preisvergleich
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3268802886-374803032-4077387996-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "GMX Suche"
FF - prefs.js..browser.search.order.1: "GMX Suche"
FF - prefs.js..browser.search.order.2: "amazon.de"
FF - prefs.js..browser.search.order.3: "1und1 Suche"
FF - prefs.js..browser.search.order.4: "amazon.de"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://go.gmx.net/br/ff3_startpage"
FF - prefs.js..extensions.enabledItems: {95f24680-9e31-11da-a746-0800200c9a66}:0.1.5.5
FF - prefs.js..keyword.URL: "hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://suche.gmx.net/search/web/?origin=br_urlbar_ff&su="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.19 08:34:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.05.21 21:26:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.8\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012.05.21 21:26:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.8\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010.05.17 21:02:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions
[2010.05.17 21:02:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.11.16 15:21:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\n2a0wkwz.default\extensions
[2009.11.14 15:24:35 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\n2a0wkwz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.11.14 15:22:51 | 000,000,000 | ---D | M] (Update Notifier) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\n2a0wkwz.default\extensions\{95f24680-9e31-11da-a746-0800200c9a66}
[2011.01.09 19:45:24 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\n2a0wkwz.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011.11.16 15:21:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\n2a0wkwz.default\extensions\staged
[2009.11.14 15:23:31 | 000,005,599 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\searchplugins\1und1-suche.xml
[2009.11.14 15:23:31 | 000,001,381 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\searchplugins\amazonde.xml
[2011.08.19 09:33:26 | 000,001,165 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\searchplugins\gmx-suche.xml
[2011.07.20 14:36:24 | 000,001,418 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\searchplugins\preisvergleich.xml
[2009.11.14 15:23:31 | 000,005,596 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\searchplugins\webde-suche.xml
[2012.06.19 08:34:33 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.04.18 09:15:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{95f24680-9e31-11da-a746-0800200c9a66}
[2011.04.18 09:15:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{C473DC2B-895F-4E11-B8BF-FF28DFD62829}
[2011.04.09 20:37:21 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions(22)
[2011.04.09 20:37:21 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\extensions(22)\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2011.06.18 17:23:54 | 000,069,128 | ---- | M] () (No name found) -- C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\N2A0WKWZ.DEFAULT\EXTENSIONS\EXTENSION@CIUVO.COM.XPI
[2012.06.15 00:19:07 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.04.05 09:48:11 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.06.15 00:46:57 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.06.15 00:46:56 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.06.15 00:46:57 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.15 00:46:57 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.15 00:46:57 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.15 00:46:56 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (WEB.DE Browser Configuration by mquadr.at) - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\Windows\System32\ieconfig_1und1.dll (mquadr.at softwareengineering und consulting gmbh)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MSConfig] C:\Windows\System32\msconfig.exe (Microsoft Corporation)
O4 - HKLM..\Run: [PAC207_Monitor] C:\Windows\PixArt\PAC207\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-3268802886-374803032-4077387996-1002..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3268802886-374803032-4077387996-1005..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3268802886-374803032-4077387996-1005..\Run: [Wpc] C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe ()
O4 - HKLM..\RunOnce: [*WerKernelReporting] C:\Windows\System32\WerFault.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk = C:\Programme\Common Files\Logishrd\eReg\SetPoint\eReg.exe (Leader Technologies/Logitech)
O4 - Startup: C:\Users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Users\Pia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Users\Pia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube Download - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..Trusted Domains: fritz.repeater ([]* in Local intranet)
O15 - HKU\S-1-5-21-3268802886-374803032-4077387996-1000\..Trusted Ranges: Range1 ([*] in Local intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0FD48D37-6B75-4AB6-9E6B-26DA0E1421BD}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C5B374CC-FBED-463E-86C8-4D5FF3009043}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img2.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img2.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.15 19:14:22 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Malwarebytes
[2012.07.15 19:14:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.15 19:14:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.07.15 19:14:08 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.07.15 19:14:08 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.06.20 19:04:09 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Leadertech
[2012.06.20 19:03:14 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\LogiShrd
[2012.06.20 19:03:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Logitech
[2012.06.20 19:03:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Logishrd
[2012.06.20 19:03:01 | 000,000,000 | ---D | C] -- C:\Program Files\Logitech
[2012.06.20 19:02:57 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Logitech
[2012.06.20 19:02:53 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Logishrd
[2012.06.20 19:01:38 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Logishrd
[2012.06.20 16:34:21 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\WinRAR
[2012.06.20 16:34:21 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.06.20 16:34:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
[2012.06.20 16:34:03 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR
[2006.11.20 10:01:08 | 000,163,840 | ---- | C] (Microsoft Corporation) -- C:\Program Files\Common Files\AMCap.exe
[2002.03.11 11:06:30 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Users\Admin\instmsiw.exe
[2002.03.11 10:45:04 | 001,708,856 | ---- | C] (Microsoft Corporation) -- C:\Users\Admin\instmsia.exe
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.15 20:50:00 | 000,000,428 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{73D7857F-E6AB-43F9-AE10-FC2E698C4EB1}.job
[2012.07.15 20:50:00 | 000,000,420 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{CC9330FD-9A4D-4B12-874B-438AE676B6FF}.job
[2012.07.15 20:50:00 | 000,000,420 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{6A4C8933-D82B-41B4-BBA4-3B61F0767512}.job
[2012.07.15 20:08:15 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.15 20:05:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.15 19:46:58 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.15 19:44:37 | 000,004,736 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.15 19:44:37 | 000,004,736 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.15 19:44:31 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.15 19:41:10 | 000,000,020 | ---- | M] () -- C:\Users\Admin\defogger_reenable
[2012.07.15 19:14:10 | 000,000,912 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.13 06:42:03 | 000,630,370 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.07.13 06:42:03 | 000,596,736 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.07.13 06:42:03 | 000,127,216 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.07.13 06:42:03 | 000,104,810 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.07.11 19:24:33 | 000,331,280 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.06.22 09:33:38 | 284,752,215 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.06.20 19:04:10 | 000,001,157 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
[2012.06.19 08:34:37 | 000,000,852 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.15 19:40:52 | 000,000,020 | ---- | C] () -- C:\Users\Admin\defogger_reenable
[2012.07.15 19:14:10 | 000,000,912 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.22 09:33:38 | 284,752,215 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.06.20 19:04:10 | 000,001,157 | ---- | C] () -- C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
[2012.05.09 15:06:44 | 000,003,948 | R--- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2011.08.19 09:53:10 | 000,003,099 | ---- | C] () -- C:\Users\Admin\.jdivelog-mvplan.xml
[2011.08.19 09:29:34 | 000,000,119 | ---- | C] () -- C:\Users\Admin\.jdivelog
[2010.12.10 16:33:21 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2008.12.27 10:46:14 | 000,000,680 | ---- | C] () -- C:\Users\Admin\AppData\Local\d3d9caps.dat
[2008.12.25 18:25:23 | 000,044,319 | ---- | C] () -- C:\Users\Admin\.cxpg63spc.dat
[2008.12.24 17:12:18 | 000,018,432 | ---- | C] () -- C:\Users\Admin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.09.30 19:09:24 | 135,428,177 | ---- | C] () -- C:\Users\Admin\openofficeorg1.cab
[2008.09.30 18:35:04 | 009,776,128 | ---- | C] () -- C:\Users\Admin\openofficeorg30.msi
[2008.09.18 18:08:54 | 000,424,728 | ---- | C] () -- C:\Users\Admin\setup.exe
 
========== LOP Check ==========
 
[2011.12.16 20:11:15 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\DVDVideoSoft
[2011.11.07 20:07:51 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.07.20 15:09:08 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\FRITZ!
[2008.12.27 16:46:10 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\IrfanView
[2012.06.20 19:04:09 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Leadertech
[2009.04.18 14:09:03 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Lexware
[2008.12.25 17:40:41 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\OpenOffice.org
[2009.02.11 19:04:41 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\streamripper
[2010.05.17 21:02:31 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\Thunderbird
[2009.06.10 09:54:38 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\WEBDE
[2009.05.16 11:15:46 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\Haufe
[2010.11.27 17:44:58 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\IrfanView
[2009.04.18 16:04:53 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\Lexware
[2008.12.31 14:22:39 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\OpenOffice.org
[2009.02.21 16:59:15 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\streamripper
[2011.10.24 14:22:29 | 000,000,000 | ---D | M] -- C:\Users\Andrea\AppData\Roaming\Thunderbird
[2011.07.20 16:03:43 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\biu software
[2011.12.16 20:11:20 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\DVDVideoSoft
[2012.06.18 19:41:27 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\FileZilla
[2012.02.12 17:58:13 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\gtk-2.0
[2012.07.14 14:36:54 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\hellomoto
[2011.10.26 01:02:16 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\IrfanView
[2012.06.20 19:05:02 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Leadertech
[2009.03.05 16:58:56 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Leawo
[2012.05.13 09:38:02 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Lexware
[2010.02.14 21:31:17 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien
[2012.05.31 20:39:31 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\MySQL
[2009.02.11 17:55:55 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\NCH Swift Sound
[2009.01.17 15:34:31 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\OpenOffice.org
[2009.09.21 20:33:38 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Opera
[2012.06.01 21:02:35 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\OSTCTools
[2009.02.11 19:49:03 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\streamripper
[2012.04.08 18:27:42 | 000,000,000 | ---D | M] -- C:\Users\Jo\AppData\Roaming\Thunderbird
[2011.06.15 20:26:27 | 000,000,000 | ---D | M] -- C:\Users\Pia\AppData\Roaming\Lexware
[2011.06.15 20:26:57 | 000,000,000 | ---D | M] -- C:\Users\Pia\AppData\Roaming\OpenOffice.org
[2012.07.15 19:43:20 | 000,032,514 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2012.07.15 20:50:00 | 000,000,420 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{6A4C8933-D82B-41B4-BBA4-3B61F0767512}.job
[2012.07.15 20:50:00 | 000,000,428 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{73D7857F-E6AB-43F9-AE10-FC2E698C4EB1}.job
[2012.07.15 20:50:00 | 000,000,420 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{CC9330FD-9A4D-4B12-874B-438AE676B6FF}.job
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

markusg · 17.07.2012, 22:01

hi im abgesicherten modus mit netzwerk das konto deiner frau starten, wenn dies geht:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

hofbräu · 18.07.2012, 17:39

Hallo,

danke erstmal. Ich hoffe, ich habe es richtig gemacht.

Habe combofix im abgesicherten Modus im konto meiner Frau geladen und ausgeführt.
Ich bin mir nicht sicher, ob ich wirklich Avira ganz beenden konnte, combofix hat jedenfalls diesbezügliche Warnhinweise ausgegeben.
Komischerweise steht in der Hilfe nirgends, wie man das Programm ganz ausschaltet.
Dann gab es noch ein paar Mal Meldungen, dass jetzt eigentlich Adminrechte nötig wären, das Prog hat aber bis zum Schluss gearbeitet.
Mehrfach kam zwischendrin die Windowshilfe bzgl. abgesichertem Modus.
lg hofbräu

Hier der Logfile:

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-07-18.04 - Admin 18.07.2012  18:16:05.1.4 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3071.2557 [GMT 2:00]
ausgeführt von:: c:\users\Andrea\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Admin\Favorites\Games.url
c:\users\Andrea\Favorites\Games.url
c:\users\Jo\Favorites\Games.url
c:\users\Pia\Favorites\Games.url
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-18 bis 2012-07-18  ))))))))))))))))))))))))))))))
.
.
2012-07-18 16:25 . 2012-07-18 16:25	--------	d-----w-	c:\users\Pia\AppData\Local\temp
2012-07-18 16:25 . 2012-07-18 16:25	--------	d-----w-	c:\users\Jo\AppData\Local\temp
2012-07-18 16:25 . 2012-07-18 16:25	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-07-18 16:25 . 2012-07-18 16:25	--------	d-----w-	c:\users\Andrea\AppData\Local\temp
2012-07-18 16:25 . 2012-07-18 16:26	--------	d-----w-	c:\users\Admin\AppData\Local\temp
2012-07-18 16:24 . 2012-07-18 16:24	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E0B941B0-E90F-4662-AAB6-33C9B465139D}\offreg.dll
2012-07-15 19:05 . 2012-07-15 19:05	--------	d-----w-	c:\users\Andrea\AppData\Roaming\Malwarebytes
2012-07-15 17:14 . 2012-07-15 17:14	--------	d-----w-	c:\users\Admin\AppData\Roaming\Malwarebytes
2012-07-15 17:14 . 2012-07-15 17:14	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-15 17:14 . 2012-07-15 17:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-07-15 17:14 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-14 12:36 . 2012-07-14 12:36	--------	d-----w-	c:\users\Jo\AppData\Roaming\hellomoto
2012-07-13 16:29 . 2012-05-31 03:41	6762896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E0B941B0-E90F-4662-AAB6-33C9B465139D}\mpengine.dll
2012-07-13 16:26 . 2012-07-13 16:26	--------	d-----w-	c:\users\Andrea\AppData\Local\Macromedia
2012-07-11 15:09 . 2012-06-13 13:40	2047488	----a-w-	c:\windows\system32\win32k.sys
2012-07-11 14:25 . 2012-06-05 16:47	708608	----a-w-	c:\program files\Common Files\System\ado\msado15.dll
2012-07-11 14:25 . 2012-06-05 16:47	1401856	----a-w-	c:\windows\system32\msxml6.dll
2012-07-11 14:25 . 2012-06-05 16:47	1248768	----a-w-	c:\windows\system32\msxml3.dll
2012-07-11 14:25 . 2012-06-04 15:26	440704	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-07-11 14:25 . 2012-06-02 00:04	278528	----a-w-	c:\windows\system32\schannel.dll
2012-07-11 14:25 . 2012-06-02 00:03	204288	----a-w-	c:\windows\system32\ncrypt.dll
2012-06-21 12:43 . 2012-06-02 22:19	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-21 12:43 . 2012-06-02 22:19	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-21 12:43 . 2012-06-02 22:19	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-21 12:43 . 2012-06-02 22:12	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-21 12:42 . 2012-06-02 22:19	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-21 12:42 . 2012-06-02 22:19	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-21 12:42 . 2012-06-02 22:12	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-21 12:42 . 2012-06-02 13:19	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-21 12:42 . 2012-06-02 13:12	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-21 12:38 . 2012-06-21 12:38	--------	d-----w-	c:\users\Andrea\AppData\Roaming\Logitech
2012-06-20 17:05 . 2012-06-20 17:05	--------	d-----w-	c:\users\Jo\AppData\Roaming\Leadertech
2012-06-20 17:04 . 2012-06-20 17:04	--------	d-----w-	c:\users\Admin\AppData\Roaming\Leadertech
2012-06-20 17:04 . 2012-06-20 17:04	53248	----a-r-	c:\users\Admin\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-06-20 17:03 . 2012-06-20 17:03	16400	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2012-06-20 17:03 . 2012-06-20 17:05	--------	d-----w-	c:\programdata\Logishrd
2012-06-20 17:03 . 2012-06-20 17:03	--------	d-----w-	c:\program files\Logitech
2012-06-20 17:02 . 2012-06-20 17:02	--------	d-----w-	c:\users\Admin\AppData\Roaming\Logitech
2012-06-20 17:02 . 2012-06-20 17:04	--------	d-----w-	c:\program files\Common Files\Logishrd
2012-06-20 17:01 . 2012-06-20 17:01	--------	d-----w-	c:\users\Admin\AppData\Roaming\Logishrd
2012-06-20 17:01 . 2012-06-20 17:05	--------	d-----w-	c:\users\Jo\AppData\Roaming\Logitech
2012-06-20 17:01 . 2012-06-20 17:01	--------	d-----w-	c:\users\Jo\AppData\Roaming\Logishrd
2012-06-19 06:34 . 2012-06-14 22:16	770384	----a-w-	c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-19 06:34 . 2012-06-14 22:16	421200	----a-w-	c:\program files\Mozilla Firefox\msvcp100.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 14:41 . 2012-04-03 08:26	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-12 14:41 . 2011-05-17 11:51	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-14 13:33 . 2011-10-13 16:15	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-14 13:33 . 2011-10-13 16:15	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-09 12:55 . 2012-05-09 12:55	319456	----a-w-	c:\windows\DIFxAPI.dll
2012-05-01 14:03 . 2012-06-13 18:28	180736	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-04-23 16:00 . 2012-06-13 18:28	984064	----a-w-	c:\windows\system32\crypt32.dll
2012-04-23 16:00 . 2012-06-13 18:28	98304	----a-w-	c:\windows\system32\cryptnet.dll
2012-04-23 16:00 . 2012-06-13 18:28	133120	----a-w-	c:\windows\system32\cryptsvc.dll
2006-11-20 08:01 . 2006-11-20 08:01	163840	----a-w-	c:\program files\Common Files\AMCap.exe
2012-06-14 22:19 . 2011-04-20 06:07	85472	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-05-14 348624]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"PAC207_Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1387288]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*WerKernelReporting"="c:\windows\SYSTEM32\WerFault.exe" [2009-04-11 217088]
" Malwarebytes Anti-Malware "="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech . Produktregistrierung.lnk - c:\program files\Common Files\Logishrd\eReg\SetPoint\eReg.exe [2009-11-16 517384]
.
c:\users\Andrea\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^Users^Admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk]
path=c:\users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 19:28	59240	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2009-12-04 07:48	1728512	----a-r-	c:\program files\VIA\VIAudioi\VDeck\VDeck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2011-07-31 13:07	189808	----a-w-	c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
2006-11-03 10:01	319488	----a-w-	c:\windows\PixArt\PAC207\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-02-26 19:46	153136	----a-w-	c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-06-01 15:46	8429568	----a-w-	c:\windows\System32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-06-01 15:46	81920	----a-w-	c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-06-01 15:46	86016	----a-w-	c:\windows\System32\nvsvc.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PAC207_Monitor]
2006-11-03 10:01	319488	----a-w-	c:\windows\PixArt\PAC207\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2012-04-18 18:56	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-06-12 15:52	32768	----a-w-	c:\tb_eula\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WEB.DE Update]
2009-10-16 13:15	2226056	----a-w-	c:\program files\WEB.DE\LiveUpdate\m2LUTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-16 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 14:41]
.
2012-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-29 18:00]
.
2012-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-29 18:00]
.
2012-07-16 c:\windows\Tasks\User_Feed_Synchronization-{6A4C8933-D82B-41B4-BBA4-3B61F0767512}.job
- c:\windows\system32\msfeedssync.exe [2011-07-20 13:08]
.
2012-07-16 c:\windows\Tasks\User_Feed_Synchronization-{73D7857F-E6AB-43F9-AE10-FC2E698C4EB1}.job
- c:\windows\system32\msfeedssync.exe [2011-07-20 13:08]
.
2012-07-16 c:\windows\Tasks\User_Feed_Synchronization-{CC9330FD-9A4D-4B12-874B-438AE676B6FF}.job
- c:\windows\system32\msfeedssync.exe [2011-07-20 13:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://go.1und1.de/links/home
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
IE: Free YouTube Download - c:\users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\n2a0wkwz.default\
FF - prefs.js: browser.startup.homepage - hxxp://go.gmx.net/br/ff3_startpage
FF - prefs.js: keyword.URL - hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://suche.gmx.net/search/web/?origin=br_urlbar_ff&su=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Skytel - Skytel.exe
MSConfigStartUp-VIAAUD - c:\program files\VIA\VIAudioi\VDeck\VIAAUD.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-18 18:26
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\users\Admin\AppData\Local\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\serviceIEConfig]
"ImagePath"="c:\windows\System32\ieconfig_1und1_svc.exe /startedbyscm:016FE01B-40E31F2D-serviceIEConfig"
.
Zeit der Fertigstellung: 2012-07-18  18:28:16
ComboFix-quarantined-files.txt  2012-07-18 16:28
.
Vor Suchlauf: 23 Verzeichnis(se), 234.215.202.816 Bytes frei
Nach Suchlauf: 26 Verzeichnis(se), 235.523.821.568 Bytes frei
.
- - End Of File - - 9356ECB60C1FC707981E5FD5E0709E4D

--- --- ---

markusg · 19.07.2012, 17:00

schau mal ob alle konten jetzt gehen, wenn nicht, müssen wir was anderes probieren

hofbräu · 19.07.2012, 20:33

Hallo Markus!

Vielen Dank für deine Hilfe bisher.

Folgendes war heute:
Ich habe - kurz bevor du gepostet hast - den Rechner hochgefahren. Mein Konto war nach wie vor verseucht. Wechsel zum Konto meiner Frau.
Kurz drauf meldete Avira einen Trojaner/Virenfund: TR/Rogue.kdv.672441
Google weiß dazu nichts.
Log file:

Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Donnerstag, 19. Juli 2012 17:35

Es wird nach 3878517 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : JXXXXX
Seriennummer : XXXXXXXXXXX
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FUJITSU

Versionsinformationen:
BUILD.DAT : 12.0.0.1145 42650 Bytes 23.05.2012 17:04:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 14.05.2012 13:33:14
AVSCAN.DLL : 12.3.0.15 66256 Bytes 14.05.2012 13:33:14
LUKE.DLL : 12.3.0.15 68304 Bytes 14.05.2012 13:33:14
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 12.05.2012 12:54:16
AVREG.DLL : 12.3.0.17 232200 Bytes 12.05.2012 12:54:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:03:16
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 12:53:56
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:54:03
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 03:03:45
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 03:03:45
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 03:03:45
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 03:03:45
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 03:03:45
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 03:03:45
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 03:03:45
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 03:03:45
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 03:03:46
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 15:04:57
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 15:04:57
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 15:48:16
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:32:23
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 10:48:50
VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 20:10:01
VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 19:21:41
VBASE021.VDF : 7.11.36.108 2048 Bytes 16.07.2012 19:21:41
VBASE022.VDF : 7.11.36.109 2048 Bytes 16.07.2012 19:21:42
VBASE023.VDF : 7.11.36.110 2048 Bytes 16.07.2012 19:21:42
VBASE024.VDF : 7.11.36.111 2048 Bytes 16.07.2012 19:21:42
VBASE025.VDF : 7.11.36.112 2048 Bytes 16.07.2012 19:21:42
VBASE026.VDF : 7.11.36.113 2048 Bytes 16.07.2012 19:21:42
VBASE027.VDF : 7.11.36.114 2048 Bytes 16.07.2012 19:21:42
VBASE028.VDF : 7.11.36.115 2048 Bytes 16.07.2012 19:21:42
VBASE029.VDF : 7.11.36.116 2048 Bytes 16.07.2012 19:21:42
VBASE030.VDF : 7.11.36.117 2048 Bytes 16.07.2012 19:21:42
VBASE031.VDF : 7.11.36.118 2048 Bytes 16.07.2012 19:21:42
Engineversion : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:16
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 05.07.2012 14:00:28
AESCN.DLL : 8.1.8.2 131444 Bytes 12.05.2012 12:54:14
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:54:46
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.3.0.14 807287 Bytes 13.07.2012 16:29:51
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 11:55:04
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 13.07.2012 16:29:50
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 11:55:00
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 15:48:17
AEEXP.DLL : 8.1.0.62 86389 Bytes 11.07.2012 14:20:12
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:15
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 12:17:14
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 14.05.2012 13:33:13
AVPREF.DLL : 12.3.0.15 51920 Bytes 14.05.2012 13:33:14
AVREP.DLL : 12.3.0.15 179208 Bytes 12.05.2012 12:54:16
AVARKT.DLL : 12.3.0.15 211408 Bytes 14.05.2012 13:33:13
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 14.05.2012 13:33:13
SQLITE3.DLL : 3.7.0.1 398288 Bytes 14.05.2012 13:33:14
AVSMTP.DLL : 12.3.0.15 63952 Bytes 14.05.2012 13:33:14
NETNT.DLL : 12.3.0.15 17104 Bytes 14.05.2012 13:33:14
RCIMAGE.DLL : 12.3.0.15 4491472 Bytes 14.05.2012 13:33:13
RCTEXT.DLL : 12.3.0.15 98512 Bytes 14.05.2012 13:33:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50082810\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 19. Juli 2012 17:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieconfig_1und1_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe'
C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.672441

Beginne mit der Desinfektion:
C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.672441
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '539185ba.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 19. Juli 2012 17:37
Benötigte Zeit: 00:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
58 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
57 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

Mir scheint, dass inzwischen Avira die Virendatenbank aktualisiert hat.
Mein eigenes Konto scheint nun wieder zu funktionieren - ich schreibe gerade von dort.

Was mir mehr Sorgen macht, sind meine Daten. Ich habe auf einer zweiten Partition der gleichen Platte alle meine Dokumente, Bilder, Präsentationen etc.
Nun habe ich gelesen, dass diese gerade durch diesen BKA-Trojaner derart korrumpiert werden können, dass sie den Virus und andere Schadprogramme später nachladen können. Was tun?

Derzeit läuft ein - quälend langsamer -Komplettscan mit Avira (nach ca. 1h 2.4%). Mal schaun.

Übrigens: Ich finde es bemerkenswert, was du/ihr da leistet. Herzlichen Dank für deine Hilfe. Werde gleich schaun, wo ich bei euch einen Beitrag leisten oder spenden kann.

LG

markusg · 19.07.2012, 23:13

hi
deine datenbank sieht mir nicht aktuell aus, glaub da fehlen updates.
wo hast du das gelesen, der bka trojaner ist ja kein sogenannter file infektor.
spenden kannst du, wenn wir fertig sind, link in meiner signatur.
poste dann mal den avira bericht und gucke, ob alle konten funktionieren

hofbräu · 20.07.2012, 05:43

Hi
Meinst du die Virensignaturen von Avira? Eigentlich meldet das Programm ständig, dass es sich upgedatet hat.

Hier der Log von letzter Nacht - das hat fast 10 Stunden gedauert!
Ist das normal?

Die anderen Konten teste ich heute nachmittag.
VIELEN DANK einstweilen!

Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Donnerstag, 19. Juli 2012 20:45

Es wird nach 3906103 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : JXXXXXX
Seriennummer : XXXXXXXXXX
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : Admin
Computername : FUJITSU

Versionsinformationen:
BUILD.DAT : 12.0.0.1145 42650 Bytes 23.05.2012 17:04:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 14.05.2012 13:33:14
AVSCAN.DLL : 12.3.0.15 66256 Bytes 14.05.2012 13:33:14
LUKE.DLL : 12.3.0.15 68304 Bytes 14.05.2012 13:33:14
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 12.05.2012 12:54:16
AVREG.DLL : 12.3.0.17 232200 Bytes 12.05.2012 12:54:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:03:16
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 12:53:56
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 12:54:03
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 03:03:45
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 03:03:45
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 03:03:45
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 03:03:45
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 03:03:45
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 03:03:45
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 03:03:45
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 03:03:45
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 03:03:46
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 15:04:57
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 15:04:57
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 15:48:16
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 19:32:23
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 10:48:50
VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 20:10:01
VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 19:21:41
VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 15:36:42
VBASE022.VDF : 7.11.36.209 135168 Bytes 19.07.2012 15:36:42
VBASE023.VDF : 7.11.36.210 2048 Bytes 19.07.2012 15:36:42
VBASE024.VDF : 7.11.36.211 2048 Bytes 19.07.2012 15:36:42
VBASE025.VDF : 7.11.36.212 2048 Bytes 19.07.2012 15:36:42
VBASE026.VDF : 7.11.36.213 2048 Bytes 19.07.2012 15:36:42
VBASE027.VDF : 7.11.36.214 2048 Bytes 19.07.2012 15:36:42
VBASE028.VDF : 7.11.36.215 2048 Bytes 19.07.2012 15:36:42
VBASE029.VDF : 7.11.36.216 2048 Bytes 19.07.2012 15:36:42
VBASE030.VDF : 7.11.36.217 2048 Bytes 19.07.2012 15:36:42
VBASE031.VDF : 7.11.36.236 42496 Bytes 19.07.2012 18:38:43
Engineversion : 8.2.10.118
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 12:17:16
AESCRIPT.DLL : 8.1.4.34 455035 Bytes 19.07.2012 15:36:47
AESCN.DLL : 8.1.8.2 131444 Bytes 12.05.2012 12:54:14
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:54:46
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.3.0.16 807287 Bytes 19.07.2012 15:36:47
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 15:36:46
AEHEUR.DLL : 8.1.4.76 5063031 Bytes 19.07.2012 15:36:46
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 11:55:00
AEGEN.DLL : 8.1.5.34 434548 Bytes 19.07.2012 15:36:43
AEEXP.DLL : 8.1.0.68 86389 Bytes 19.07.2012 15:36:47
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 12:17:15
AECORE.DLL : 8.1.27.2 201078 Bytes 10.07.2012 12:17:14
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 14.05.2012 13:33:13
AVPREF.DLL : 12.3.0.15 51920 Bytes 14.05.2012 13:33:14
AVREP.DLL : 12.3.0.15 179208 Bytes 12.05.2012 12:54:16
AVARKT.DLL : 12.3.0.15 211408 Bytes 14.05.2012 13:33:13
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 14.05.2012 13:33:13
SQLITE3.DLL : 3.7.0.1 398288 Bytes 14.05.2012 13:33:14
AVSMTP.DLL : 12.3.0.15 63952 Bytes 14.05.2012 13:33:14
NETNT.DLL : 12.3.0.15 17104 Bytes 14.05.2012 13:33:14
RCIMAGE.DLL : 12.3.0.15 4491472 Bytes 14.05.2012 13:33:13
RCTEXT.DLL : 12.3.0.15 98512 Bytes 14.05.2012 13:33:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 19. Juli 2012 20:45

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ieconfig_1und1_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3181' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Program Files\Diving Log 5.0\Ionic.Zip.Reduced.dll
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\Jo\Desktop\avira_antivirus_premium_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Jo\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Jo\Downloads\Winterfest_Archiv.exe
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Beginne mit der Suche in 'D:\' <DATA>
D:\users\Jo\Documents\Mathe-Multi\Mein Kram\Dillingen 8.-10.10.08\Arbeitskreis nord\Materialien\Bilder und Schriften\Fonts Geld\Schulschriften\DEMOS\SCHL_RAT\SCHULRAT.ZIP
[WARNUNG] Unerwartetes Dateiende erreicht
D:\users\Jo\Documents\Schule\Schulhomepage Pestalozzischule\P-Schule (extrem komprimiert) (PP 03).exe
[WARNUNG] Die Datei ist kennwortgeschützt

Ende des Suchlaufs: Freitag, 20. Juli 2012 06:22
Benötigte Zeit: 9:36:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

33843 Verzeichnisse wurden überprüft
964424 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
964424 Dateien ohne Befall
19162 Archive wurden durchsucht
7 Warnungen
0 Hinweise

Also das Adminkonto scheint auch zu funktionieren.
Hier noch das Logfile von malwarebytes:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2012.07.20.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin :: FUJITSU [Administrator]

Schutz: Aktiviert

20.07.2012 06:49:54
mbam-log-2012-07-20 (06-49-54).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 240147
Laufzeit: 6 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

hofbräu · 22.07.2012, 08:45

Hallo Markus!

So wie es aussieht, hat sich das Problem gelöst.

Das Adminkonto sowie das meiner Frau funktionieren.
Mein Konto jetzt auch wieder.
Das Konto meiner Tochter habe ich gelöscht - sie braucht es eh nicht mehr.
Mehrfache Virenscans sowohl mit Avira als auch Malwarebytes haben keine Funde ausgegeben.

Mir ist nur aufgefallen, dass nun nach der ganzen Aktion der Windows Defender nicht mehr läuft. Undzwar bei keinem Konto. Vor ein paar Tagen (vor der BKA-Attacke) lief der noch.
"Fehler bei der Anwendungsinitialisierung. 0x800106ba. Dienst wurde angehalten...blablabla."
Aber ich glaube den Defender brauche ich wohl eh nicht. Oder doch?

Ist die Sache damit abgeschlossen? Ich schätze mal.
Mein Dank wird dir ewig nachschleichen

- bis zum nächsten Trojaner halt ....

Ich überlege mir jedenfalls den Umstieg auf Linux.

Meine Hochachtung an dich und deine KollegInnen! Lasst euch feiern!

Eine kleine Spende ist unterwegs.

lg

markusg · 25.07.2012, 17:43

hi
evtl. ist bei der malware entfernung bzw instalation was schief gelaufen, wir sollten das system neu aufsetzen und absichern.
danke übrigens fürs spenden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

hofbräu · 26.07.2012, 20:46

Hi Markus,

ist das ein Standardtext oder meinst du wirklich, dass da was daneben gegangen ist?

Zu 1. Ich habe die Daten bereits vor Tagen gesichert.
Zu 3. SEHOP brauch ich doch nicht, da ich Vista SP2 nutze, oder? Habe das FixIt trotzdem mal laufen lassen.
Vor 2. graut mir.... nochmal so viel Zeit versitzen. Muss das sein? Das System läuft ja wieder....
Punkt 6. würde mich SEHR interessieren!

LG

markusg · 27.07.2012, 22:09

hi, da der defender nicht geht, kann wie gesagt was schief gelaufen sein, deswegen dachte ich, um 100 %ig sicher zu gehen, ans neu aufsetzen, vernünftig absichern, mit backups etc, es wäre ja sinnlos eine sicherung von einem system zu haben, welches nicht 100 %ig geht
sehop müsste man trotzdem aktivieren

hofbräu · 29.07.2012, 09:52

Hallo Markus,

du wirst es nicht glauben - jetzt funktioniert er wieder, der Defender.
Ich verstehe nicht, warum.... aber neulich ließ er sich nicht starten.
Kann es sein, dass das Microsoft FixIt ihn wieder gerichtet hat?
Gerade läuft eine vollständige Überprüfung. Das Ergebnis poste ich später.

Der Rechner läuft insgesamt wie gewohnt. Ich habe nichts Auffälliges bemerkt. Bloß ans Homebanking trau ich mich halt nicht mehr...

Noch ne blöde Frage:
Nachdem ich - eurem Rat folgend - versteckte Dateien nun anzeigen und geschützte Systemdatteien nicht mehr ausblenden lasse, finde ich 2 Dateien "desktop.ini" am Desktop. Diese lassen sich wohl nicht selektiv verstecken, was?

LG

hofbräu · 29.07.2012, 18:40

Hi nochmal.

So, jetzt habe ich nochmal alle Partitionen mit Malwarebytes und Avira durchsuchen lassen (keine Funde) und schließlich alles noch mit dem Windows Defender gecheckt. Auch der Defender meldet keine aktuellen Probleme.
Aber im Verlauf des Defender stehen 4 Meldungen, (siehe Anhang) alle vom 14. und 15.7. - das war kurz bevor der ganze Mist los ging.

regkey:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\fxtdypod
file:
C:\Users\Admin\AppData\Local\Temp\fxtdypod.sys

regkey:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\fxtdypod
file:
C:\Users\Admin\AppData\Local\Temp\fxtdypod.sys

driver:
MBAMSwissArmy
file:
C:\Windows\system32\drivers\mbamswissarmy.sys

regkey:
HKCU@S-1-5-21-3268802886-374803032-4077387996-1005\Software\Microsoft\Windows\CurrentVersion\Run\\Wpc
runkey:
HKCU@S-1-5-21-3268802886-374803032-4077387996-1005\Software\Microsoft\Windows\CurrentVersion\Run\\Wpc
file:
C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe

Habe die Begriffe fxtdypod.sys, MBAMSwissArmy.sys und Wpc.exe gegoogelt, mir scheint das hat alles mit Spyware zu tun.
Defender klassifiziert diese jedoch als unbekannt und vermerkt bei allen unter Ausgeführte Aktion: Zulassen.

Wie kann ich das denn ändern? Unter "Zugelassene Elemente tauchen die Elemente nicht auf!

LG

markusg · 30.07.2012, 20:10

hi
na wenn du beim onlinebanking nen mulmiges gefühl hast, sollten wir das gerät neu aufsetzen und absichern
Local\Temp\fxtdypod.sys
ist GMER driver, ok.
C:\Users\Jo\AppData\Local\Microsoft\Windows\3917\Wpc.exe

ist die bka malware: