Zitat:

c:\windows\system32\Services.exe . . . ist infiziert!!

Diese System-Datei werden wir jetzt austauschen.

Lade diese Datei hier runter: Anhang 39918 enzippe sie und speichere sie unter c:\ ab.

Melde Dich, wenn du das gemacht hast.

Wie entzippe ich sie? mit Winrar klappts nicht.

Hab sie jetzt mal nach c: kopiert. (?)

Und eine Frage nebenbei:

Kann ich gefahrenlos Bilder / pers. Dateien ... etc. auf eine externe Festplatte kopieren, oder können
diese in irgendeiner Form infiziert sein?

Gruss Chemicus

Winrar muss es entpacken koennen. (7-Zip Download - 7-Zip 9.20)
(mit Rechtsklick auf die services.7z)

Ist services.exe in c:\ ?

Mit 7-Zip hats geklappt und services.exe ist nun in C:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
:Files
c:\windows\system32\services.exe
copy c:\services.exe c:\windows\system32\ /c

:Commands
[purity]
[emptytemp]
[Reboot]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

ausgeführt, hier das logfile:

Code: Alles auswählenAufklappen

ATTFilter

ˇ˛All processes killed

========== OTL ==========

========== FILES ==========

Item c:\windows\system32\services.exe is whitelisted and cannot be moved.

< copy c:\services.exe c:\windows\system32\ /c >

        0 Datei(en) kopiert.

C:\Users\Andreas Ritler\Desktop\cmd.bat deleted successfully.

C:\Users\Andreas Ritler\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Andreas Ritler

->Temp folder emptied: 37300 bytes

->Temporary Internet Files folder emptied: 693854 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: AppData

->Temp folder emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 520254 bytes

 

Total Files Cleaned = 1.00 mb

 

 

OTL by OldTimer - Version 3.2.54.0 log created on 08072012_142705



Files\Folders moved on Reboot...

C:\Users\Andreas Ritler\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.



PendingFileRenameOperations files...

File C:\Users\Andreas Ritler\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!



Registry entries deleted on Reboot...
         

Gruss Chemicus

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

FCopy::
c:\services.exe  | c:\windows\system32\Services.exe
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-05.02 - Andreas Ritler 07.08.2012  21:36:32.3.4 - x64
MicrosoftÆ Windows Vistaô Ultimate   6.0.6002.2.1252.49.1031.18.4094.2955 [GMT 2:00]
ausgef¸hrt von:: c:\users\Andreas Ritler\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Andreas Ritler\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\services.exe
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
.
.
--------------- FCopy ---------------
.
c:\services.exe --> c:\windows\system32\Services.exe
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-07 bis 2012-08-07  ))))))))))))))))))))))))))))))
.
.
2074-05-18 15:44 . 2008-03-21 12:46	607296	----a-w-	c:\program files (x86)\Microsoft Games\Age of Empires III\deformerdllyD.dll
2012-08-07 19:42 . 2012-08-07 19:42	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-06 16:59 . 2012-08-06 16:59	--------	d-----w-	c:\program files (x86)\7-Zip
2012-08-06 09:33 . 2012-08-06 09:33	--------	d-----w-	c:\windows\SysWow64\drivers\AVG
2012-08-05 01:07 . 2012-08-05 01:07	--------	d-----w-	c:\users\Andreas Ritler\AppData\Roaming\Malwarebytes
2012-08-05 01:07 . 2012-08-05 01:07	--------	d-----w-	c:\programdata\Malwarebytes
2012-08-05 01:07 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-05 01:07 . 2012-08-05 01:07	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-08-04 09:56 . 2012-08-04 09:56	--------	d-----w-	C:\_OTL
2012-07-21 15:08 . 2012-06-13 13:58	2769408	----a-w-	c:\windows\system32\win32k.sys
2012-07-21 15:01 . 2012-04-23 16:25	174592	----a-w-	c:\windows\system32\cryptsvc.dll
2012-07-21 15:01 . 2012-04-23 16:25	132096	----a-w-	c:\windows\system32\cryptnet.dll
2012-07-21 15:01 . 2012-04-23 16:25	1267200	----a-w-	c:\windows\system32\crypt32.dll
2012-07-21 15:01 . 2012-04-23 16:00	984064	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-07-21 15:01 . 2012-04-23 16:00	98304	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-07-21 15:01 . 2012-04-23 16:00	133120	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-07-21 15:01 . 2012-06-05 16:47	708608	----a-w-	c:\program files (x86)\Common Files\System\ado\msado15.dll
2012-07-21 15:01 . 2012-06-05 16:22	974848	----a-w-	c:\program files\Common Files\System\ado\msado15.dll
2012-07-21 15:01 . 2012-06-05 16:47	1401856	----a-w-	c:\windows\SysWow64\msxml6.dll
2012-07-21 15:01 . 2012-06-05 16:47	1248768	----a-w-	c:\windows\SysWow64\msxml3.dll
2012-07-21 15:01 . 2012-06-05 16:22	1797120	----a-w-	c:\windows\system32\msxml6.dll
2012-07-21 15:01 . 2012-06-05 16:22	1869824	----a-w-	c:\windows\system32\msxml3.dll
2012-07-21 15:00 . 2012-06-04 15:29	516480	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2012-07-21 15:00 . 2012-06-02 00:22	347136	----a-w-	c:\windows\system32\schannel.dll
2012-07-21 15:00 . 2012-06-02 00:22	254464	----a-w-	c:\windows\system32\ncrypt.dll
2012-07-21 15:00 . 2012-06-02 00:05	77312	----a-w-	c:\windows\SysWow64\secur32.dll
2012-07-21 15:00 . 2012-06-02 00:04	278528	----a-w-	c:\windows\SysWow64\schannel.dll
2012-07-21 15:00 . 2012-06-02 00:03	204288	----a-w-	c:\windows\SysWow64\ncrypt.dll
2012-07-21 14:59 . 2012-06-08 17:59	12899840	----a-w-	c:\windows\system32\shell32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-06 16:13 . 2010-03-18 16:50	384512	----a-w-	c:\windows\system32\Services.exe
2012-07-21 16:00 . 2012-04-07 20:12	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-21 16:00 . 2011-06-13 09:07	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-21 15:09 . 2006-11-02 12:35	59701280	----a-w-	c:\windows\system32\mrt.exe
2012-07-08 18:54 . 2009-03-03 15:38	281872	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2012-07-08 18:54 . 2008-11-25 18:27	281872	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2012-07-08 18:53 . 2008-11-25 18:27	215152	----a-w-	c:\windows\SysWow64\PnkBstrB.ex0
2012-06-26 10:42 . 2008-11-25 18:27	76888	----a-w-	c:\windows\SysWow64\PnkBstrA.exe
2012-06-02 22:19 . 2012-06-19 09:00	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-19 09:00	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-19 09:00	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-19 09:00	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-19 09:00	35864	----a-w-	c:\windows\SysWow64\wups.dll
2012-06-02 22:19 . 2012-06-19 09:00	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:19 . 2012-06-19 09:00	577048	----a-w-	c:\windows\SysWow64\wuapi.dll
2012-06-02 22:15 . 2012-06-19 09:00	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-19 09:00	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 22:12 . 2012-06-19 09:00	88576	----a-w-	c:\windows\SysWow64\wudriver.dll
2012-06-02 13:19 . 2012-06-19 08:59	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:19 . 2012-06-19 08:59	171904	----a-w-	c:\windows\SysWow64\wuwebv.dll
2012-06-02 13:15 . 2012-06-19 08:59	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-06-02 13:12 . 2012-06-19 08:59	33792	----a-w-	c:\windows\SysWow64\wuapp.exe
2012-05-15 06:37 . 2012-06-13 08:55	916992	----a-w-	c:\windows\SysWow64\wininet.dll
2012-05-15 06:32 . 2012-06-13 08:55	43520	----a-w-	c:\windows\SysWow64\licmgr10.dll
2012-05-15 06:32 . 2012-06-13 08:55	1469440	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2012-05-15 06:31 . 2012-06-13 08:55	109056	----a-w-	c:\windows\SysWow64\iesysprep.dll
2012-05-15 06:31 . 2012-06-13 08:55	71680	----a-w-	c:\windows\SysWow64\iesetup.dll
2012-05-15 05:01 . 2012-06-13 08:55	385024	----a-w-	c:\windows\SysWow64\html.iec
2012-05-15 03:26 . 2012-06-13 08:55	133632	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2012-05-15 03:23 . 2012-06-13 08:55	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
2012-05-15 02:19 . 2012-06-13 08:55	1147392	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 02:19 . 2012-06-13 08:55	1488384	----a-w-	c:\windows\system32\urlmon.dll
2012-05-15 02:19 . 2012-06-13 08:55	108032	----a-w-	c:\windows\system32\url.dll
2012-05-15 02:18 . 2012-06-13 08:55	243712	----a-w-	c:\windows\system32\occache.dll
2012-05-15 02:16 . 2012-06-13 08:55	1062912	----a-w-	c:\windows\system32\mstime.dll
2012-05-15 02:15 . 2012-06-13 08:55	9328640	----a-w-	c:\windows\system32\mshtml.dll
2012-05-15 02:15 . 2012-06-13 08:55	98304	----a-w-	c:\windows\system32\mshtmled.dll
2012-05-15 02:15 . 2012-06-13 08:55	742912	----a-w-	c:\windows\system32\msfeeds.dll
2012-05-15 02:15 . 2012-06-13 08:55	71680	----a-w-	c:\windows\system32\msfeedsbs.dll
2012-05-15 02:15 . 2012-06-13 08:55	56832	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-15 02:15 . 2012-06-13 08:55	31744	----a-w-	c:\windows\system32\jsproxy.dll
2012-05-15 02:14 . 2012-06-13 08:55	1538560	----a-w-	c:\windows\system32\inetcpl.cpl
2012-05-15 02:14 . 2012-06-13 08:55	2350592	----a-w-	c:\windows\system32\iertutil.dll
2012-05-15 02:14 . 2012-06-13 08:55	77312	----a-w-	c:\windows\system32\iesetup.dll
2012-05-15 02:14 . 2012-06-13 08:55	219136	----a-w-	c:\windows\system32\ieui.dll
2012-05-15 02:14 . 2012-06-13 08:55	132096	----a-w-	c:\windows\system32\iesysprep.dll
2012-05-15 02:14 . 2012-06-13 08:55	72192	----a-w-	c:\windows\system32\iernonce.dll
2012-05-15 02:14 . 2012-06-13 08:55	12508672	----a-w-	c:\windows\system32\ieframe.dll
2012-05-15 02:14 . 2012-06-13 08:55	252416	----a-w-	c:\windows\system32\iepeers.dll
2012-05-15 02:14 . 2012-06-13 08:55	459776	----a-w-	c:\windows\system32\iedkcs32.dll
2012-05-15 01:21 . 2012-06-13 08:55	479232	----a-w-	c:\windows\system32\html.iec
2012-05-15 00:40 . 2012-06-13 08:55	162816	----a-w-	c:\windows\system32\ieUnatt.exe
2012-05-15 00:40 . 2012-06-13 08:55	70656	----a-w-	c:\windows\system32\ie4uinit.exe
2012-05-15 00:39 . 2012-06-13 08:55	12288	----a-w-	c:\windows\system32\msfeedssync.exe
2012-05-15 00:39 . 2012-06-13 08:55	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2012-05-10 13:22 . 2012-05-10 13:22	53248	----a-r-	c:\users\Andreas Ritler\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-08-06_10.48.59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 02:09 . 2012-08-07 19:31	73734              c:\windows\system32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-11-24 16:07 . 2012-08-07 19:31	27458              c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1633775851-3168524374-439798674-1000_UserData.bin
+ 2008-11-24 17:21 . 2012-08-07 12:39	708222              c:\windows\system32\WDI\SuspendPerformanceDiagnostics_SystemData_S3.bin
+ 2006-11-02 15:44 . 2012-08-07 19:31	203032              c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 12:46 . 2012-08-07 19:37	586980              c:\windows\system32\perfh009.dat
- 2006-11-02 12:46 . 2012-08-06 09:56	586980              c:\windows\system32\perfh009.dat
- 2008-01-21 10:46 . 2012-08-06 09:56	618204              c:\windows\system32\perfh007.dat
+ 2008-01-21 10:46 . 2012-08-07 19:37	618204              c:\windows\system32\perfh007.dat
- 2006-11-02 12:46 . 2012-08-06 09:56	101052              c:\windows\system32\perfc009.dat
+ 2006-11-02 12:46 . 2012-08-07 19:37	101052              c:\windows\system32\perfc009.dat
+ 2008-01-21 10:46 . 2012-08-07 19:37	122636              c:\windows\system32\perfc007.dat
- 2008-01-21 10:46 . 2012-08-06 09:56	122636              c:\windows\system32\perfc007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"LWS"="c:\program files (x86)\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-3-4 110592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe"
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
Themes
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	97792	----a-w-	c:\users\Andreas Ritler\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-05-01 16299552]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-07-27 2184520]
"CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
.
------- Zus‰tzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.ch/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Andreas Ritler\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Andreas Ritler\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.1.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\Andreas Ritler\AppData\Roaming\Mozilla\Firefox\Profiles\v1ov691r.default\
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1633775851-3168524374-439798674-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-1633775851-3168524374-439798674-1000\Software\SecuROM\License information*]
"datasecu"=hex:e3,45,67,cc,a9,7d,74,3b,83,9b,d5,9b,da,a0,87,59,6f,f6,11,bc,1d,
   62,62,fb,70,b5,d7,ab,26,6d,56,6e,16,cf,39,0c,92,11,6c,83,f8,76,2b,24,1d,f0,\
"rkeysecu"=hex:82,c3,15,4f,bb,1d,3b,7f,84,f5,53,93,76,d6,d1,ff
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-07  21:53:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-07 19:53
ComboFix2.txt  2012-08-06 15:29
.
Vor Suchlauf: 18 Verzeichnis(se), 77'245'067'264 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 77'110'235'136 Bytes frei
.
- - End Of File - - CCDBF9FB92DACA8248CD07E3D11E2D5C
         

Gruss chemicus

Das sieht schon besser aus.


1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Hallo t'john

das freut mich natürlich.

wie bereits geschrieben krieg ich irgendwie keine Internetverbindung her und
kann daher malware nicht aktualisieren (hat das was mit dem defogger oder
den durchgeführten OTL fixes zu tun?).

Mache jetzt also den Scan mit der nicht aktualisierten Datenbank (Stand:
03.07.2012)...

Gruss Chemicus

Stimmt da war noch was.

http://data.mbamupdates.com/tools/mbam-rules.exe auf dem Rechner starten, das MBAM update!

hier das Ergebnis des noch nicht aktualisierten Scans:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.03.05

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19272
Andreas Ritler :: ANDREASRITLE-PC [Administrator]

08.08.2012 01:26:19
mbam-log-2012-08-08 (01-26-19).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (B:\|C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 537514
Laufzeit: 1 Stunde(n), 14 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Windows\assembly\GAC_32\Desktop.ini.vir (Trojan.0access) -> Erfolgreich gelˆscht und in Quarant‰ne gestellt.

(Ende)
         

werde morgen aktualisieren und den Scan erneut durchführen.

Gruss Chemicus

Alles klar!

So, jetzt noch das Ergebnis des zweiten Scans:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.06.09

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19272
Andreas Ritler :: ANDREASRITLE-PC [Administrator]

08.08.2012 11:39:33
mbam-log-2012-08-08 (11-39-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (B:\|C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 521465
Laufzeit: 1 Stunde(n), 15 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\_OTL\MovedFiles\08042012_204418\C_ProgramData\pdopxokr.exe (Trojan.Winlock.P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08042012_204418\C_Users\Andreas Ritler\0.2660351577085618.exe (Trojan.Winlock.P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08042012_204418\C_Windows\Installer\{4b3459c2-6769-12be-0e57-b3c2f865d0ba}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08042012_204418\C_Windows\Installer\{4b3459c2-6769-12be-0e57-b3c2f865d0ba}\U\80000032.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Gruss Chemicus

Gut!

Bitte nach Anleitung durchfuehren:
How do I remove Sirefef (ZeroAccess) trojan? - ESET Knowledgebase