Gemacht. Habe beim Neustart eine Meldung von der Windows Firewall bekommen über das Programm Akamai (siehe Anhang) Habe es nicht zugelassen.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-07-29.02 - Florentine 29.07.2012   8:28.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3037.2015 [GMT -7:00]
ausgeführt von:: c:\users\Florentine\Desktop\ComboFix.exe
AV: Anti-Virus *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
SP: Anti-Virus *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-28 bis 2012-07-29  ))))))))))))))))))))))))))))))
.
.
2012-07-29 15:35 . 2012-07-29 15:35	--------	dc----w-	c:\users\Default\AppData\Local\temp
2012-07-26 06:13 . 2012-07-26 06:13	--------	dc----w-	c:\program files\7-Zip
2012-07-25 14:20 . 2012-07-25 14:20	--------	dc----w-	c:\program files\Malwarebytes' Anti-Malware
2012-07-25 14:20 . 2012-07-03 20:46	22344	-c--a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-23 21:54 . 2012-07-23 21:54	--------	dc----w-	c:\users\Florentine\AppData\Roaming\Malwarebytes
2012-07-23 21:53 . 2012-07-23 21:53	--------	dc----w-	c:\programdata\Malwarebytes
2012-07-22 16:00 . 2012-07-22 16:00	--------	dcsh--w-	c:\windows\system32\%APPDATA%
2012-07-22 15:54 . 2012-07-22 15:56	--------	dc----w-	c:\programdata\036DFF85D2E13686B0CF7996F875F020
2012-07-11 07:44 . 2012-07-11 07:44	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-07-08 06:55 . 2012-07-22 03:21	--------	dc----w-	c:\users\Florentine\AppData\Roaming\pdfforge
2012-07-08 06:54 . 1998-06-24 08:00	137000	-c--a-w-	c:\windows\system32\MSMAPI32.OCX
2012-07-08 06:54 . 2012-07-05 20:02	81920	-c--a-w-	c:\windows\system32\pdfcmon.dll
2012-07-08 06:54 . 2004-03-09 08:00	662288	-c--a-w-	c:\windows\system32\MSCOMCT2.OCX
2012-07-08 06:54 . 2012-07-08 06:55	--------	dc----w-	c:\program files\PDFCreator
2012-07-08 06:54 . 1998-07-07 01:56	125712	-c--a-w-	c:\windows\system32\VB6DE.DLL
2012-07-08 06:54 . 1998-07-07 01:55	158208	-c--a-w-	c:\windows\system32\MSCMCDE.DLL
2012-07-08 06:54 . 1998-07-07 01:55	64512	-c--a-w-	c:\windows\system32\MSCC2DE.DLL
2012-07-08 06:54 . 1998-07-06 08:00	23552	-c--a-w-	c:\windows\system32\MSMPIDE.DLL
2012-07-07 16:29 . 2012-07-07 16:29	--------	dc----w-	c:\users\Florentine\AppData\Local\Macromedia
2012-07-02 15:26 . 2012-07-08 06:55	--------	dc----w-	c:\program files\Application Updater
2012-07-02 15:26 . 2012-07-08 06:55	--------	dc----w-	c:\program files\Common Files\Spigot
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-22 16:04 . 2012-03-31 14:54	426184	-c--a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-22 16:04 . 2011-11-11 07:39	70344	-c--a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-27 15:58 . 2012-06-27 15:22	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-27 15:58 . 2012-06-27 15:22	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-27 15:58 . 2012-06-27 15:22	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-27 15:23 . 2012-06-27 15:22	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-27 15:23 . 2012-06-27 15:22	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-27 15:23 . 2012-06-27 15:22	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-27 15:23 . 2012-06-27 15:22	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-27 15:23 . 2012-06-27 15:22	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-27 15:23 . 2012-06-27 15:22	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-18 06:54 . 2012-05-23 06:35	44184	-c--a-w-	c:\windows\system32\drivers\fsbts.sys
2012-06-13 16:25 . 2012-06-13 16:15	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 16:25 . 2012-06-13 16:15	981504	----a-w-	c:\windows\system32\wininet.dll
2012-06-13 16:25 . 2012-06-13 16:15	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2012-06-13 16:24 . 2012-06-13 16:14	2342400	----a-w-	c:\windows\system32\msi.dll
2012-06-13 16:24 . 2012-06-13 16:14	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-13 16:24 . 2012-06-13 16:14	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-13 16:24 . 2012-06-13 16:14	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 16:24 . 2012-06-13 16:14	164352	----a-w-	c:\windows\system32\profsvc.dll
2012-06-13 16:24 . 2012-06-13 16:14	140288	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 16:24 . 2012-06-13 16:14	1158656	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 16:24 . 2012-06-13 16:14	103936	----a-w-	c:\windows\system32\cryptnet.dll
2012-05-09 03:56 . 2012-05-09 02:23	1291632	----a-w-	c:\windows\system32\drivers\tcpip.sys
2012-05-09 03:56 . 2012-05-09 02:23	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-09 03:56 . 2012-05-09 02:23	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-09 03:52 . 2012-05-09 02:23	56176	----a-w-	c:\windows\system32\drivers\partmgr.sys
2012-05-09 03:52 . 2012-05-09 02:23	1077248	----a-w-	c:\windows\system32\DWrite.dll
2009-12-01 11:01 . 2009-12-20 19:59	7919008	-c--a-w-	c:\program files\Firefox Setup 3.5.5.exe
2012-07-17 15:58 . 2012-01-02 10:14	136672	-c--a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2011-05-09 1174016]
"Orb"="c:\program files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]
"Akamai NetSession Interface"="c:\users\Florentine\AppData\Local\Akamai\netsession_win.exe" [2012-05-26 4327744]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-31 13797992]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-19 7711264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-14 1541416]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-02-25 218408]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-07-11 74752]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2516296]
"CanonSolutionMenuEx"="c:\program files\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-21 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"F-Secure Manager"="c:\program files\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE" [2012-03-15 311976]
"SearchSettings"="c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe" [2012-06-27 1090440]
"F-Secure Hoster (666)"="c:\program files\F-Secure\fshoster32.exe" [2012-05-22 163536]
.
c:\users\Florentine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Florentine\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
Hardcopy.LNK - c:\program files\Hardcopy\hardcopy.exe [2009-12-26 1311744]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
 WinCinema Manager.lnk - c:\program files\Sandisk\Common\Bin\WinCinemaMgr.exe [2012-4-23 303104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 bfturboh;BUFFALO TurboUSB for HD Filter;c:\windows\system32\drivers\bfturboh.sys [x]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [x]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [x]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [x]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [x]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [x]
S1 fsvista;F-Secure Vista Support Driver;c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsvista.sys [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [x]
S2 fshoster;F-Secure Dll Hoster;c:\program files\F-Secure\fshoster32.exe [x]
S2 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\apps\CCF_Reputation\fsorsp.exe [x]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-771618654-3341757510-301361698-1001Core.job
- c:\users\Florentine\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-12 17:32]
.
2012-07-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-771618654-3341757510-301361698-1001UA.job
- c:\users\Florentine\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-12 17:32]
.
2012-07-29 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\F-Secure\apps\COMPUT~1\ANTI-V~1\fsav.exe [2012-05-23 16:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.linkury.com/newtab.html
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>;*.local
uSearchAssistant = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Florentine\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{2FE3ED8C-26DD-44B9-882C-AE56BF3DACA5}: NameServer = 193.189.244.225 193.189.244.206
FF - ProfilePath - c:\users\Florentine\AppData\Roaming\Mozilla\Firefox\Profiles\lqtw2ek1.default\
FF - prefs.js: browser.search.selectedEngine - Linkury Smartbar Search
FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/120243-...tml#post872345
FF - prefs.js: keyword.URL - hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:7317400059&cof=FORID:11&sa=Search&siteurl=search.linkury.com&q=
FF - prefs.js: network.proxy.ftp - 192.168.0.1
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 192.168.0.1
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 192.168.0.1
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 192.168.0.1
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 192.168.0.1
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\fshoster]
"ImagePath"="\"c:\program files\F-Secure\fshoster32.exe\" -hosterid:0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_4f7fccd.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3972)
c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\FSGK32.EXE
c:\windows\system32\nvvsvc.exe
c:\program files\F-Secure\apps\ComputerSecurity\Common\FSMA32.EXE
c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\fssm32.exe
c:\program files\F-Secure\apps\ComputerSecurity\FWES\Program\fsdfwd.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\taskhost.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-29  08:43:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-29 15:43
.
Vor Suchlauf: 10 Verzeichnis(se), 117.211.906.048 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 117.268.541.440 Bytes frei
.
- - End Of File - - CAB45140C1F534025F93636BDA73903B
         

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier der kurz und knackige Code

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe	a variant of Win32/Toolbar.Widgi application
C:\Qoobox\Quarantine\C\Windows\system32\Drivers\dfsc.sys.vir	Win32/Sirefef.DA trojan
C:\Users\Florentine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\97fea4d-284bd5c8	a variant of Java/Exploit.CVE-2012-1723.Q trojan
C:\Windows\Installer\57bd5.msi	a variant of Win32/Toolbar.Widgi application
C:\Windows\System32\sysprep\CRYPTBASE.dll_	Win32/Sirefef.EY trojan
         

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\Windows\System32\sysprep\CRYPTBASE.dll_
           

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Bingo

https://www.virustotal.com/file/834a1164d230969201dbe982f6b551a769543b7489f22c91cf3c81521809f484/analysis/1343973008/

Danke für deine Hilfe
Gruß,
F.

Hy, muss da schnell mal was abklären. Melde mich so bald als möglich wieder.

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

BleepingComputer.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code: Alles auswählenAufklappen

ATTFilter

File::
C:\Windows\System32\sysprep\CRYPTBASE.dll_
Folder::
C:\Program Files\Common Files\Spigot
ClearJavaCache::
         

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.




ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Ok hier ist das ComboFix file

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-04.02 - Florentine 04.08.2012  11:18:25.3.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3037.2084 [GMT -7:00]
ausgeführt von:: c:\users\Florentine\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Florentine\Desktop\CFScript.txt
AV: Anti-Virus *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
SP: Anti-Virus *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
FILE ::
"c:\windows\System32\sysprep\CRYPTBASE.dll_"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Common Files\Spigot
c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
c:\program files\Common Files\Spigot\Search Settings\wth.dll
c:\windows\System32\sysprep\CRYPTBASE.dll_
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-04 bis 2012-08-04  ))))))))))))))))))))))))))))))
.
.
2012-08-04 18:25 . 2012-08-04 18:42	--------	dc----w-	c:\users\Florentine\AppData\Local\temp
2012-08-04 18:25 . 2012-08-04 18:25	--------	dc----w-	c:\users\Default\AppData\Local\temp
2012-08-01 07:38 . 2012-08-01 07:38	--------	dc----w-	c:\program files\ESET
2012-07-31 03:30 . 2012-07-31 03:30	476976	-c--a-w-	c:\windows\system32\npdeployJava1.dll
2012-07-26 15:01 . 2011-05-09 09:39	78336	-c--a-w-	c:\windows\system32\drivers\dfsc.sys
2012-07-26 06:13 . 2012-07-26 06:13	--------	dc----w-	c:\program files\7-Zip
2012-07-25 14:20 . 2012-07-25 14:20	--------	dc----w-	c:\program files\Malwarebytes' Anti-Malware
2012-07-25 14:20 . 2012-07-03 20:46	22344	-c--a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-23 21:54 . 2012-07-23 21:54	--------	dc----w-	c:\users\Florentine\AppData\Roaming\Malwarebytes
2012-07-23 21:53 . 2012-07-23 21:53	--------	dc----w-	c:\programdata\Malwarebytes
2012-07-22 16:00 . 2012-07-22 16:00	--------	dcsh--w-	c:\windows\system32\%APPDATA%
2012-07-22 15:54 . 2012-07-22 15:56	--------	dc----w-	c:\programdata\036DFF85D2E13686B0CF7996F875F020
2012-07-11 07:44 . 2012-07-11 07:44	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-07-08 06:55 . 2012-07-22 03:21	--------	dc----w-	c:\users\Florentine\AppData\Roaming\pdfforge
2012-07-08 06:54 . 1998-06-24 08:00	137000	-c--a-w-	c:\windows\system32\MSMAPI32.OCX
2012-07-08 06:54 . 2012-07-05 20:02	81920	-c--a-w-	c:\windows\system32\pdfcmon.dll
2012-07-08 06:54 . 2004-03-09 08:00	662288	-c--a-w-	c:\windows\system32\MSCOMCT2.OCX
2012-07-08 06:54 . 2012-07-08 06:55	--------	dc----w-	c:\program files\PDFCreator
2012-07-08 06:54 . 1998-07-07 01:56	125712	-c--a-w-	c:\windows\system32\VB6DE.DLL
2012-07-08 06:54 . 1998-07-07 01:55	158208	-c--a-w-	c:\windows\system32\MSCMCDE.DLL
2012-07-08 06:54 . 1998-07-07 01:55	64512	-c--a-w-	c:\windows\system32\MSCC2DE.DLL
2012-07-08 06:54 . 1998-07-06 08:00	23552	-c--a-w-	c:\windows\system32\MSMPIDE.DLL
2012-07-07 16:29 . 2012-07-07 16:29	--------	dc----w-	c:\users\Florentine\AppData\Local\Macromedia
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-31 03:30 . 2010-07-23 20:07	472880	-c--a-w-	c:\windows\system32\deployJava1.dll
2012-07-22 16:04 . 2012-03-31 14:54	426184	-c--a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-07-22 16:04 . 2011-11-11 07:39	70344	-c--a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-27 15:58 . 2012-06-27 15:22	88576	----a-w-	c:\windows\system32\wudriver.dll
2012-06-27 15:58 . 2012-06-27 15:22	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-27 15:58 . 2012-06-27 15:22	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-27 15:23 . 2012-06-27 15:22	33792	----a-w-	c:\windows\system32\wuapp.exe
2012-06-27 15:23 . 2012-06-27 15:22	171904	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-27 15:23 . 2012-06-27 15:22	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-27 15:23 . 2012-06-27 15:22	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-27 15:23 . 2012-06-27 15:22	2422272	----a-w-	c:\windows\system32\wucltux.dll
2012-06-27 15:23 . 2012-06-27 15:22	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-18 06:54 . 2012-05-23 06:35	44184	-c--a-w-	c:\windows\system32\drivers\fsbts.sys
2012-06-13 16:25 . 2012-06-13 16:15	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-13 16:25 . 2012-06-13 16:15	981504	----a-w-	c:\windows\system32\wininet.dll
2012-06-13 16:25 . 2012-06-13 16:15	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2012-06-13 16:24 . 2012-06-13 16:14	2342400	----a-w-	c:\windows\system32\msi.dll
2012-06-13 16:24 . 2012-06-13 16:14	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-06-13 16:24 . 2012-06-13 16:14	58880	----a-w-	c:\windows\system32\rdpwsx.dll
2012-06-13 16:24 . 2012-06-13 16:14	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-06-13 16:24 . 2012-06-13 16:14	164352	----a-w-	c:\windows\system32\profsvc.dll
2012-06-13 16:24 . 2012-06-13 16:14	140288	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 16:24 . 2012-06-13 16:14	1158656	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 16:24 . 2012-06-13 16:14	103936	----a-w-	c:\windows\system32\cryptnet.dll
2012-05-09 03:56 . 2012-05-09 02:23	1291632	----a-w-	c:\windows\system32\drivers\tcpip.sys
2012-05-09 03:56 . 2012-05-09 02:23	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-09 03:56 . 2012-05-09 02:23	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-09 03:52 . 2012-05-09 02:23	56176	----a-w-	c:\windows\system32\drivers\partmgr.sys
2012-05-09 03:52 . 2012-05-09 02:23	1077248	----a-w-	c:\windows\system32\DWrite.dll
2009-12-01 11:01 . 2009-12-20 19:59	7919008	-c--a-w-	c:\program files\Firefox Setup 3.5.5.exe
2012-07-17 15:58 . 2012-01-02 10:14	136672	-c--a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	-c--a-w-	c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2011-05-09 1174016]
"Orb"="c:\program files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-31 13797992]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-19 7711264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-14 1541416]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-02-25 218408]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-07-11 74752]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-25 2516296]
"CanonSolutionMenuEx"="c:\program files\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-21 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"F-Secure Manager"="c:\program files\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE" [2012-03-15 311976]
"F-Secure Hoster (666)"="c:\program files\F-Secure\fshoster32.exe" [2012-05-22 163536]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
c:\users\Florentine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Florentine\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
Hardcopy.LNK - c:\program files\Hardcopy\hardcopy.exe [2009-12-26 1311744]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
 WinCinema Manager.lnk - c:\program files\Sandisk\Common\Bin\WinCinemaMgr.exe [2012-4-23 303104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 bfturboh;BUFFALO TurboUSB for HD Filter;c:\windows\system32\drivers\bfturboh.sys [x]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [x]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [x]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [x]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [x]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [x]
S1 fsvista;F-Secure Vista Support Driver;c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsvista.sys [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 fshoster;F-Secure Dll Hoster;c:\program files\F-Secure\fshoster32.exe [x]
S2 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\apps\CCF_Reputation\fsorsp.exe [x]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-771618654-3341757510-301361698-1001Core.job
- c:\users\Florentine\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-12 17:32]
.
2012-08-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-771618654-3341757510-301361698-1001UA.job
- c:\users\Florentine\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-12 17:32]
.
2012-08-04 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\F-Secure\apps\COMPUT~1\ANTI-V~1\fsav.exe [2012-05-23 16:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.linkury.com/newtab.html
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>;*.local
uSearchAssistant = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Florentine\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{2FE3ED8C-26DD-44B9-882C-AE56BF3DACA5}: NameServer = 193.189.244.225 193.189.244.206
FF - ProfilePath - c:\users\Florentine\AppData\Roaming\Mozilla\Firefox\Profiles\lqtw2ek1.default\
FF - prefs.js: browser.search.selectedEngine - Linkury Smartbar Search
FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/120243-...tml#post872345
FF - prefs.js: keyword.URL - hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:7317400059&cof=FORID:11&sa=Search&siteurl=search.linkury.com&q=
FF - prefs.js: network.proxy.ftp - 192.168.0.1
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 192.168.0.1
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 192.168.0.1
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 192.168.0.1
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 192.168.0.1
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Akamai NetSession Interface - c:\users\Florentine\AppData\Local\Akamai\netsession_win.exe
HKLM-Run-SearchSettings - c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\fshoster]
"ImagePath"="\"c:\program files\F-Secure\fshoster32.exe\" -hosterid:0"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2216)
c:\users\Florentine\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\FSGK32.EXE
c:\program files\F-Secure\apps\ComputerSecurity\Common\FSMA32.EXE
c:\program files\F-Secure\apps\ComputerSecurity\Anti-Virus\fssm32.exe
c:\program files\F-Secure\apps\ComputerSecurity\FWES\Program\fsdfwd.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\taskhost.exe
c:\program files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\program files\Samsung\Samsung Update Plus\SUPBackground.exe
c:\windows\system32\conhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-04  11:45:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-04 18:45
ComboFix2.txt  2012-07-29 15:43
.
Vor Suchlauf: 11 Verzeichnis(se), 114.532.102.144 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 114.566.926.336 Bytes frei
.
- - End Of File - - 9E8A1E2B55A54668D82BA76326BEF774
         

und Eset

Code: Alles auswählenAufklappen

ATTFilter

C:\Qoobox\Quarantine\C\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe.vir	a variant of Win32/Toolbar.Widgi application
C:\Qoobox\Quarantine\C\Windows\system32\Drivers\dfsc.sys.vir	Win32/Sirefef.DA trojan
C:\Qoobox\Quarantine\C\Windows\system32\sysprep\CRYPTBASE.dll_.vir	Win32/Sirefef.EY trojan
C:\Windows\Installer\57bd5.msi	a variant of Win32/Toolbar.Widgi application
         

Danke und bis bald
F.

Noch Probleme ?

Jetzt wo du es sagst...
Es sieht ziemlich gut aus. Habe jetzt auch endlich die 'downloadnsave' malware entfernt, die mir auf jeder Internetseite begegnet ist. Ich habe die Cookies gelöscht und die Einstellungen im Flashplayer geändert, da hat er sich versteckt.
Das Einzige was mir noch zu meinem Glück fehlt, ist von dem Programm 'TextEnhance' wegzukommen. Dieses baut im Internet Links in Texte ein, was unglaublich nervig und vermutlich auch nicht ganz sicher für meinen Datenverkehr ist. Foren empfehlen das Ding einfach in den Add-ons zu entfernen, aber da habe ich meiner Meinung nach nichts, was nicht hingehört. Hast du vielleicht noch eine Idee?
Kann ich ansonsten gmer, combofix und otl und die entsprechenden Daten von meinem Desktop entfernen? Muss ich irgendwelche Einstellungen anpassen, die wir für die Scans deaktiviert haben?
Vielen Dank Daniel für deine Hilfe! Ich werde mich bei TB erkenntlich zeigen.

Och je, und 'downloadnsave' ist doch wieder da. Es erscheint bei einer beliebigen Website, ist ein Icon was sich an die rechte obere Leiste hängt, und '2 Coupons' sagt, und wenn man mit der Maus zufällig drüber geht, wird es größer und bietet mir irgendwelche Deals an. Oder es fügt Werbung mit Bildern in die Website ein. Hast du eine Idee? Wenn ich Textenhance oder downloadnsave auf meinem PC suche, findet er keine solche Daten...

Hier ein Beispiel mit beiden Bösewichten, links im Text 'textenhance' und unter dem Bild Werbung mit dem Link zu 'downloadnsave'.

Kommt das mit dem IE auch ?

Nee, da kommt es nicht.

Firefox neu installieren. Ist die einfachste und schnellste Lösung.

Danke, habe ich gemacht und es ist weg!
Habe bei der Übersicht der Programme in der Systemsteuerung ein Programm gefunden, über das ich mir nicht ganz sicher bin. Es ist der 'RPG Maker Fonts', anscheinend zum VideoGame basteln, ich kann mich nicht erinnern es jemals runtergeladen zu haben und deinstallieren kann ich es auch nicht, nur 'reparieren'. Unter Herausgeber steht <no manufacturer>. Soll ich es reparieren, um es dann zu deinstallieren?