Firewall und MSE lassen sich nicht mehr aktivieren Fehlercode: ,,0x80070424,,

Tectrek · 09.08.2012, 19:15

Ok, ok, ok aber was nun tun ?

cosinus · 10.08.2012, 21:10

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Tectrek · 11.08.2012, 16:46

Ok hier die Logs:
Von GMER:
[code]

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-11 17:36:52
Windows 6.1.7601 Service Pack 1 
Running: 96xnmx0q.exe


---- Registry - GMER 1.0.15 ----

Reg  HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Max.Glei\x00afberg-PC\Desktop\ComboFix.exe  1

---- EOF - GMER 1.0.15 ----

--- --- ---

Und von OSAM:

Code:

ATTFilter

OSAM Logfile:

	Code: 

 ATTFilter

  
	Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:44:48 on 11.08.2012

OS: Windows 7 Home Premium Edition Service Pack 1 (Build 7601), 64-bit
Default Browser: Google Inc. Google Chrome 21.0.1180.60

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GlaryInitialize.job" - "Glarysoft Ltd" - C:\Program Files (x86)\Glary Utilities\initialize.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Pando" - "Pando Networks" - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"EagleX64" (EagleX64) - ? - C:\Windows\system32\drivers\EagleX64.sys  (File not found)
"Gun" (Gun) - ? - C:\Game\SoftnyxGame\GunBoundIS\Gun64.sys  (File found, but it contains no detailed information)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys
"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)
"NPPTNT2" (NPPTNT2) - ? - C:\Windows\system32\npptNT2.sys  (File not found)
"SCDEmu" (SCDEmu) - "PowerISO Computing, Inc." - C:\Windows\system32\drivers\SCDEmu.sys
"StarForce Protection Environment Driver (version 1.x)" (sfdrv01) - "Protection Technology (StarForce)" - C:\Windows\System32\drivers\sfdrv01.sys
"StarForce Protection Helper Driver (version 2.x)" (sfhlp02) - "Protection Technology (StarForce)" - C:\Windows\System32\drivers\sfhlp02.sys
"StarForce Protection VFS Driver (version 2.x)" (sfvfs02) - "Protection Technology (StarForce)" - C:\Windows\System32\drivers\sfvfs02.sys
"TFsExDisk" (TFsExDisk) - "Teruten Inc" - C:\Windows\System32\Drivers\TFsExDisk.sys
"X6va008" (X6va008) - ? - C:\Windows\SysWOW64\Drivers\X6va008  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{2C7339CF-2B09-4501-B3F3-F3508C9228ED} "Themes Setup" - "Microsoft Corporation" - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
{03C514A3-1EFB-4856-9F99-10D7BE1653C0} "Windows Live Mail HTML Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{72923739-5A47-40A3-9895-25AF0DFBB9E4} "Glary Utilities Context Menu Shell Extension" - "Glarysoft Ltd" - C:\PROGRA~2\GLARYU~1\CONTEX~1.DLL
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files (x86)\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~2\MICROS~4\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~2\MICROS~4\OFFICE11\OLKFSTUB.DLL
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~2\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files (x86)\WinRAR\rarext.dll  (File found, but it contains no detailed information)
{B41DB860-64E4-11D2-9906-E49FADC173CA} "WinRAR shell extension" - ? -   (File not found | COM-object registry key not found)
{0563DB41-F538-4B37-A92D-4659049B7766} "WLMD Message Handler" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
ITBar7Height64 "ITBar7Height64" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.7.0_03" - "Oracle Corporation" - C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.7.0_03" - "Oracle Corporation" - C:\Program Files (x86)\Java\jre7\bin\ssv.dll / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 10.3.1" - "Oracle Corporation" - C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~2\MICROS~4\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} "FireShot" - ? - C:\Users\Max.Gleißberg-PC\AppData\Roaming\Mozilla\Firefox\Profiles\vohy5x3p.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.93.dll  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Oracle Corporation" - C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID-Anmelde-Hilfsprogramm" - "Microsoft Corp." - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Max.Gleißberg-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"ZMatrix.lnk" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ZMatrix.lnk  (Shortcut exists | File not found)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Akamai NetSession Interface" - "Akamai Technologies, Inc" - "C:\Users\Max.Gleißberg-PC\AppData\Local\Akamai\netsession_win.exe"
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Shell" - "Microsoft Corporation" - C:\Windows\Explorer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"AdobeCS5.5ServiceManager" - "Adobe Systems Incorporated" - "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
"HP Software Update" - "Hewlett-Packard" - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
"PWRISOVM.EXE" - "PowerISO Computing, Inc." - C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
"SwitchBoard" - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"CUSTPDF Writer Monitor x86" - ? - C:\Windows\system32\custmon64i.dll  (File found, but it contains no detailed information)
"HP Discovery Port Monitor (HP Deskjet 3050 J610 series)" - "Hewlett-Packard Co." - C:\Windows\system32\HPDiscoPM9311.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@%ProgramFiles%\Windows Defender\MsMpRes.dll,-103" (WinDefend) - ? - C:\Program Files (x86)\Windows Defender\mpsvc.dll  (File not found)
"@%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101" (WMPNetworkSvc) - ? - "C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe"  (File not found)
"@%SystemRoot%\System32\themeservice.dll,-8192" (Themes) - "Microsoft Corporation" - C:\Windows\system32\themeservice.dll
"Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
"Akamai NetSession Interface" (Akamai) - "Akamai Technologies, Inc" - c:\program files (x86)\common files\akamai\netsession_win_4f7fccd.dll
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe
"AVG Security Toolbar Service" (AVG Security Toolbar Service) - ? - C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe  (File not found)
"Dragon Age: Origins - Inhaltsupdater" (DAUpdaterSvc) - "BioWare" - C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
"Google Update-Dienst (gupdate)" (gupdate) - "Google Inc." - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
"Hi-Rez Studios Authenticate and Update Service" (HiPatchService) - "Hi-Rez Studios" - C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe
"Hotspot Shield Monitoring Service" (HssWd) - ? - C:\Program Files (x86)\Hotspot Shield\bin\hsswd.exe  (File found, but it contains no detailed information)
"Hotspot Shield Routing Service" (HssSrv) - ? - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X64" (clr_optimization_v4.0.30319_64) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"nProtect GameGuard Service" (npggsvc) - ? - C:\Windows\system32\GameMon.des -service  (File not found)
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe
"NVIDIA Stereoscopic 3D Driver Service" (Stereo Service) - "NVIDIA Corporation" - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
"NVIDIA Update Service Daemon" (nvUpdatusService) - "NVIDIA Corporation" - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"PandoraService" (PanService) - "Pandora.TV" - C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe
"PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe  (File not found)
"Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Program Files (x86)\Skype\Updater\Updater.exe
"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
"SwitchBoard" (SwitchBoard) - "Adobe Systems Incorporated" - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
"Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - ? - C:\Windows\system32\ORBITA~1.SCR  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"NWLink IPX/SPX/NetBIOS Compatible Transport Protocol" - ? - C:\Windows\System32\nwprovau.dll  (File not found)
"WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
"WindowsLive NSP" - "Microsoft Corp." - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"RSVP TCP Service Provider" - ? - C:\Windows\system32\rsvpsp.dll  (File not found)
"RSVP UDP Service Provider" - ? - C:\Windows\system32\rsvpsp.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
 --- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus · 11.08.2012, 19:23

Was ist mit aswMBR?

Tectrek · 11.08.2012, 20:55

Ach sry vergessen hier der Log:

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-08-11 21:04:41
-----------------------------
21:04:41.874    OS Version: Windows x64 6.1.7601 Service Pack 1
21:04:41.874    Number of processors: 2 586 0x170A
21:04:41.875    ComputerName: GLEIßBERG-PC  UserName: Max
21:04:43.559    Initialize success
21:13:17.056    AVAST engine defs: 12081101
21:19:39.481    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
21:19:39.488    Disk 0 Vendor: ST31000528AS CC44 Size: 953869MB BusType: 11
21:19:39.502    Disk 0 MBR read successfully
21:19:39.506    Disk 0 MBR scan
21:19:39.513    Disk 0 Windows 7 default MBR code
21:19:39.525    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
21:19:39.538    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       927142 MB offset 206848
21:19:39.572    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        25600 MB offset 1898993664
21:19:39.590    Disk 0 Partition 4 00     12  Compaq diag NTFS         1025 MB offset 1951422464
21:19:39.649    Disk 0 scanning C:\Windows\system32\drivers
21:19:49.518    Service scanning
21:20:07.102    Modules scanning
21:20:07.115    Disk 0 trace - called modules:
21:20:07.147    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
21:20:07.156    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c3c060]
21:20:07.164    3 CLASSPNP.SYS[fffff880019bb43f] -> nt!IofCallDriver -> [0xfffffa8004819250]
21:20:07.172    5 ACPI.sys[fffff88000fb47a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8004832680]
21:20:08.485    AVAST engine scan C:\Windows
21:20:13.205    AVAST engine scan C:\Windows\system32
21:22:31.646    File: C:\Windows\assembly\GAC_32\Desktop.ini  **INFECTED** Win32:Sirefef-PL [Rtk]
21:22:34.186    File: C:\Windows\assembly\GAC_64\Desktop.ini  **INFECTED** Win32:Sirefef-PL [Rtk]
21:23:41.687    AVAST engine scan C:\Windows\system32\drivers
21:23:54.831    AVAST engine scan C:\Users\Max.Gleißberg-PC
21:32:12.807    File: C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\00000004.@  **INFECTED** Win32:Malware-gen
21:32:12.859    File: C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\000000cb.@  **INFECTED** Win32:Malware-gen
21:32:12.919    File: C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000000.@  **INFECTED** Win32:Malware-gen
21:32:13.018    File: C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000032.@  **INFECTED** Win32:Downloader-PKU [Trj]
21:32:13.074    File: C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000064.@  **INFECTED** Win32:Malware-gen
21:44:27.483    AVAST engine scan C:\ProgramData
21:51:05.115    Scan finished successfully
21:53:51.469    Disk 0 MBR has been saved successfully to "C:\Users\Max.Gleißberg-PC\Desktop\MBR.dat"
21:53:51.474    The log file has been saved successfully to "C:\Users\Max.Gleißberg-PC\Desktop\aswMBR.txt"

cosinus · 11.08.2012, 21:52

Hmpf, ich hab da einige Objekte übersehen

Wir müssen nochmal mit OTL ran:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Code:

ATTFilter

:Files
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\L
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\n
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\@
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Mach bitte nach diesem OTL-Fix auch einen neuen Durchgang mit aswMBR, danach folgen voraussichtlich nur noch Kontrollscans.

Tectrek · 11.08.2012, 23:31

Und da ist der Log:

Code:

ATTFilter

All processes killed
========== FILES ==========
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U folder moved successfully.
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\L folder moved successfully.
File\Folder C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\n not found.
File\Folder C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\@ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gleißberg
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Max
->Temp folder emptied: 0 bytes
 
User: Max-alt
->Temp folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Max.Gleiáberg-PC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Google Chrome cache emptied: 0 bytes
 
User: Max.Gleißberg-PC
->Temp folder emptied: 201269355 bytes
->Temporary Internet Files folder emptied: 134 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 654887092 bytes
->Flash cache emptied: 997 bytes
 
User: Max.Glei�berg-PC
->Temp folder emptied: 0 bytes
 
User: MAX~1~GLE
->Temp folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Ronny
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Sabine
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Sabine-alt
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Thomas
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Thomas-alt
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 627685 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 817,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Gleißberg
->Flash cache emptied: 0 bytes
 
User: Max
 
User: Max-alt
->Flash cache emptied: 0 bytes
 
User: Max.Gleiáberg-PC
 
User: Max.Gleißberg-PC
->Flash cache emptied: 0 bytes
 
User: Max.Glei�berg-PC
 
User: MAX~1~GLE
 
User: Public
 
User: Ronny
 
User: Sabine
->Flash cache emptied: 0 bytes
 
User: Sabine-alt
->Flash cache emptied: 0 bytes
 
User: Thomas
->Flash cache emptied: 0 bytes
 
User: Thomas-alt
->Flash cache emptied: 0 bytes
 
User: UpdatusUser
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.55.0 log created on 08122012_002506

Files\Folders moved on Reboot...
C:\Users\Max.Gleißberg-PC\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Max.Gleißberg-PC\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

cosinus · 12.08.2012, 13:19

Gut - machst du auch bitte ein neues Log mit aswMBR?

Tectrek · 13.08.2012, 06:58

Na klar und hier ist es :

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-08-13 07:13:11
-----------------------------
07:13:11.441    OS Version: Windows x64 6.1.7601 Service Pack 1
07:13:11.441    Number of processors: 2 586 0x170A
07:13:11.442    ComputerName: GLEIßBERG-PC  UserName: Max
07:13:18.183    Initialize success
07:21:33.295    AVAST engine defs: 12081201
07:21:43.336    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
07:21:43.340    Disk 0 Vendor: ST31000528AS CC44 Size: 953869MB BusType: 11
07:21:43.349    Disk 0 MBR read successfully
07:21:43.352    Disk 0 MBR scan
07:21:43.359    Disk 0 Windows 7 default MBR code
07:21:43.372    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
07:21:43.384    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       927142 MB offset 206848
07:21:43.419    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        25600 MB offset 1898993664
07:21:43.436    Disk 0 Partition 4 00     12  Compaq diag NTFS         1025 MB offset 1951422464
07:21:43.471    Disk 0 scanning C:\Windows\system32\drivers
07:21:52.950    Service scanning
07:22:11.073    Modules scanning
07:22:11.086    Disk 0 trace - called modules:
07:22:11.443    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 
07:22:11.451    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c1a630]
07:22:11.460    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa800487c1e0]
07:22:11.467    5 ACPI.sys[fffff88000f937a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8004834680]
07:22:21.977    AVAST engine scan C:\Windows
07:22:26.373    AVAST engine scan C:\Windows\system32
07:26:06.682    AVAST engine scan C:\Windows\system32\drivers
07:26:37.721    AVAST engine scan C:\Users\Max.Gleißberg-PC
07:45:10.943    AVAST engine scan C:\ProgramData
07:55:38.847    Scan finished successfully
07:56:51.769    Disk 0 MBR has been saved successfully to "C:\Users\Max.Gleißberg-PC\Desktop\MBR.dat"
07:56:51.774    The log file has been saved successfully to "C:\Users\Max.Gleißberg-PC\Desktop\aswMBR2.txt"

cosinus · 13.08.2012, 17:31

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

ESET alls dritten Kontrollscan bitte auch ausführen:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Tectrek · 19.08.2012, 09:48

Sry das ich jetzt erst antworte aber immerhin hab ich die Logs

:
Von ESET:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=002657dfdd6c9d49beb2c3c1f62f9eba
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-31 01:06:12
# local_time=2012-07-31 03:06:12 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1024 16777215 100 0 55264935 55264935 0 0
# compatibility_mode=5893 16776574 66 94 35277660 95305363 0 0
# compatibility_mode=8192 67108863 100 0 460 460 0 0
# scanned=861371
# found=43
# cleaned=0
# scan_time=21259
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll	a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe	probably a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\PDFCreator\message.exe	a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\aso3sys.dll	probably a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ASOHelper.dll	a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\RegistryReviver.exe	a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\SendLogs.exe	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\bg\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\cs\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\DA\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\DTCH\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\el\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ENG\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ES\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\fi\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\FR\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\GRMN\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\hu\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\in\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ITLY\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\JA\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\no\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\pt\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ro\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\sv\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\th\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\Reviversoft\Registry Reviver\ZH\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll	a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Max.Gleißberg-PC\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00015d	HTML/Iframe.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\000000cb.@	Win64/Conedex.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000032.@	a variant of Win32/Sirefef.FD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Max.Gleißberg-PC\AppData\Roaming\OpenCandy\OpenCandy_83F6C16F4B7241F5B5B897533DACD919\RegistryReviverSetup-ppi_.exe	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\00000008.@	Win64/Agent.BA trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\000000cb.@	Win64/Conedex.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000032.@	a variant of Win32/Sirefef.FD trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader17614(2).exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader17614.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader47285.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader48960.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
${Memory}	multiple threats	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=002657dfdd6c9d49beb2c3c1f62f9eba
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-19 08:28:51
# local_time=2012-08-19 10:28:51 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 129579 96977916 0 0
# compatibility_mode=8192 67108863 100 0 1673013 1673013 0 0
# scanned=707564
# found=35
# cleaned=0
# scan_time=16864
C:\Program Files (x86)\PDFCreator\message.exe	a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir	Win64/Patched.B.Gen trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\aso3sys.dll	probably a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ASOHelper.dll	a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\RegistryReviver.exe	a variant of Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\SendLogs.exe	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\bg\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\cs\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\DA\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\DTCH\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\el\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ENG\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ES\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\fi\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\FR\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\GRMN\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\hu\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\in\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ITLY\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\JA\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\no\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\pt\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ro\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\sv\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\th\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\Reviversoft\Registry Reviver\ZH\regclean.ini	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll	a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Users\Max.Gleißberg-PC\AppData\Roaming\OpenCandy\OpenCandy_83F6C16F4B7241F5B5B897533DACD919\RegistryReviverSetup-ppi_.exe	Win32/RegistryReviver application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000000.@	Win64/Sirefef.AP trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader17614(2).exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader17614.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader47285.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08042012_140016\C_Windows.old\Users\Max Gleißberg\Downloads\SoftonicDownloader48960.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08122012_002506\C_Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000000.@	Win64/Sirefef.AP trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08122012_002506\C_Windows\assembly\GAC_64\Desktop.ini	Win64/Sirefef.AD trojan (unable to clean)	00000000000000000000000000000000	I

Von Malwarebytes:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Max :: GLEIßBERG-PC [Administrator]

18.08.2012 20:58:56
mbam-log-2012-08-18 (20-58-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 965630
Laufzeit: 3 Stunde(n), 25 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\_OTL\MovedFiles\08042012_140016\C_Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08042012_140016\C_Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08042012_140016\C_Windows\Installer\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000032.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08122012_002506\C_Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08122012_002506\C_Users\Max.Gleißberg-PC\AppData\Local\{f133ba2a-ae86-ceed-75cd-206ecaa4a271}\U\80000032.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08122012_002506\C_Windows\assembly\GAC_32\Desktop.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Und im Anhäng noch der Log von SuperAntiSpyware...

cosinus · 20.08.2012, 17:09

Sieht aus als hätte SUPERAntiSpyware nur Cookies und Fehlalarme, sowie isolierte nun harmlose Schädlinge gefunden (in C:\_OTL und C:\Qoobox, das sind die Q-Ordner von OTL und Combofix)

Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Tectrek · 20.08.2012, 17:49

Probleme habe ich keine mehr und Firewall funktioniert auch noch

cosinus · 21.08.2012, 12:19

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Tectrek · 21.08.2012, 18:04

Ok habe doch noch ein Problem beim versuch Windows zu Updaten kommt der FehlerCode: 80246008

Und bei der Windows Hilfe steht:

1. Klicken Sie hier, um "Verwaltung" zu öffnen.

2. Doppelklicken Sie auf Dienste. Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.

3. Klicken Sie mit der rechten Maustaste auf Intelligenter Hintergrundübertragungsdienst (BITS), und klicken Sie dann auf Eigenschaften.
Und hier ist das Problem da es diesen Dienst nicht gibt...

Habe auch schon versucht mit sfc /scannow zu reparieren und andere Tipps befolgt die es im Internet gab haben alle nichts genützt würde mich auf Hilfe freuen falls du/sie damit schon einmal Bekanntschaft gemacht haben...

11.08.2012, 19:23	#34
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Firewall und MSE lassen sich nicht mehr aktivieren Fehlercode: ,,0x80070424,, Was ist mit aswMBR? __________________ Logfiles bitte immer in CODE-Tags posten

12.08.2012, 13:19	#38
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Firewall und MSE lassen sich nicht mehr aktivieren Fehlercode: ,,0x80070424,, Gut - machst du auch bitte ein neues Log mit aswMBR? __________________ Logfiles bitte immer in CODE-Tags posten

Firewall und MSE lassen sich nicht mehr aktivieren Fehlercode: ,,0x80070424,,

Log-Analyse und Auswertung: Firewall und MSE lassen sich nicht mehr aktivieren Fehlercode: ,,0x80070424,,