Hallo t'john,

das Java-Update ist durch.

Sehr gut!

damit bist Du sauber und entlassen!


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

• Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
• temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Hallo t'john,

Sicherheitszonen waren unangetastet genau so, wie empfohlen. Für alle Fälle drüber gebügelt.

CCleaner hat den üblichen Müll entfernt.

Nur das hier schafft CCleaner nicht :
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Behauptet, dass der Schlüssel gelöscht wurde, ist aber immer noch da.
Direkt in der Registry versucht, Antwort :
Kann nicht gelöscht werden: Fehler beim Löschen des Schlüssels
Auch nach Neustart. Ein Systemschlüssel, den CCleaner "ausversehen" anzeigt ?!

Folgender Consolenbefehl ist immer noch aktuell (der Schlüssel ändert sich jedes Mal) :

Code: Alles auswählenAufklappen

ATTFilter

\??\C:\Windows\system32\conhost.exe "2065635018-855371995324663614330752441294901043-1448008018-79274460-1617273886
         

Parent ist csrss.exe unter System-Benutzer. Diesen Consolen-Eintrag verfolge ich schon seit Monaten. Die laufende Konsole lässt sich mit Adminrechten stoppen und bleibt weg bis zum nächsten Neustart. Keiner weiß, was das genau ist oder es interessiert Niemanden. Mark Russinovich wäre wohl eine Nummer zu hoch gegriffen

So, und gleich acker ich mich durch die empfohlene Lektüre.

Herzlichen Dank!

---------8x-----------------------------------------------------------
*Snip* - Anderes Thema

In meiner jetzigen Arbeit komme ich nicht dazu mich weiterzubilden. Wäre Eure Akademie was für mich ? Meine Freizeit ist allerdings so knapp bemessen, dass ich so einen Job wie hier im Forum rein zeittechnisch nicht gebacken bekomme. Ich habe gerade fast meinen ganzen Urlaub für mein Problem hier verbracht.

mfG
Piglet

http://www.trojaner-board.de/86087-8...9-problem.html


Wir schauen nochmal:

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo t'john,

hier die ComboFix.txt :

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-08-05.02 - Vosla 05.08.2012  13:18:40.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.8191.6741 [GMT 2:00]
ausgeführt von:: c:\users\Vosla\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\programdata\ntuser.dat
c:\users\Vosla\AppData\Local\lame_enc.dll
c:\users\Vosla\AppData\Local\no23xwrapper.dll
c:\users\Vosla\AppData\Local\ogg.dll
c:\users\Vosla\AppData\Local\vorbis.dll
c:\users\Vosla\AppData\Local\vorbisenc.dll
c:\users\Vosla\AppData\Local\vorbisfile.dll
c:\users\Vosla\patch.exe
c:\windows\IsUn0407.exe
c:\windows\SwSys1.bmp
c:\windows\SwSys2.bmp
c:\windows\SysWow64\eventmgr.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-05 bis 2012-08-05  ))))))))))))))))))))))))))))))
.
.
2012-08-05 11:23 . 2012-08-05 11:23	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-08-05 08:51 . 2012-08-05 08:51	--------	d-----w-	c:\program files\CCleaner
2012-08-05 08:32 . 2012-08-05 08:32	--------	d-----w-	c:\program files (x86)\Common Files\Java
2012-08-05 08:31 . 2012-08-05 08:31	--------	d-----w-	c:\program files (x86)\Oracle
2012-08-05 08:31 . 2012-07-05 20:06	772544	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2012-08-04 15:11 . 2012-08-04 15:17	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-08-03 20:55 . 2012-08-03 20:55	--------	d-----r-	C:\Sandbox
2012-08-03 20:54 . 2012-08-03 20:54	--------	d-----w-	c:\program files\Sandboxie
2012-08-03 10:08 . 2012-08-03 10:08	--------	d-----w-	c:\windows\Sun
2012-08-03 09:30 . 2012-06-29 10:04	9133488	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9E9C83A1-110B-4AF1-85DB-9007E4F627FB}\mpengine.dll
2012-07-10 17:19 . 2012-06-12 03:08	3148800	----a-w-	c:\windows\system32\win32k.sys
2012-07-10 17:12 . 2012-06-09 05:43	14172672	----a-w-	c:\windows\system32\shell32.dll
2012-07-09 18:20 . 2012-07-09 18:20	--------	d-----w-	c:\program files (x86)\Lame For Audacity
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-29 08:02 . 2012-04-11 13:37	426184	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-29 08:02 . 2011-11-23 12:59	70344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-10 17:16 . 2011-11-23 08:27	59701280	----a-w-	c:\windows\system32\MRT.exe
2012-07-05 20:06 . 2011-11-22 00:42	687544	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-07-03 11:46 . 2012-06-22 17:07	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-02 22:19 . 2012-06-21 16:57	38424	----a-w-	c:\windows\system32\wups.dll
2012-06-02 22:19 . 2012-06-21 16:58	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 22:19 . 2012-06-21 16:58	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 22:19 . 2012-06-21 16:58	44056	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 22:19 . 2012-06-21 16:57	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 22:15 . 2012-06-21 16:58	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-06-02 22:15 . 2012-06-21 16:57	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-06-02 13:19 . 2012-06-21 16:57	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-06-02 13:15 . 2012-06-21 16:57	36864	----a-w-	c:\windows\system32\wuapp.exe
2012-05-31 10:25 . 2010-11-21 03:27	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-05-08 18:24 . 2011-11-21 20:43	98848	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-08 18:24 . 2011-11-21 20:43	132832	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	94208	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2011-04-14 113288]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
OnlineControl.lnk - c:\program files (x86)\OnlineControl\ocontrol.exe [2011-11-30 126976]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
AML Device Install.lnk - c:\program files (x86)\AMD AVT\bin\kdbsync.exe [2012-1-31 10752]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 AODDriver4.1;AODDriver4.1;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2012-01-03 55936]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\DRIVERS\ivusb.sys [2010-07-28 29720]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 VBoxUSB;VirtualBox USB;c:\windows\system32\Drivers\VBoxUSB.sys [2011-12-19 117040]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2012-03-09 1255736]
R4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-29 250056]
R4 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2011-11-21 79360]
R4 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2011-11-21 79360]
R4 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-19 113120]
R4 Sound Blaster X-Fi MB Licensing Service;Sound Blaster X-Fi MB Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\XMBLicensing.exe [2011-11-21 79360]
R4 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-03-19 2666880]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 27760]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2011-12-19 224048]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2011-12-19 130864]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-02-15 235520]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2012-02-14 361984]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2012-01-03 55936]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2012-02-15 10856960]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2012-02-15 327680]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-12-05 95248]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2011-04-13 87552]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2011-04-13 207872]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-12-19 146736]
S3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2011-12-19 165680]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-11-25 1276928]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 08:02]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AutorunsDisabled\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-02-15 00:32	97792	----a-w-	c:\users\Vosla\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.2.254
FF - ProfilePath - c:\users\Vosla\AppData\Roaming\Mozilla\Firefox\Profiles\9zpfejn4.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Fallout Tactics - c:\windows\IsUn0407.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:b6,39,5a,65,e1,b9,cc,01
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,01,ef,1d,f5,11,0a,f3,4c,af,81,38,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,01,ef,1d,f5,11,0a,f3,4c,af,81,38,\
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*6*ÛƒßJ]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*6*ÛƒßJ\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*9*[fÞM]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*9*[fÞM\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*9*0²+J]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*9*0²+J\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:90,2c,9f,d4,6f,b6,9e,41,f9,a6,f6,42,f3,e5,ff,78,e1,fe,21,a3,bf,d4,ca,
   4d,98,29,cf,7c,c6,6b,95,10,db,35,d6,d6,94,5a,8c,9d,0d,31,76,cb,59,e1,2b,59,\
"??"=hex:21,71,45,6d,38,82,52,c7,ea,6c,da,a0,4d,b9,cc,7c
.
[HKEY_USERS\S-1-5-21-2356675643-2569251998-186537470-1001\Software\SecuROM\License information*]
"datasecu"=hex:0b,be,74,6f,91,02,da,d2,4f,f1,62,03,42,a3,b4,2e,30,51,d3,06,04,
   1a,4e,c3,bc,9f,4e,45,00,90,88,67,df,1a,1d,ad,01,90,ad,08,b0,a6,ec,48,4e,3a,\
"rkeysecu"=hex:44,f2,29,2e,d4,ad,f6,0f,94,8b,45,a6,84,d9,43,3a
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Creative\Shared Files\CTAudSvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-08-05  13:29:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-08-05 11:29
.
Vor Suchlauf: 8.227.758.080 Bytes frei
Nach Suchlauf: 8.037.597.184 Bytes frei
.
- - End Of File - - 4AF617B2F37471FD46BE9DB585304287
         

und hier Add-Remove Programs.txt:

Code: Alles auswählenAufklappen

ATTFilter

ACDSee 5.0 Standard
Adobe Flash Player 11 Plugin
Adobe Reader 9.5.1
AMD VISION Engine Control Center
ASRock IES v2.0.84
µTorrent
Audacity 2.0
Avira Free Antivirus
calibre
Catalyst Control Center - Branding
Catalyst Control Center Graphics Previews Common
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
Crusader No Remorse
Crysis(R)
Cube
Darwinia
Day of Defeat: Source
DIEW - Dokumentenmanagement
Doom 3
Dropbox
Dungeons of Dredmor
Fallout 2
Fallout 3
Fallout 3 - The Garden of Eden Creation Kit
Fallout Mod Manager 0.13.21
Fallout Tactics
Far Cry
Far Cry (Patch 1.4)
FileZilla Client 3.2.7.1
Greed: Black Border
Hack, Slash, Loot
Half-Life Decay PC 1.0
Half-Life Model Viewer 1.25
HydraVision
Java Auto Updater
Java(TM) 7 Update 5
JavaFX 2.1.1
LAME v3.99.3 (for Windows)
Legend of Grimrock
Malwarebytes Anti-Malware Version 1.62.0.1300
Manic Digger
Mass Effect
Mass Effect 2
Matto4
Matto4 Patch 1.1
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft GIF Animator
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
Microtek ScanWizard
ModPlug Player
Mozilla Firefox 14.0.1 (x86 de)
Mozilla Maintenance Service
Mozilla Thunderbird 14.0 (x86 de)
No23 Recorder
Notepad++
NVIDIA PhysX
Oblivion
One Unit Whole Blood
OnlineControl 1.2
OpenAL
OpenOffice.org 3.4
Paint Shop Pro 5.03 CD
Platform
Portal 2
RAD Video Tools
RAGE
Red Faction Guerrilla
Red Faction: Guerrilla
Redneck Rampage Collection
Renesas Electronics USB 3.0 Host Controller Driver
S.T.A.L.K.E.R. - Call Of Pripyat [v1.6.01]
S.T.A.L.K.E.R. - Clear Sky
S.T.A.L.K.E.R. - Shadow of Chernobyl [v1.0006]
Sauerbraten
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Sound Blaster X-Fi MB
Star Wars Battlefront
Star Wars Jedi Knight Jedi Academy
Steam
Stonekeep
TeamSpeak 3 Client
TeamViewer 7
Tyrian 2000
Unreal Tournament 3 (LG)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
VIA Plattform-Geräte-Manager
VLC media player 2.0.1
Winamp (nur entfernen)
WinMend File Copy 1.3.7.1
X-Tension v2.2
         

Soll ich nach Abschluss von Combofix den Rechner nochmal neustarten ?
Momentan lassen sich vom Desktop keine Programme starten.

Ja, Neustarten.

Sieht alles gut aus soweit.


Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen

=> dort reinschreiben

ComboFix /Uninstall => Enter drücken

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Combofix deinstalliert.
Rechner neu gestartet.
Gewohnte Darstellung wiederhergestellt.
Sieht soweit OK aus.


Der Consoleneintrag bleibt, da muss ich wohl mal weiter in Foren herumwühlen, was der zu bedeuten hat. Irgendwas startet diese Console und dann hängt sie da so rum, ohne Fenster, ohne Aktivität, immer eine PID unter 1000, jedes Mal mit scheinbar zufälligen Parametern hinten dran, z.B. :

"-1127248095190531596-820996382-1640972547-41542288139727988-1559035964-2135217675

Was soll so ein Parameter überhaupt sein ?


Sollte ich mit solchen detailierten Fragen lieber in ein anderes Unterforum hier gehen, weil hier in der "Notaufnahme" für so was keine Zeit ist ? Wenn ja, welches ?