Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.22.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
x*** :: x***-PC [Administrator]

Schutz: Aktiviert

25.11.2012 21:51:27
mbam-log-2012-11-25 (21-51-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327077
Laufzeit: 2 Stunde(n), 59 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 15
HKCR\CLSID\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\qtvglped.bwom (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\qtvglped.ToolBar.1 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\TYPELIB (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\mwc (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorertoolbar (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\System\CurrentControlSet\Services\iTunesMusic (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\PC-Antispyware (Rogue.PCAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\System\CurrentControlSet\Services\Windows Management Service (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 11
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656A137-B161-CADD-9777-E37A75727E78} (Fake.Dropped.Malware) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler|{0656A137-B161-CADD-9777-E37A75727E78} (Fake.Dropped.Malware) -> Daten: 748 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6A6EAE1B-4AD6-4035-974D-504D6DBAA9C3} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.securewebinfo.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.safetyincludes.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow|*.securemanaging.com (Trojan.Zlob) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cmds (Malware.Trace) -> Daten: rundll32.exe C:\Users\Norbert\AppData\Local\Temp\qoMGvUol.dll,c -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|SystemCheck2 (Trojan.Agent) -> Daten: 748 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|omlbpkaw (Trojan.FakeAlert) -> Daten: {8EA447CA-94D3-4D7B-AABA-337A9C056D02} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|pmsoarbf (Trojan.FakeAlert) -> Daten: {75623997-54CC-46F2-A4BE-E05A748A48BE} -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 5
C:\Program Files\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMYDVD (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPack (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\mslagent (Adware.EGDAccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Windows\system32msgp.exe (Trojan.Ardamax) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\system32mtr2.exe (Trojan.Ardamax) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\a.bat (Fake.Dropped.Malware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Norbert\AppData\Roaming\msconfig.ini (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlayMYDVD\Uninstall.lnk (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPack\Uninstall.lnk (Trojan.DNSChanger) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Leider habe ich die Quarantäne bereits gelöscht und den Hinweis, dass man das nicht machen soll zu spät gelesen.

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Hast du noch weitere Logs von Malwarebytes oder anderen Virenscannern? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Hallo,

so richtige Logs habe ich nicht. Aber der Microsoft Security Essentials hat bei seiner letzten automatischen Überprüfung folgende zwei Trojaner in Quarantäne gestellt:

[code 1]
Kategorie: Trojaner

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Elemente:
file:C:\Users\x***\AppData\Roaming\msconfig.dat
winlogonshell:HKCU@S-1-5-21-3623133114-638740313-430360502-1000\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\\SHELL:C:\Users\x***\AppData\Roaming\msconfig.dat
[code1]

[code2]
Kategorie: Trojaner

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Elemente:
file:C:\Users\x***\ms.exe
[code2]

Soll ich diese entfernen?

Bitte die CODE-Tags richtig schreiben
Es gibt keine code1 oder code2 Tags, die nennen sich einfasch nur "CODE" und dafür gibt es sogar extra einen Button über dem Textfeld, der mit # beschriftet ist

Zitat:

Soll ich diese entfernen?

Ja bitte

Bitte anschließend Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.