Hallo,
ich habe ein Problem mit meiner Windows Firewall und zwar kann ich diese weder ein- noch ausschalten.
Ich arbeite mit einem Asus-Laptop und Windows 7 Home Premium.

Wenn ich auf Start - Systemsteuerung - Windows Firewall gehe kommt ein Bild mit dickem rotem Balken und Firewalleinstellungen aktualisieren, gehe ich auf auf empfohlene Einstellungen kommt die Fehlermeldung: Fehlercode 0x80070424. Gehe ich auf Erweiterter Einstellunge kommt die Fehlermeldung: Fehlercode 0x6D9 (siehe jeweils die Bilder im Anhang).

Ich habe das System geprüft mit Malwarebytes und Avira ohne Meldung, ebenfalls mit den Microsoft Security Essentials, ausserdem mit spypot, search & destroy, den CCleaner hab ich auch durchlaufen lassen, alles ohne Meldungen.

Kann mir geholfen werden? Wo kann der Fehler noch liegen?

Danke und Gruß
Ferdi

Hallo und

Gab es denn jemals Funde von Malwarebytes und/oder anderen Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo, es gab folgendene Funde:

In der Datei 'C:\Users\Surfen im Netz\AppData\Local\Temp\Wq1n8pI.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Reveton.P.40' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Users\Surfen im Netz\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\201b41-47361370-temp'
wurde ein Virus oder unerwünschtes Programm 'TR/Tobfy.G.176' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Nach meinem letzten Suchlauf mit Avira waren die aber weg.

Malwarebytes hatte eh gar nichts gefunden.

Viele Grüße
Ferdi

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo,
und schon einmal Danke für diesen ersten Tip. Scheint als ob Avira und Malwarbytes nicht finden, was Malwarebytes AntiRootKit findet.

Hier die Daten aus dem Logfile vom ersten Scan:

Malwarebytes Anti-Rootkit BETA 1.01.0.1016
Malwarebytes : Free Anti-Malware download

Database version: v2013.01.25.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sven :: PC-PRIVAT [administrator]

25.01.2013 13:53:31
mbar-log-2013-01-25 (13-53-31).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28805
Time elapsed: 17 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 2
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$cc636d1cd1fae4f3cba8589615816827\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$cc636d1cd1fae4f3cba8589615816827\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.

Folders Detected: 6
c:\$Recycle.Bin\S-1-5-18\$cc636d1cd1fae4f3cba8589615816827\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-728472439-255688355-2605315200-1000\$cc636d1cd1fae4f3cba8589615816827\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$cc636d1cd1fae4f3cba8589615816827\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-728472439-255688355-2605315200-1000\$cc636d1cd1fae4f3cba8589615816827\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$cc636d1cd1fae4f3cba8589615816827 (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-728472439-255688355-2605315200-1000\$cc636d1cd1fae4f3cba8589615816827 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 0
(No malicious items detected)

(end)




Es hat sich noch nichts daran geändert, dass die Windows-Firewall Fehlermeldungen abgibt. Das hab ich auch gleich probiert.

Viele Grüsse
ferdi

Du hast ja auch nen ZeroAccess
Machst du onlinebanking mit diesem Rechner?

Was bitte ist ein Zero-Acces, wenn ich einfach mal fragen darf.

Ja ich mache auch Onlinebanking.

Gruß

ZeroAccess ist ein sehr gefährlicher Schädling.
Wenn du OnlineBanking weiterhin unter Windows machen willst, wäre von einer Bereinigung abzuraten, Neuinstallation ist empfohlen.

Ich habe gerade mal ein bisschen nach zeroAccess nachgelesen, sehe hier überall, der geht nur auf 32Bit. Ok, scheint nicht so zu sein.

Also mit dem mbar hab ich den nicht gekillt, sehe ich das richtig?

Es gibt keine sicherer Methode den zu entfernen!
Und weil der so gefährlich ist wird eben von einer Bereinigung abgeraten - verstänlich jetzt?

Wenn es dir aber egal ist bzw. du das Risiko eingehen willst beim Onlinebanken, dann bereinigen wir eben weiter. Aber wundere dich später nicht wenn irgendwas mit deinem Bankkonto irgendwann mal nicht stimmt.

Ok, verstanden, ich lasse Onlinebanking von diesem Rechner und versuche weiter zu Bereinigen

Hab gerade mal geschaut, hab zwar 4 Recovery CD aber ich würde gerne versuchen, ohne komplette Neuinstallation auszukommen. Kannst du mir bei einer weiteren Bereinigung helfen?

Danke schon einmal im Voraus

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo,

so, combofix ist durchgelaufen. Hier das Log:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-01-24.02 - Sven 25.01.2013  16:17:24.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3885.2127 [GMT 1:00]
ausgeführt von:: c:\users\Sven\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\prefs.js
c:\programdata\Ip8n1qW.bat
c:\programdata\Ip8n1qW.pad
c:\users\Sven\AppData\Roaming\ImgBurn.exe
c:\users\Sven\AppData\Roaming\Vosyw
c:\users\Sven\AppData\Roaming\Vosyw\duusp.usa
c:\users\Sven\AppData\Roaming\yuvcodecs-1.3.exe
c:\windows\msvcr71.dll
c:\windows\SysWow64\ChilkatMail_v7_9.dll
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-25 bis 2013-01-25  ))))))))))))))))))))))))))))))
.
.
2013-01-25 14:09 . 2013-01-25 14:09	27256	----a-w-	c:\windows\system32\drivers\FixZeroAccess.sys
2013-01-25 13:47 . 2013-01-25 13:47	116016	----a-w-	c:\windows\system32\drivers\48314303.sys
2013-01-25 13:39 . 2013-01-25 13:39	--------	d-----w-	C:\TDSSKiller_Quarantine
2013-01-25 13:37 . 2013-01-25 13:37	116016	----a-w-	c:\windows\system32\drivers\64065037.sys
2013-01-25 09:13 . 2013-01-08 05:32	9161176	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{7193EC2E-7E0D-404D-94F3-29D6E0E70E40}\mpengine.dll
2013-01-23 13:47 . 2013-01-08 05:32	9161176	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-01-22 11:39 . 2013-01-22 11:39	--------	d-----w-	c:\users\Sven\AppData\Local\HUK-COBURG VERSICHERUNGEN BAUSPAREN
2013-01-22 11:39 . 2013-01-22 11:39	--------	d-----w-	c:\programdata\Anwendungsdaten
2013-01-22 11:23 . 2013-01-22 11:23	--------	d-----w-	c:\programdata\HUK-COBURG Versicherungen Bausparen
2013-01-22 11:23 . 2013-01-22 11:23	--------	d-----w-	c:\program files (x86)\HUK-COBURG Versicherungen Bausparen
2013-01-22 11:22 . 2008-07-30 11:45	62632	----a-w-	c:\windows\system32\drivers\aksifdh.sys
2013-01-22 11:22 . 2008-07-30 11:45	44712	----a-w-	c:\windows\system32\drivers\aksup.sys
2013-01-22 11:22 . 2013-01-22 11:22	--------	d-----w-	c:\program files\SafeNet
2013-01-22 11:18 . 2013-01-22 12:14	--------	d-----w-	c:\programdata\Cisco
2013-01-22 11:06 . 2013-01-22 11:23	--------	d-----w-	c:\program files (x86)\LWP GmbH
2013-01-18 16:48 . 2013-01-18 16:48	--------	d-----w-	c:\program files (x86)\Common Files\Java
2013-01-18 16:48 . 2013-01-18 16:48	95648	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2013-01-17 11:46 . 2013-01-17 11:46	153	----a-w-	c:\programdata\Ip8n1qW.reg
2013-01-15 16:59 . 2013-01-15 16:59	--------	d-----w-	c:\program files (x86)\Sweet Home 3D
2013-01-15 13:27 . 2013-01-15 13:27	--------	d-----w-	c:\programdata\Microsoft Help
2013-01-15 13:27 . 2013-01-15 13:27	--------	d-----w-	c:\users\Sven\AppData\Local\Microsoft Help
2013-01-15 09:16 . 2013-01-04 15:53	9060864	----a-w-	c:\windows\system32\mshtml.dll
2013-01-12 16:44 . 2013-01-12 16:44	--------	d-----w-	c:\programdata\Cadsoft
2013-01-12 16:44 . 2013-01-12 16:44	--------	d-----w-	c:\program files (x86)\Cadsoft
2013-01-09 16:19 . 2012-11-09 05:45	750592	----a-w-	c:\windows\system32\win32spl.dll
2013-01-09 16:19 . 2012-11-09 04:43	492032	----a-w-	c:\windows\SysWow64\win32spl.dll
2013-01-09 16:17 . 2012-11-30 05:41	424448	----a-w-	c:\windows\system32\KernelBase.dll
2013-01-09 16:16 . 2012-11-23 03:26	3149824	----a-w-	c:\windows\system32\win32k.sys
2013-01-09 16:16 . 2012-11-23 03:13	68608	----a-w-	c:\windows\system32\taskhost.exe
2013-01-09 13:38 . 2013-01-09 13:39	--------	d-----w-	c:\program files\CCleaner
2013-01-08 13:14 . 2013-01-08 13:14	--------	d-----w-	c:\users\Sven\AppData\Local\Programs
2013-01-03 16:39 . 2013-01-03 16:39	--------	d-----w-	c:\program files (x86)\PosBill
2013-01-03 16:27 . 2013-01-03 16:27	--------	d-----w-	c:\users\Sven\AppData\Local\IsolatedStorage
2013-01-03 15:00 . 2013-01-25 10:42	--------	d-----w-	C:\tmp
2013-01-03 14:46 . 2013-01-03 14:46	--------	d-----w-	c:\program files\Microsoft Synchronization Services
2013-01-03 14:45 . 2013-01-03 14:45	--------	d-----w-	c:\program files (x86)\Microsoft Synchronization Services
2013-01-03 14:18 . 2013-01-03 17:00	--------	d-----w-	C:\hopetemp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-25 15:26 . 2011-05-17 13:33	45056	----a-w-	c:\windows\system32\acovcnt.exe
2013-01-18 16:48 . 2012-07-05 09:33	859552	----a-w-	c:\windows\SysWow64\npDeployJava1.dll
2013-01-18 16:48 . 2011-03-25 08:12	780192	----a-w-	c:\windows\SysWow64\deployJava1.dll
2013-01-09 17:26 . 2011-10-26 21:06	67599240	----a-w-	c:\windows\system32\MRT.exe
2012-12-16 17:11 . 2012-12-21 15:25	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-21 15:25	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-21 15:25	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-21 15:25	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2012-12-14 15:49 . 2012-03-23 09:15	24176	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-11-30 04:45 . 2013-01-09 16:17	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-11-12 12:28 . 2012-12-12 08:08	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2012-11-12 11:52 . 2012-12-12 08:08	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
2012-11-09 05:45 . 2012-12-12 08:08	2048	----a-w-	c:\windows\system32\tzres.dll
2012-11-09 04:42 . 2012-12-12 08:08	2048	----a-w-	c:\windows\SysWow64\tzres.dll
2012-11-08 10:29 . 2012-11-08 10:29	1402312	----a-w-	c:\windows\SysWow64\msxml4.dll
2012-11-02 05:59 . 2012-12-12 08:06	478208	----a-w-	c:\windows\system32\dpnet.dll
2012-11-02 05:11 . 2012-12-12 08:06	376832	----a-w-	c:\windows\SysWow64\dpnet.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
c:\users\Sven\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Stardock ObjectDock.lnk - d:\stardock\ObjectDockFree\ObjectDock.exe [2010-10-6 3768176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 bquekneg;bquekneg;c:\windows\system32\drivers\bquekneg.sys [x]
R1 cwnwyytf;cwnwyytf;c:\windows\system32\drivers\cwnwyytf.sys [x]
R1 dngfbcid;dngfbcid;c:\windows\system32\drivers\dngfbcid.sys [x]
R1 esdryndx;esdryndx;c:\windows\system32\drivers\esdryndx.sys [x]
R1 gmatjjpk;gmatjjpk;c:\windows\system32\drivers\gmatjjpk.sys [x]
R1 gxacnsmk;gxacnsmk;c:\windows\system32\drivers\gxacnsmk.sys [x]
R1 hwmxsfmn;hwmxsfmn;c:\windows\system32\drivers\hwmxsfmn.sys [x]
R1 hzcdnblu;hzcdnblu;c:\windows\system32\drivers\hzcdnblu.sys [x]
R1 iegulioo;iegulioo;c:\windows\system32\drivers\iegulioo.sys [x]
R1 krqizodw;krqizodw;c:\windows\system32\drivers\krqizodw.sys [x]
R1 lhzxgqml;lhzxgqml;c:\windows\system32\drivers\lhzxgqml.sys [x]
R1 mlwqxmle;mlwqxmle;c:\windows\system32\drivers\mlwqxmle.sys [x]
R1 mnpqgjow;mnpqgjow;c:\windows\system32\drivers\mnpqgjow.sys [x]
R1 mqejfniv;mqejfniv;c:\windows\system32\drivers\mqejfniv.sys [x]
R1 nqlguqnx;nqlguqnx;c:\windows\system32\drivers\nqlguqnx.sys [x]
R1 qgrfvjlj;qgrfvjlj;c:\windows\system32\drivers\qgrfvjlj.sys [x]
R1 qgxuplce;qgxuplce;c:\windows\system32\drivers\qgxuplce.sys [x]
R1 qpvjcywo;qpvjcywo;c:\windows\system32\drivers\qpvjcywo.sys [x]
R1 rttzuxur;rttzuxur;c:\windows\system32\drivers\rttzuxur.sys [x]
R1 sevemfgt;sevemfgt;c:\windows\system32\drivers\sevemfgt.sys [x]
R1 svrojdbg;svrojdbg;c:\windows\system32\drivers\svrojdbg.sys [x]
R1 szbmmend;szbmmend;c:\windows\system32\drivers\szbmmend.sys [x]
R1 szeoteci;szeoteci;c:\windows\system32\drivers\szeoteci.sys [x]
R1 twhkmbow;twhkmbow;c:\windows\system32\drivers\twhkmbow.sys [x]
R1 uxnylqgc;uxnylqgc;c:\windows\system32\drivers\uxnylqgc.sys [x]
R1 vlufhrma;vlufhrma;c:\windows\system32\drivers\vlufhrma.sys [x]
R1 vmhrusth;vmhrusth;c:\windows\system32\drivers\vmhrusth.sys [x]
R1 xgugwphm;xgugwphm;c:\windows\system32\drivers\xgugwphm.sys [x]
R1 yqusyivh;yqusyivh;c:\windows\system32\drivers\yqusyivh.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [2008-07-30 44712]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-08-21 44032]
R3 DUMeterDrv;Hagel Technologies DU Meter traffic accounting driver;c:\program files (x86)\DU Meter\DUMETR64.SYS [x]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2011-03-17 13352]
R3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-08-30 128456]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
R3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\DRIVERS\s1018bus.sys [2009-03-25 113704]
R3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1018mdfl.sys [2009-03-25 19496]
R3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1018mdm.sys [2009-03-25 153128]
R3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1018mgmt.sys [2009-03-25 133160]
R3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1018nd5.sys [2009-03-25 34856]
R3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1018obex.sys [2009-03-25 128552]
R3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1018unic.sys [2009-03-25 146472]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
R3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files (x86)\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [2011-06-29 155344]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-02-15 52736]
R4 MsDepSvc;Webbereitstellungs-Agent-Dienst;c:\program files\IIS\Microsoft Web Deploy\MsDepSvc.exe [2011-04-01 67400]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2010-06-22 379520]
S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 MSSQL$SQLHUK;SQL Server (SQLHUK);c:\program files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2010-12-10 29293408]
S2 SACSrv;SACSrv;c:\program files\SafeNet\Authentication\SAC\x64\SACSrv.exe [2012-04-16 10384]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-04-13 135560]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-26 158976]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-02-02 271872]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2010-03-04 75816]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2011-03-17 34032]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2011-10-01 764264]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2011-10-01 268648]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2011-10-01 25960]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2011-10-01 22376]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-01-24 08:42	1607120	----a-w-	c:\program files (x86)\Google\Chrome\Application\24.0.1312.56\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-24 03:56]
.
2013-01-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-10-24 03:56]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 415256]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 386584]
"ASUS WebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2010-03-16 1754448]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-09-12 1289704]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360]
"SACMonitor"="c:\program files\SafeNet\Authentication\SAC\x64\SACMonitor.exe" [2012-04-16 2183312]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{1984DD45-52CF-49cd-AB77-18F378FEA264}"= "d:\stardock\Fences\FencesMenu64.dll" [2010-06-22 253288]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://www.google.com
mLocal Page = c:\windows\SysWOW64\blank.htm
mSearchAssistant = 
IE: &Download by Orbit - c:\program files (x86)\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files (x86)\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files (x86)\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files (x86)\Orbitdownloader\orbitmxt.dll/202
IE: Free YouTube Download - c:\users\Sven\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\users\Sven\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
Trusted Zone: huk-coburg.de
Trusted Zone: huk.de
Trusted Zone: hukvm.de
Trusted Zone: vrk.de
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Sven\AppData\Roaming\Mozilla\Firefox\Profiles\wzecjfj2.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.iminent.com/?appId=483616d7-60d7-408c-b653-880b4f2c7758&ref=homepage
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - (no file)
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
Notify-igfxcui - (no file)
Notify-ScCertProp - (no file)
SafeBoot-88034990.sys
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
HKLM-Run-ETDWare - c:\program files (x86)\Elantech\ETDCtrl.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MsDepSvc]
"ImagePath"="\"c:\program files\IIS\Microsoft Web Deploy\MsDepSvc.exe\" -runService:MsDepSvc"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10s_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10s_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10s.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
c:\program files (x86)\ASUS\ControlDeck\ControlDeck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-25  16:32:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-25 15:31
.
Vor Suchlauf: 17 Verzeichnis(se), 66.851.221.504 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 66.879.848.448 Bytes frei
.
- - End Of File - - DE3EA112988C400D42774D33190133FD
         

--- --- ---




Hat etwas gedauert, da ich Avira und die Security Essentials nicht einfach deaktivieren konnte.

ferde

Zitat:

Hat etwas gedauert, da ich Avira und die Security Essentials nicht einfach deaktivieren konnte.

Was soll sowas?!
Virenscanner wie Avira und MSE verwendet man niemals gleichzeitig, die kommen sich gegenseitig in die Quere! Bitte umgehend einen der beiden deinstallieren!

Hallo,

nein ich hab nicht beide. ich habe eigentlich nur MSE, habe aber kurzfristig jetzt Avira installiert um von dem auch mal einen Testlauf zu machen.

Übrigens, meine Firewall funktioniert wieder. Das mal als ein kleines positives Zeichen.