Schönen guten Abend.

Ich habe den Rechner meines Vaters wieder zum Laufen zu bringen, der mutmaßlich mit den Ihavenet.com Virus infiziert ist.
Malwarebytes Anti-Malware , SpyBot, AdAware, AdwCleaner und SUPERAntiSpyware brachten leider alle nichts. Bei meinen Rettungsversuchen hatte ich auch SpyHunter ausprobiert ... und hoffentlich die Sache damit nicht noch verschlimmert.

Nun hoffe ich auf eine maßgeschneiderte Lösung via OTL.

Vielen Dank vorab
Matze

Na doch ... dieses Programm ist die Pest. Bitte sofort deinstallieren, genauso wie Adaware und Spybot. Von MBAM und AdwCleaner bitte das Logfile posten.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo ryder,

alle oben genannten Programme sind mittlerweile wieder deinstalliert.
MBAM und AdwCleaner wegen der Logs nochmals laufen lassen?

Gruß
Matze

Hm jaaaa, aber so bitte:



Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  [ ] options for dds.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo Ryder,

ich arbeite via TeamViewer am verseuchten Rechner.
Leider ist der Kontakt nach dem Ausführen von AdwCleaner abgebrochen.
Da muss ich wohl warten, bis die menschliche Gegenseite in ein paar Stunden wieder wach ist und mir berichten kann, was da los ist.

Danke erstmal und noch einen schönen Abend
Matze

Hallo Ryder,

die Gegenstelle ist wieder "erwacht".

Schritt 1:
TuneUp Utilities und ein Reg-Cleaner deinstalliert.

Schritt 2:
AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.113 - Datei am 27/02/2013 um 07:53:52 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Paulchen - SENIOREN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\test\Trojaner\AdwCleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v19.0 (de)

Datei : C:\Dokumente und Einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\nvpdpnaa.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S3].txt - [899 octets] - [27/02/2013 07:53:52]

########## EOF - C:\AdwCleaner[S3].txt - [958 octets] ##########
         

--- --- ---

[/CODE]

Ich habe noch ein Logfile eines früheren Scans gefunden, das möglicherweise aufschlußreicher für dich ist:

AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.113 - Datei am 26/02/2013 um 22:12:22 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Paulchen - SENIOREN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\test\Trojaner\AdwCleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Desktop\QuickStores.url
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Startmenü\QuickStores.url
Datei Gelöscht : C:\Dokumente und Einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\searchplugins\11-suche.xml
Datei Gelöscht : C:\Programme\Mozilla Firefox\searchplugins\avg-secure-search.xml
Gelöscht mit Neustart : C:\Programme\Gemeinsame Dateien\AVG Secure Search
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG Secure Search
Ordner Gelöscht : C:\Dokumente und Einstellungen\Paulchen\Anwendungsdaten\AVG Secure Search
Ordner Gelöscht : C:\Dokumente und Einstellungen\Paulchen\Lokale Einstellungen\Anwendungsdaten\AVG Secure Search
Ordner Gelöscht : C:\Programme\Ask.com
Ordner Gelöscht : C:\Programme\AVG Secure Search
Ordner Gelöscht : C:\Programme\Mozilla Firefox\Extensions\quickstores@quickstores.de
Ordner Gelöscht : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AVG Secure Search
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\Software\AVG Security Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Schlüssel Gelöscht : HKLM\Software\Freeze.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AVG Secure Search
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://isearch.avg.com/?cid={64E9E3ED-0746-441C-9391-11CE12A0B750}&mid=ca7152d619fd47d1aba409b6aa6c49c7-e5454b6733eac1c0a0e934f4cd174fced0e28c85&lang=de&ds=tt015&pr=sa&d=2012-09-17 18:09:41&v=14.2.0.1&pid=avg&sg=&sap=hp --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0 (de)

Datei : C:\Dokumente und Einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\prefs.js

C:\Dokumente und Einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\user.js ... Gelöscht !

Gelöscht : user_pref("avg.install.installDirPath", "C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten[...]
Gelöscht : user_pref("avg.install.userSPSettings", "AVG Secure Search");
Gelöscht : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");
Gelöscht : user_pref("extensions.BabylonToolbar.admin", false);
Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Gelöscht : user_pref("extensions.BabylonToolbar.appId", "{BDB69379-802F-4eaf-B541-F8DE92DD98DB}");
Gelöscht : user_pref("extensions.BabylonToolbar.autoRvrt", "false");
Gelöscht : user_pref("extensions.BabylonToolbar.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar.babTrack", "tt=010312_ctrl");
Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 10);
Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "de");
Gelöscht : user_pref("extensions.BabylonToolbar.dfltSrch", false);
Gelöscht : user_pref("extensions.BabylonToolbar.excTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar.hmpg", false);
Gelöscht : user_pref("extensions.BabylonToolbar.id", "206e52c800000000000094445264583d");
Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15709");
Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "na");
Gelöscht : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?babsrc=SP_&q={searchTe[...]
Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 10);
Gelöscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1716:19:00");
Gelöscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "10.0");
Gelöscht : user_pref("extensions.BabylonToolbar.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Gelöscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar.propectorlck", 69955103);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Gelöscht : user_pref("extensions.BabylonToolbar.rvrt", "false");
Gelöscht : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar.srcExt", "def");
Gelöscht : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Gelöscht : user_pref("extensions.BabylonToolbar.tlbrSrchUrl", "hxxp://search.babylon.com/?babsrc=TB_def&mntrId=[...]
Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.8.7.2");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1716:19:00");
Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.8.7.2");
Gelöscht : user_pref("extensions.BabylonToolbar_i.aflt", "babclient");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", "");
Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "tt=0113_2");
Gelöscht : user_pref("extensions.BabylonToolbar_i.excTlbr", false);
Gelöscht : user_pref("extensions.BabylonToolbar_i.hardId", "206e52c800000000000094445264583d");
Gelöscht : user_pref("extensions.BabylonToolbar_i.id", "206e52c800000000000094445264583d");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15409");
Gelöscht : user_pref("extensions.BabylonToolbar_i.instlRef", "std");
Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false);
Gelöscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Gelöscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "def");
Gelöscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.8.7.215:31:08");
Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\nvpdpnaa.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [12919 octets] - [26/02/2013 22:09:51]
AdwCleaner[R2].txt - [12980 octets] - [26/02/2013 22:11:52]
AdwCleaner[S1].txt - [12598 octets] - [26/02/2013 22:12:22]

########## EOF - C:\AdwCleaner[S1].txt - [12659 octets] ##########
         

--- --- ---

[/CODE]

Schritt 3:
erledigt

Schritt 4:
dds.txt:
DDS Logfile:
DDS Logfile:
DDS Logfile:
DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2012-11-20.01) - NTFS_x86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.13.2
Run by Paulchen at 8:00:56 on 2013-02-27
.
============== Running Processes ================
.
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Mouse Driver\KMWDSrv.exe
C:\Programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe
C:\Programme\RealNetworks\RealDownloader\rndlresolversvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TeamViewer\Version8\TeamViewer_Service.exe
C:\Programme\Belkin\F7D4101\V1\wlansrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TeamViewer\Version8\TeamViewer.exe
C:\Programme\Mouse Driver\StartAutorun.exe
C:\Programme\Mouse Driver\KMConfig.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\Browny02\Brother\BrStMonW.exe
C:\Programme\Real\RealPlayer\update\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mouse Driver\KMProcess.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Browny02\BrYNSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\TeamViewer\Version8\tv_w32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
c:\programme\teamviewer\version8\TeamViewer_Desktop.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: RealNetworks Download and Record Plugin for Internet Explorer: {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\dokumente und einstellungen\all users\anwendungsdaten\realnetworks\realdownloader\browserplugins\ie\rndlbrowserrecordplugin.dll
BHO: Norton Identity Protection: {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\programme\norton internet security\engine\20.2.1.22\coieplg.dll
BHO: Norton Vulnerability Protection: {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - c:\programme\norton internet security\engine\20.2.1.22\ips\ipsbho.dll
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\programme\java\jre7\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\programme\java\jre7\bin\jp2ssv.dll
TB: Norton Toolbar: {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\programme\norton internet security\engine\20.2.1.22\coieplg.dll
TB: Norton Toolbar: {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\programme\norton internet security\engine\20.2.1.22\coieplg.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [KMCONFIG] c:\programme\mouse driver\StartAutorun.exe KMConfig.exe
mRun: [ANIWZCS2Service] c:\programme\ani\aniwzcs2 service\WZCSLDR2.exe
mRun: [SoundMAXPnP] c:\programme\analog devices\core\smax4pnp.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [D-Link AirPlus XtremeG DWL-G122] c:\programme\d-link\airplus xtremeg dwl-g122\AirGCFG.exe
mRun: [BrStsMon00] c:\programme\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [TkBellExe] "c:\programme\real\realplayer\update\realsched.exe"  -osboot
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\logite~1.lnk - c:\programme\logitech\desktop messenger\8876480\program\LogitechDesktopMessenger.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\windows search.lnk - c:\programme\windows desktop search\WindowsSearch.exe
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1
mPolicies-Explorer: NoDriveTypeAutoRun = dword:145
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215363386531
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218970250515
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
TCP: NameServer = 192.168.2.1
TCP: Interfaces\{14B22F5B-1F7B-4E56-A7C5-41A9A58188CC} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{22F94DF9-AA7A-4EA2-A303-51B4814EBBD6} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{827412EF-F9D5-4402-A0E9-7849448AE98D} : DHCPNameServer = 217.237.149.205
TCP: Interfaces\{9A117188-27C3-4B18-BC6C-228DAE88DAFD} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{B123FBBA-9E93-4BE1-97AF-3BEA2402A8CD} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{DAAAC529-C5BE-4A0C-AA9E-28379CFBE838} : NameServer = 192.168.2.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\logitech\desktop messenger\8876480\program\GAPlugProtocol-8876480.dll
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager - {56F9679E-7826-4C84-81F3-532071A8BCC5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\paulchen\anwendungsdaten\mozilla\firefox\profiles\4c16i2ut.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/?cc=de
FF - prefs.js: network.proxy.type - 0
FF - component: c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_18.1.0.37\coffplgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_18.1.0.37\ipsffplgn\components\IPSFFPl.dll
FF - component: c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\firefox\ext\components\nprpffbrowserrecordext.dll
FF - component: c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\firefox\ext\components\nprpffbrowserrecordlegacyext.dll
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\realnetworks\realdownloader\browserplugins\mozillaplugins\nprndlchromebrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\realnetworks\realdownloader\browserplugins\mozillaplugins\nprndlhtml5videoshim.dll
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\realnetworks\realdownloader\browserplugins\mozillaplugins\nprndlpepperflashvideoshim.dll
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\realnetworks\realdownloader\browserplugins\npdlplugin.dll
FF - plugin: c:\programme\adobe\reader 11.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\google\update\1.3.21.135\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\programme\mozilla firefox\plugins\NPCIG.dll
FF - plugin: c:\programme\mozilla firefox\plugins\nprpplugin.dll
FF - plugin: c:\programme\real\realplayer\netscape6\nprpplugin.dll
FF - plugin: c:\windows\system32\adobe\director\np32dsw_1200112.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_6_602_168.dll
FF - plugin: c:\windows\system32\npdeployJava1.dll
FF - plugin: c:\windows\system32\npptools.dll
.
============= SERVICES / DRIVERS ===============
.
.
=============== Created Last 30 ================
.
2013-02-27 02:08:42	934488	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symefa.sys
2013-02-27 02:08:42	602712	----a-w-	c:\windows\system32\drivers\nis\1403000.024\srtsp.sys
2013-02-27 02:08:42	394656	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symtdi.sys
2013-02-27 02:08:42	367704	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symds.sys
2013-02-27 02:08:42	350368	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symtdiv.sys
2013-02-27 02:08:42	338592	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symnets.sys
2013-02-27 02:08:42	32344	----a-w-	c:\windows\system32\drivers\nis\1403000.024\srtspx.sys
2013-02-27 02:08:42	21400	----a-r-	c:\windows\system32\drivers\nis\1403000.024\symelam.sys
2013-02-27 02:08:42	175264	----a-w-	c:\windows\system32\drivers\nis\1403000.024\ironx86.sys
2013-02-27 02:08:42	134304	----a-w-	c:\windows\system32\drivers\nis\1403000.024\ccsetx86.sys
2013-02-27 02:08:24	14818	----a-w-	c:\windows\system32\drivers\nis\1403000.024\symvtcer.dat
2013-02-27 02:08:24	--------	d-----w-	c:\windows\system32\drivers\nis\1403000.024
2013-02-26 19:18:28	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2013-02-26 19:14:51	--------	d-----w-	c:\dokumente und einstellungen\paulchen\lokale einstellungen\anwendungsdaten\Sunbelt Software
2013-02-26 18:31:22	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Spybot - Search & Destroy
2013-02-26 18:19:56	--------	d-----w-	c:\dokumente und einstellungen\paulchen\anwendungsdaten\Malwarebytes
2013-02-26 18:19:40	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2013-02-26 18:14:51	--------	d-----w-	C:\test
2013-02-21 20:42:07	110080	----a-r-	c:\dokumente und einstellungen\paulchen\anwendungsdaten\microsoft\installer\{4e0c6314-a8b8-4026-ac15-084e8b63afb5}\IconF7A21AF7.exe
2013-02-21 20:42:07	110080	----a-r-	c:\dokumente und einstellungen\paulchen\anwendungsdaten\microsoft\installer\{4e0c6314-a8b8-4026-ac15-084e8b63afb5}\IconD7F16134.exe
2013-02-21 20:42:07	110080	----a-r-	c:\dokumente und einstellungen\paulchen\anwendungsdaten\microsoft\installer\{4e0c6314-a8b8-4026-ac15-084e8b63afb5}\IconCF33A0CE.exe
2013-02-21 19:35:51	--------	d-----w-	c:\programme\gemeinsame dateien\Wise Installation Wizard
2013-02-19 20:11:00	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-18 19:39:31	--------	d-----w-	c:\programme\Unlocker
2013-02-18 19:12:52	--------	d-----w-	c:\programme\Advanced Fix 2012
2013-02-18 17:14:57	--------	d-----w-	c:\programme\TeamViewer
2013-02-17 12:24:20	94208	--sha-r-	c:\windows\system32\sfcfilest.dll
2013-02-15 22:04:52	208448	----a-w-	c:\programme\mozilla firefox\plugins\nppdf32.dll
2013-02-15 22:04:52	208448	----a-w-	c:\programme\internet explorer\plugins\nppdf32.dll
2013-02-07 12:49:30	--------	d-----w-	c:\windows\system32\CatRoot2
2013-02-07 12:37:34	--------	d-----w-	c:\windows\system32\CatRoot2_201327134919
2013-02-05 14:21:34	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\ImTOO
2013-02-05 12:16:29	--------	d-sh--w-	c:\dokumente und einstellungen\paulchen\IECompatCache
2013-02-02 15:37:44	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
==================== Find3M  ====================
.
2013-02-18 18:02:00	33112	----a-w-	c:\windows\system32\drivers\avgtpx86.sys
2013-02-17 12:01:05	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-17 12:01:05	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-02 15:37:31	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-02-02 15:37:31	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-02 15:37:31	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-01-26 03:55:37	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24:24	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24:23	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09:09	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06:42	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06:41	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06:41	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40:59	385024	----a-w-	c:\windows\system32\html.iec
2012-12-23 18:42:51	499712	----a-w-	c:\windows\system32\msvcp71.dll
2012-12-23 18:42:51	348160	----a-w-	c:\windows\system32\msvcr71.dll
2012-12-16 12:23:59	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-03 14:43:46	142496	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
.
============= FINISH:  8:01:37,90 ===============
         

[/CODE]
--- --- ---
--- --- ---

--- --- ---

--- --- ---

[/CODE]

attach.txt

Code: Alles auswählenAufklappen

ATTFilter

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
.
==== Disk Partitions =========================
.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader XI (11.0.02) - Deutsch
Adobe Shockwave Player 12.0
AirPlus XtremeG DWL-G122
ANIO Service
ANIWZCS2 Service
Apple Application Support
Apple Mobile Device Support
Apple Software Update
BECKLex Dietl/Lorenz
BMI-Rechner
Bonjour
Canon Camera Access Library
Canon Camera Support Core Library
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MOV Decoder
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities MyCamera DC
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities ZoomBrowser EX
DEUTSCHLAND SPIELT GAME CENTER
Duden Korrektor kompakt
e-Wörterbücher
Free PDF to Word Doc Converter v1.1
getPlus(R)
Google Update Helper
Great Mahjong Special
High-Definition Video Playback
HL-2130
Hotfix for Microsoft .NET Framework 3.0 (KB932471)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hyperbook
inSSIDer 2.0
Intel(R) Graphics Media Accelerator Driver
Intel(R) Management Engine Interface
Java 7 Update 13
Java Auto Updater
JMicron JMB36X Driver
K-Lite Codec Pack 7.0.0 (Standard)
Kreuzworträtsel
Logitech Desktop Messenger
Logitech Harmony Remote Software 7
MahJongg - Das Labyrinth der Goetter
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Word 2000
Moraff's Maximum MahJongg 1.0
Mouse Driver
Mozilla Firefox 19.0 (x86 de)
Mozilla Maintenance Service
MSXML 6.0 Parser (KB933579)
Nero Control Center 10
Nero ControlCenter 10 Help (CHM)
Nero Core Components 10
Nero CoverDesigner 10 Help (CHM)
Nero Express 10
Nero Express 10 Help (CHM)
Nero Multimedia Suite 10 Essentials
Norton Internet Security
Office-Bibliothek
Play Wireless USB Adapter
QuickTime
RealDownloader
RealNetworks - Microsoft Visual C++ 2008 Runtime
RealNetworks - Microsoft Visual C++ 2010 Runtime
RealPlayer
RealUpgrade 1.1
Remote Control USB Driver
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2789642)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2699988)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2722913)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2792100)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB975713)
SoundMAX
Spelling Dictionaries Support For Adobe Reader 9
swMSM
TeamViewer 8
TSST OEM Content
TuneUp Utilities Language Pack (de-DE)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
WebFldrs XP
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Presentation Foundation
WinZip 15.0
XML Paper Specification Shared Components Language Pack 1.0
XML Paper Specification Shared Components Pack 1.0
.
==== End Of File ===========================
         

Freue mich auf deine Rückmeldung

Gruß
Matze

Ja mit TeamViewer eigenet es sich nicht so wirklich, wenn man mehrfach neustarten muss.

Es sieht eigentlich ziemlich sauber aus.

Bevor es weitergeht: Besteht das Problem noch?

Ja. Das Problem besteht immer noch.

In Ordnung, dann müssen wir doch mal so ran:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Ryder,

hab Combofix ausgeführt.
Folgendes ist passiert: Nach Installation der Windows-Wiederherstellungskonsole startete der Scan und lief (nach Aussage meines Vaters am Remoterechner - TeamViewer wurde vorher von Combofix beendet) bis ca. Stufe 20; dann erschien ein Blue Screen "Es ist ein schwerwiegender Fehler aufgetreten. Windows wird neu gestartet."
Nachdem Windows wieder oben war kam nochmal eine Windows-Nachricht "Das System wird nach einem schwerwiegendem Fehler wieder ausgeführt. (Problembericht senden ...)"

Ein Protokoll wurde von Combofix nicht erstellt (jedenfalls nicht unter C:\).
Allerdings befindet sich jetzt unter C:\ ein Eintrag "Combofix" mit dem Explorer-Icon und Dateityp "Ordner". Nach Doppelklick darauf erscheint der Arbeitsplatz.
(Das Programm selbst liegt auf dem Desktop)

Zwei diesbezügliche Screen Shots (Fehlermeldung + Combofix-Eintrag kann ich bei Bedarf hochladen.

Wie machen wir weiter?

Cheers
Matze

Du benennst mal die Combofix.exe um in NoMBR.exe und probierst es nochmals.

Diesmal hat es wohl geklappt.

Code: Alles auswählenAufklappen

ATTFilter

Combofix Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
ComboFix 13-02-26.01 - Paulchen 27.02.2013  17:42:07.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Paulchen\Desktop\NoMBR.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\D1B5B4F1.TMP
c:\dokumente und einstellungen\Paulchen\Eigene Dateien\~WRL0002.tmp
c:\dokumente und einstellungen\Paulchen\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\_000012_.tmp.dll
c:\windows\system32\Cache
c:\windows\system32\Cache\26c630d098e22dd5.fb
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\762dcb03341adb18.fb
c:\windows\system32\Cache\8d2bb7b6eecd7807.fb
c:\windows\system32\Cache\93d9db3af2f6cb1c.fb
c:\windows\system32\Cache\95f567698be8a182.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\acead93c68de053f.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\unin0407.exe
E:\AUTORUN.INF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-27 bis 2013-02-27  ))))))))))))))))))))))))))))))
.
.
2013-02-27 02:08 . 2013-02-27 02:08	--------	d-----w-	c:\windows\system32\drivers\NIS\1403000.024
2013-02-26 19:18 . 2013-02-26 19:18	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2013-02-26 19:14 . 2013-02-26 19:14	--------	d-----w-	c:\dokumente und einstellungen\Paulchen\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2013-02-26 19:14 . 2013-02-26 21:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2013-02-26 18:31 . 2013-02-26 19:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-02-26 18:19 . 2013-02-26 18:19	--------	d-----w-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Malwarebytes
2013-02-26 18:19 . 2013-02-26 18:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-26 18:14 . 2013-02-27 14:42	--------	d-----w-	C:\test
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconF7A21AF7.exe
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconD7F16134.exe
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconCF33A0CE.exe
2013-02-21 19:35 . 2013-02-21 20:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2013-02-19 20:11 . 2013-02-19 21:00	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-18 19:39 . 2013-02-19 08:37	--------	d-----w-	c:\programme\Unlocker
2013-02-18 19:12 . 2013-02-18 19:56	--------	d-----w-	c:\programme\Advanced Fix 2012
2013-02-18 19:03 . 2013-02-22 13:12	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-18 17:14 . 2013-02-18 17:14	--------	d-----w-	c:\programme\TeamViewer
2013-02-17 12:24 . 2013-02-17 12:24	94208	--sha-r-	c:\windows\system32\sfcfilest.dll
2013-02-17 12:16 . 2013-02-17 12:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2013-02-15 22:04 . 2013-02-15 22:04	208448	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2013-02-07 12:49 . 2013-02-27 16:35	--------	d-----w-	c:\windows\system32\CatRoot2
2013-02-05 14:21 . 2013-02-05 14:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ImTOO
2013-02-05 12:16 . 2013-02-05 12:16	--------	d-sh--w-	c:\dokumente und einstellungen\Paulchen\IECompatCache
2013-02-02 15:37 . 2013-02-02 15:37	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 16:28 . 2012-03-31 08:02	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-27 16:28 . 2012-03-19 15:31	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-18 18:02 . 2012-09-17 16:09	33112	----a-w-	c:\windows\system32\drivers\avgtpx86.sys
2013-02-02 15:37 . 2012-06-16 14:36	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-02-02 15:37 . 2010-04-16 14:05	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-02 15:37 . 2008-07-14 17:32	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-01-26 03:55 . 2006-02-28 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2006-02-28 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2006-02-28 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2006-02-28 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2006-02-28 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2006-02-28 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2006-02-28 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2006-02-28 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-12-23 18:42 . 2008-07-14 17:18	499712	----a-w-	c:\windows\system32\msvcp71.dll
2012-12-23 18:42 . 2008-07-14 17:18	348160	----a-w-	c:\windows\system32\msvcr71.dll
2012-12-16 12:23 . 2006-02-28 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-03 14:43 . 2012-12-03 14:43	142496	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2008-06-19 09:16 . 2013-02-20 09:30	118784	----a-w-	c:\programme\mozilla firefox\plugins\MyCamera.dll
2013-02-20 09:31 . 2013-02-20 09:30	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KMCONFIG"="c:\programme\Mouse Driver\StartAutorun.exe" [2008-05-30 212992]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-21 143360]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-21 143360]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"TkBellExe"="c:\programme\Real\RealPlayer\update\realsched.exe" [2012-12-23 295072]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2010-12-6 66864]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Duden Korrektor SysTray"=c:\programme\Duden\Duden Korrektor\DKTray.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
"SoundMAX"="c:\programme\Analog Devices\SoundMAX\Smax4.exe" /tray
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe"  -osboot
"JMB36X IDE Setup"=c:\windows\RaidTool\xInsIDE.exe
"36X Raid Configurer"=c:\windows\system32\xRaidSetup.exe boot
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TeamViewer\\Version8\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version8\\TeamViewer_Service.exe"=
.
R2 WLANBelkinService;Belkin WLAN service;c:\programme\Belkin\F7D4101\V1\wlansrv.exe [x]
R3 esgiguard;esgiguard;c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1402010.016\SYMDS.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1402010.016\SYMEFA.SYS [x]
S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [x]
S1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.0.24\Definitions\BASHDefs\20130208.001\BHDrvx86.sys [x]
S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NIS\1402010.016\ccSetx86.sys [x]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1402010.016\Ironx86.SYS [x]
S2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programme\Mouse Driver\KMWDSrv.exe [x]
S2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe [x]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\programme\RealNetworks\RealDownloader\rndlresolversvc.exe [x]
S2 TeamViewer8;TeamViewer 8;c:\programme\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 BCMH43XX;N+ Wireless USB Adapter Driver;c:\windows\system32\DRIVERS\bcmwlhigh5.sys [x]
S3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [x]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
S3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.0.24\Definitions\IPSDefs\20130226.001\IDSxpx86.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 16:28]
.
2012-12-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2013-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 16:14]
.
2013-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 16:14]
.
2013-02-21 c:\windows\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\RealNetworks\RealDownloader\recordingmanager.exe [2012-11-29 19:33]
.
2013-02-27 c:\windows\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\RealNetworks\RealDownloader\realupgrade.exe [2012-11-29 19:31]
.
2013-02-27 c:\windows\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\RealNetworks\RealDownloader\realupgrade.exe [2012-11-29 19:31]
.
2013-02-27 c:\windows\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-02-23 c:\windows\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-02-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2012-12-23 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1935655697-861567501-725345543-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-11-30 14:30]
.
2013-02-27 c:\windows\Tasks\Vzcvpd.job
- c:\windows\system32\sfcfilest.dll [2013-02-17 12:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{DAAAC529-C5BE-4A0C-AA9E-28379CFBE838}: NameServer = 192.168.2.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/?cc=de
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-94117150.sys
AddRemove-Lorenz - c:\windows\IsUn0407.exe
AddRemove-Hyperbook - c:\windows\unin0407.exe
AddRemove-Kreuzworträtsel - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-27 17:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\20.2.1.22\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1935655697-861567501-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-02-27  18:01:24
ComboFix-quarantined-files.txt  2013-02-27 17:01
.
Vor Suchlauf: 10 Verzeichnis(se), 17.131.257.856 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 17.093.976.064 Bytes frei
.
- - End Of File - - DFD2DD3705F57BEEDF0391177F3E751E
         
 
--- --- ---
         

Da haben wir es doch schon.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Ich würde zunächst mal alles was mit RealPlayer zu tun hat entfernen. Diese Software wird normalerweise nicht gebraucht.
Ausserdem hast du da noch Reste vom SpyHunter. Dieses Programm nach Möglichkeit entfernen. Die Reste werden aber auch mit meinem Skript entfernt.
Entferne ausserdem Spybot und Lavasoft falls noch nicht geschehen.


Schritt 2:
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code: Alles auswählenAufklappen

  ATTFilter

  File::
  c:\windows\system32\sfcfilest.dll
  c:\windows\Tasks\Vzcvpd.job
  
  Driver::
  esgiguard
  
  Folder::
  c:\programme\Enigma Software Group
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

[CODE]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-26.01 - Paulchen 27.02.2013  19:22:07.3.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Paulchen\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Paulchen\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.
FILE ::
"c:\windows\system32\sfcfilest.dll"
"c:\windows\Tasks\Vzcvpd.job"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ESGIGUARD
-------\Service_esgiguard
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-27 bis 2013-02-27  ))))))))))))))))))))))))))))))
.
.
2013-02-27 02:08 . 2013-02-27 02:08	--------	d-----w-	c:\windows\system32\drivers\NIS\1403000.024
2013-02-26 19:18 . 2013-02-26 19:18	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2013-02-26 19:14 . 2013-02-26 19:14	--------	d-----w-	c:\dokumente und einstellungen\Paulchen\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
2013-02-26 19:14 . 2013-02-26 21:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2013-02-26 18:31 . 2013-02-26 19:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-02-26 18:19 . 2013-02-26 18:19	--------	d-----w-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Malwarebytes
2013-02-26 18:19 . 2013-02-26 18:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-26 18:14 . 2013-02-27 17:10	--------	d-----w-	C:\test
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconF7A21AF7.exe
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconD7F16134.exe
2013-02-21 20:42 . 2013-02-21 20:42	110080	----a-r-	c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Microsoft\Installer\{4E0C6314-A8B8-4026-AC15-084E8B63AFB5}\IconCF33A0CE.exe
2013-02-21 19:35 . 2013-02-21 20:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2013-02-19 20:11 . 2013-02-19 21:00	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2013-02-18 19:39 . 2013-02-19 08:37	--------	d-----w-	c:\programme\Unlocker
2013-02-18 19:12 . 2013-02-18 19:56	--------	d-----w-	c:\programme\Advanced Fix 2012
2013-02-18 19:03 . 2013-02-22 13:12	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-02-18 17:14 . 2013-02-18 17:14	--------	d-----w-	c:\programme\TeamViewer
2013-02-17 12:24 . 2013-02-17 12:24	94208	--sha-r-	c:\windows\system32\sfcfilest.dll
2013-02-17 12:16 . 2013-02-17 12:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2013-02-15 22:04 . 2013-02-15 22:04	208448	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2013-02-07 12:49 . 2013-02-27 16:35	--------	d-----w-	c:\windows\system32\CatRoot2
2013-02-05 14:21 . 2013-02-05 14:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ImTOO
2013-02-05 12:16 . 2013-02-05 12:16	--------	d-sh--w-	c:\dokumente und einstellungen\Paulchen\IECompatCache
2013-02-02 15:37 . 2013-02-02 15:37	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 16:28 . 2012-03-31 08:02	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-27 16:28 . 2012-03-19 15:31	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-18 18:02 . 2012-09-17 16:09	33112	----a-w-	c:\windows\system32\drivers\avgtpx86.sys
2013-02-02 15:37 . 2012-06-16 14:36	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-02-02 15:37 . 2010-04-16 14:05	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-02 15:37 . 2008-07-14 17:32	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-01-26 03:55 . 2006-02-28 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2006-02-28 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2004-08-04 00:50	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2006-02-28 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2006-02-28 12:00	148992	----a-w-	c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2006-02-28 12:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2012-12-26 20:06 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2012-12-26 20:06 . 2006-02-28 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-12-26 20:06 . 2006-02-28 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-12-24 06:40 . 2006-02-28 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-12-23 18:42 . 2008-07-14 17:18	499712	----a-w-	c:\windows\system32\msvcp71.dll
2012-12-23 18:42 . 2008-07-14 17:18	348160	----a-w-	c:\windows\system32\msvcr71.dll
2012-12-16 12:23 . 2006-02-28 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-03 14:43 . 2012-12-03 14:43	142496	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2008-06-19 09:16 . 2013-02-20 09:30	118784	----a-w-	c:\programme\mozilla firefox\plugins\MyCamera.dll
2013-02-20 09:31 . 2013-02-20 09:30	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KMCONFIG"="c:\programme\Mouse Driver\StartAutorun.exe" [2008-05-30 212992]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-21 143360]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-21 143360]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"BrStsMon00"="c:\programme\Browny02\Brother\BrStMonW.exe" [2010-06-10 2621440]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2010-12-6 66864]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Duden Korrektor SysTray"=c:\programme\Duden\Duden Korrektor\DKTray.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
"SoundMAX"="c:\programme\Analog Devices\SoundMAX\Smax4.exe" /tray
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe"  -osboot
"JMB36X IDE Setup"=c:\windows\RaidTool\xInsIDE.exe
"36X Raid Configurer"=c:\windows\system32\xRaidSetup.exe boot
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TeamViewer\\Version8\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version8\\TeamViewer_Service.exe"=
.
R2 WLANBelkinService;Belkin WLAN service;c:\programme\Belkin\F7D4101\V1\wlansrv.exe [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1402010.016\SYMDS.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1402010.016\SYMEFA.SYS [x]
S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [x]
S1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.0.24\Definitions\BASHDefs\20130208.001\BHDrvx86.sys [x]
S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NIS\1402010.016\ccSetx86.sys [x]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1402010.016\Ironx86.SYS [x]
S2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programme\Mouse Driver\KMWDSrv.exe [x]
S2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe [x]
S2 TeamViewer8;TeamViewer 8;c:\programme\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 BCMH43XX;N+ Wireless USB Adapter Driver;c:\windows\system32\DRIVERS\bcmwlhigh5.sys [x]
S3 BrYNSvc;BrYNSvc;c:\programme\Browny02\BrYNSvc.exe [x]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
S3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.0.24\Definitions\IPSDefs\20130226.001\IDSxpx86.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 16:28]
.
2012-12-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2013-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 16:14]
.
2013-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-20 16:14]
.
2013-02-27 c:\windows\Tasks\Vzcvpd.job
- c:\windows\system32\sfcfilest.dll [2013-02-17 12:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{DAAAC529-C5BE-4A0C-AA9E-28379CFBE838}: NameServer = 192.168.2.1
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\dokumente und einstellungen\Paulchen\Anwendungsdaten\Mozilla\Firefox\Profiles\4c16i2ut.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/?cc=de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-27 19:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\20.2.1.22\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\20.2.1.22\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1935655697-861567501-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3712)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\rundll32.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\TeamViewer\Version8\TeamViewer.exe
c:\programme\TeamViewer\Version8\tv_w32.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Mouse Driver\KMConfig.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Mouse Driver\KMProcess.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-27  19:47:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-27 18:47
.
Vor Suchlauf: 10 Verzeichnis(se), 17.092.001.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 16.989.995.008 Bytes frei
.
- - End Of File - - FD7250CFD6C14FA53AD05ABCFE620005
         

--- --- ---

Halt stop mal ... irgendwas stimmt da nicht.
Gib mir mal Zeit da genauer nachzusehen.

Ok, der Kamerad hier ist hartnäckig. Wir probieren das mit ein wenig mehr Power

Lade dir das Tool Avenger und speichere es auf dem Desktop:

1. Kopiere nun folgenden Text in das weiße Feld (bei -> "input script here")
   
   Code: Alles auswählenAufklappen

   ATTFilter

   Files to delete:
   c:\windows\system32\sfcfilest.dll 
   c:\windows\Tasks\Vzcvpd.job
            

2. Setze den Haken bei Automatically disable any rootkits found
3. Schließe alle laufenden Programme. Trenne Dich vom Internet.
4. Starte Avenger mit Klick auf Execute
5. Bestätige mit Yes den Neustart des Rechners.
6. Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
   Poste mir in deiner nächsten Antwort den Inhalt der Avenger.txt