Weißer Bildschirm beim Start von Windows 7 mit Bundespolizei Hinweis

Bolle86 · 23.03.2013, 14:47

Hallo zusammen,

gestern bin ich, wie viele andere auch, im Internet unterwegs gewesen und haben mir auch diesen tollen Virus eingefangen, der den tollen weißen Bildschirm mit sich bringt, in dem nett darauf hingewiesen wird, dass man doch 100€ überweisen soll.

Mir ist klar, dass das ein Fake ist, mir ist aber nicht ganz klar was die richtigen Schritte sind, um den Virus vollständig und sicher zu entfernen und was der bereits angerichtet haben könnte.

Ich vermute mal, dass das nur ein "Ich will Geld haben"-Virus ist.

Vorweg: Ich bin Softwareentwickler und mir ist bewusst, dass mein Laptop nicht ausreichend geschützt war/noch ist und das eine Neuinstallation die beste Lösung wäre, die für mich aber auch bedeuten würde, dass ich zuvor alle Daten aufwändig sichern müsste, was ich gerne erst nach der Entfernung des Virus machen würde.

Ich habe noch nichts weiter unternommen, außer dass ich festgestelt habe, dass ich nur im "Abgesicherten Modus mit Eingabeaufforderung" starten kann. "AVG Antivir" hat in seinem speziellen Modus für den Windows-Modus aber nichts gefunden.

Starte ich Windows normal, kann ich nur über Strg+Alt+Entf etwas erreichen. Der Task-Manager landet leider nicht im Vordergrund. Fahre ich den Laptop dann herunter, sehe ich kurzzeitig den Desktop und sehe eine Meldung zu einem Virus der sich unter "C:\Users\***\Local\Temp\[...].exe" befindet. Der Name der Exe variiert. Ich habe auch versucht über die Eingabeaufforderung das Temp-Verzeichnis bzw. alle "EXE"-Dateien darin zu löschen. Ohne Erfolg. Anschließend heißt die Exe einfach anders. Also habe ich zunächst scheinbar nur die ausführende Instanz und nicht den eigentlichen Virus "gefunden".

Ich möchte als nächstes gerne die Schritte auf der folgenden Seite befolgen, wäre aber zuvor für eine Rückmeldung von euch dankbar, um sicherzugehen, dass ich nichts falsch machen würde:
Bundespolizei Trojaner in 10 Schritten sicher entfernen

Ich frage gleich auch mal nach, ob die Polizei es für sinnvoll erachtet, hier wirklich eine Anzeige gegen unbekannt zu erstatten.

Die Schritte 1-3 (defogger, OTL, gmer) konnte ich so jetzt natürlich noch nicht ausführen. Mache ich aber gerne, sobald ich wieder auf den Desktop komme

Vorab also schon mal vielen Dank!!!

t'john · 23.03.2013, 15:10

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Bolle86 · 23.03.2013, 17:47

...lang hats gedauert - Download via WLAN gut 1 Stunde.

Hatte beim ersten Laden von der CD Probleme und nen BlueScreen, aber gut, dann hats geklappt.

Ich habe jetzt alles so gemacht wie beschrieben, der folgende Punkt wurde in meinem Fall übrigens nicht abgefragt:
Do you wish to load remote user profile(s) for scanning

Auffällig finde ich, dass in meinem Fall keine "Extras.txt" erzeugt wurde. Ich hoffe, dass die Informationen in der angehangenen Datei dennoch weiterhelfen.

Ich freue mich schon auf die nächsten Schritte. Bin bestimmt morgen noch dran

Aber *TOP*, dass es Leute wie euch gibt, die einem helfen. Danke!

Bolle86 · 23.03.2013, 20:59

Um Missverständnissen vorzubeugen habe ich die "OTL.txt" nun nochmal hier rein gepostet statt als Anhang. Den User habe ich durch *** ersetzt.

Würde mich freuen, wenn mir noch jemand sagen könnte, was ich als nächstes machen muss und warum ich keine "Extra.txt" erhalten habe.

Gruß,
Florian

Code:

ATTFilter

OTL logfile created on: 3/23/2013 8:35:32 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Enterprise Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\Windows | %ProgramFiles% = E:\Program Files
Drive C: | 100.00 Mb Total Space | 65.84 Mb Free Space | 65.84% Space Free | Partition Type: NTFS
Drive D: | 7.84 Gb Total Space | 7.82 Gb Free Space | 99.85% Space Free | Partition Type: FAT32
Drive E: | 92.11 Gb Total Space | 8.99 Gb Free Space | 9.76% Space Free | Partition Type: NTFS
Drive F: | 197.09 Gb Total Space | 20.72 Gb Free Space | 10.51% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/03/14 03:56:45 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- E:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/03/08 09:28:16 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand] -- E:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/12/18 10:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto] -- E:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012/11/09 06:21:24 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- E:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/11/01 22:51:18 | 005,174,392 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- E:\Program Files\AVG\AVG2012\AVGIDSAgent.exe -- (AVGIDSAgent)
SRV - [2012/07/17 16:31:18 | 000,116,632 | ---- | M] () [Auto] -- E:\Program Files\Motorola Mobility\Motorola Device Manager\MotoHelperService.exe -- (Motorola Device Manager)
SRV - [2012/02/13 22:53:38 | 000,193,288 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- E:\Program Files\AVG\AVG2012\avgwdsvc.exe -- (avgwd)
SRV - [2011/10/21 10:23:42 | 000,196,176 | ---- | M] (Microsoft Corporation.) [Auto] -- E:\Program Files\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011/10/13 12:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2011/09/02 11:06:38 | 000,065,657 | ---- | M] (Motorola) [Auto] -- E:\Program Files\Motorola\MotForwardDaemon\ForwardDaemon.exe -- (PST Service)
SRV - [2011/02/25 06:48:06 | 000,087,344 | ---- | M] (Nero AG) [Auto] -- E:\Program Files\Motorola Media Link\NServiceEntry.exe -- (DeviceMonitorService)
SRV - [2010/10/19 08:29:02 | 002,011,944 | ---- | M] (TeamViewer GmbH) [Auto] -- E:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5)
SRV - [2010/10/08 01:18:42 | 000,726,288 | ---- | M] () [Auto] -- E:\Program Files\ShrewSoft\VPN Client\iked.exe -- (iked)
SRV - [2010/10/08 01:18:42 | 000,541,968 | ---- | M] () [Auto] -- E:\Program Files\ShrewSoft\VPN Client\ipsecd.exe -- (ipsecd)
SRV - [2010/10/08 01:18:42 | 000,054,544 | ---- | M] () [Auto] -- E:\Program Files\ShrewSoft\VPN Client\dtpd.exe -- (dtpd)
SRV - [2010/07/22 01:37:50 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2009/07/13 21:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/02/22 03:24:28 | 000,094,208 | ---- | M] (TODO: <公司名稱>) [Auto] -- E:\Program Files\OEM\OSD_1.12\OsdService.exe -- (OsdService)
SRV - [2007/12/16 22:00:00 | 000,143,872 | ---- | M] (SEIKO EPSON CORPORATION) [Auto] -- E:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE -- (EPSON_EB_RPCV4_01) EPSON V5 Service4(01)
SRV - [2007/01/10 22:02:00 | 000,113,664 | ---- | M] (SEIKO EPSON CORPORATION) [Auto] -- E:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE -- (EPSON_PM_RPCV4_01) EPSON V3 Service4(01)
SRV - [2006/12/19 12:23:20 | 000,094,208 | ---- | M] (SEIKO EPSON CORPORATION) [Auto] -- E:\Program Files\Common Files\EPSON\EBAPI\eEBSvc.exe -- (EpsonBidirectionalService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (VGPU)
DRV - File not found [Kernel | On_Demand] --  -- (tsusbhub)
DRV - File not found [Kernel | On_Demand] --  -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand] --  -- (MotDev)
DRV - [2012/12/09 22:28:36 | 000,142,176 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- E:\Windows\System32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2012/11/07 22:49:26 | 000,250,080 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- E:\Windows\System32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012/08/24 09:43:18 | 000,301,920 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- E:\Windows\System32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012/06/11 06:56:32 | 000,020,864 | ---- | M] (Motorola Mobility Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motccgp.sys -- (motccgp)
DRV - [2012/06/08 11:09:10 | 000,023,808 | ---- | M] (Motorola Mobility Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Motousbnet.sys -- (Motousbnet)
DRV - [2012/06/08 11:08:52 | 000,006,656 | ---- | M] (Motorola) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motswch.sys -- (MotoSwitchService)
DRV - [2012/06/08 11:08:26 | 000,024,576 | ---- | M] (Motorola Mobility Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motmodem.sys -- (motmodem)
DRV - [2012/04/18 22:50:26 | 000,024,896 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot] -- E:\Windows\System32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012/01/30 22:46:50 | 000,031,952 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot] -- E:\Windows\System32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2012/01/25 09:57:46 | 000,008,448 | ---- | M] (Motorola Mobility Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motccgpfl.sys -- (motccgpfl)
DRV - [2011/12/23 07:32:14 | 000,041,040 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | System] -- E:\Windows\System32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2011/12/23 07:32:08 | 000,017,232 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- E:\Windows\System32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2011/12/23 07:32:06 | 000,024,144 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- E:\Windows\System32\drivers\avgidsfilterx.sys -- (AVGIDSFilter)
DRV - [2011/11/08 08:59:04 | 000,011,008 | ---- | M] (Motorola Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motusbdevice.sys -- (motusbdevice)
DRV - [2010/11/20 08:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- E:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010/11/20 08:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- E:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010/11/20 08:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\system32\drivers\storvsc.sys -- (storvsc)
DRV - [2010/11/20 06:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 06:21:14 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010/11/20 05:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/11/20 05:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\system32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010/11/20 05:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\system32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010/11/08 14:56:25 | 000,025,512 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- E:\Windows\System32\drivers\ggsemc.sys -- (ggsemc)
DRV - [2010/11/08 14:56:25 | 000,013,224 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- E:\Windows\System32\drivers\ggflt.sys -- (ggflt)
DRV - [2010/09/02 03:18:48 | 000,017,920 | ---- | M] (Shrew Soft Inc) [Kernel | System] -- E:\Windows\System32\drivers\vfilter.sys -- (vflt)
DRV - [2010/09/02 03:18:48 | 000,013,824 | ---- | M] (Shrew Soft Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\virtualnet.sys -- (vnet)
DRV - [2010/04/27 11:57:28 | 000,066,632 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WmXlCore.sys -- (WmXlCore)
DRV - [2010/04/27 11:57:28 | 000,015,048 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WmVirHid.sys -- (WmVirHid)
DRV - [2010/04/27 11:57:22 | 000,022,856 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WmBEnum.sys -- (WmBEnum)
DRV - [2010/04/27 09:01:26 | 000,037,704 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WmFilter.sys -- (WmFilter)
DRV - [2009/09/01 01:19:18 | 009,825,728 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009/07/13 20:18:07 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WSDPrint.sys -- (WSDPrintDevice)
DRV - [2009/07/13 20:14:49 | 000,020,480 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WSDScan.sys -- (WSDScan)
DRV - [2009/07/13 18:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\netw5v32.sys -- (netw5v32) Intel(R)
DRV - [2009/01/29 13:11:20 | 000,006,016 | ---- | M] (Motorola Inc) [Kernel | On_Demand] -- E:\Windows\System32\drivers\motfilt.sys -- (BTCFilterService)
DRV - [2008/10/21 04:22:48 | 000,114,600 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017mdm.sys -- (s0017mdm)
DRV - [2008/10/21 04:22:48 | 000,109,736 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017unic.sys -- (s0017unic) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM)
DRV - [2008/10/21 04:22:48 | 000,108,328 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017mgmt.sys -- (s0017mgmt) Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM)
DRV - [2008/10/21 04:22:48 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017obex.sys -- (s0017obex)
DRV - [2008/10/21 04:22:48 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017bus.sys -- (s0017bus) Sony Ericsson Device 0017 driver (WDM)
DRV - [2008/10/21 04:22:48 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017nd5.sys -- (s0017nd5) Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS)
DRV - [2008/10/21 04:22:48 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\s0017mdfl.sys -- (s0017mdfl)
DRV - [2008/03/31 06:02:34 | 000,008,192 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- E:\Windows\System32\kbfiltr.sys -- (GpdKbFilter)
DRV - [2007/11/21 04:31:26 | 000,007,168 | ---- | M] () [Kernel | On_Demand] -- E:\Windows\System32\directport.sys -- (GpdDevDPort)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 10 5E E8 7B 79 11 CB 01  [binary data]
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\***_ON_E\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\***_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\***_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 192.168.*.*;*.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {1E73965B-8B48-48be-9C8D-68B920ABC1C4}:10.0.0.1209
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: E:\Windows\System32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: E:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: E:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: E:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: E:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: E:\Windows\System32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: E:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: E:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: E:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: E:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@phonostar.de/phonostar: E:\Program Files\phonostar-Player\npphonostarDetectNP.dll ( )
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1E73965B-8B48-48be-9C8D-68B920ABC1C4}: C:\Program Files\AVG\AVG2012\Firefox4\ [2013/03/06 05:18:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{F53C93F1-07D5-430c-86D4-C9531B27DFAF}: C:\Program Files\AVG\AVG2012\Firefox\DoNotTrack\ [2012/07/02 10:27:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013/03/08 09:28:16 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013/03/08 09:28:12 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013/03/08 09:28:16 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013/03/08 09:28:12 | 000,000,000 | ---D | M]
 
[2010/06/21 15:46:59 | 000,000,000 | ---D | M] (No name found) -- E:\Users\***\AppData\Roaming\Mozilla\Extensions
[2013/03/16 11:30:17 | 000,000,000 | ---D | M] (No name found) -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\extensions
[2012/06/06 13:08:04 | 000,000,853 | ---- | M] () -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\11-suche.xml
[2012/06/06 13:08:05 | 000,002,209 | ---- | M] () -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\englische-ergebnisse.xml
[2012/06/06 13:08:04 | 000,010,506 | ---- | M] () -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\gmx-suche.xml
[2012/06/06 13:08:05 | 000,002,368 | ---- | M] () -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\lastminute.xml
[2012/06/06 13:08:03 | 000,005,489 | ---- | M] () -- E:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\webde-suche.xml
[2013/03/08 09:28:12 | 000,000,000 | ---D | M] (No name found) -- E:\Program Files\Mozilla Firefox\extensions
File not found (No name found) -- 
[2012/07/02 10:27:12 | 000,000,000 | ---D | M] (AVG Do Not Track) -- E:\PROGRAM FILES\AVG\AVG2012\FIREFOX\DONOTTRACK
[2013/03/08 09:28:16 | 000,263,064 | ---- | M] (Mozilla Foundation) -- E:\Program Files\mozilla firefox\components\browsercomps.dll
[2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- E:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012/07/20 15:20:55 | 000,001,392 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/09/02 13:29:31 | 000,002,465 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012/07/20 15:20:55 | 000,001,153 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012/07/20 15:20:55 | 000,006,805 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/07/20 15:20:55 | 000,001,178 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/07/20 15:20:55 | 000,001,105 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - E:\Windows\System32\drivers\etc\hosts
O2 - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - E:\Program Files\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files\AVG\AVG2012\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - E:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - E:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - E:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - E:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKU\***_ON_E\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] E:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AVG_TRAY] E:\Program Files\AVG\AVG2012\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [DeskUpdateNotifier] E:\Program Files\Fujitsu\DeskUpdate\DeskUpdateNotifier.exe (Fujitsu Technology Solutions)
O4 - HKLM..\Run: [EEventManager] E:\Program Files\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [mumservice] E:\Program Files\Motorola\Software Update\mumservice.exe (Motorola)
O4 - HKLM..\Run: [NeroFilterCheck] E:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] E:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [PDFPrint] E:\Program Files\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [Start WingMan Profiler] E:\Program Files\Logitech\Gaming Software\LWEMon.exe (Logitech Inc.)
O4 - HKU\***_ON_E..\Run: [EPSON SX510W Series] E:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\***_ON_E..\Run: [EPSON8830CF] E:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIFIE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\***_ON_E..\Run: [MobileDocuments]  File not found
O4 - HKU\***_ON_E..\Run: [phonostar-PlayerTimer] E:\Program Files\phonostar-Player\phonostarTimer.exe ()
O4 - HKU\***_ON_E..\Run: [phonostarTimer] E:\Program Files\phonostar-Player\phonostarTimer.exe ()
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: E:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Add to Google Photos Screensa&ver - E:\Windows\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - E:\Program Files\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - E:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} hxxp://www.navigram.com/engine/v1111/Navigram.cab (Navigram Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - E:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - E:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\***_ON_E Winlogon: Shell - (explorer.exe) - E:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\***_ON_E Winlogon: Shell - (C:\Users\***\AppData\Roaming\AltShell.dat) - E:\Users\***\AppData\Roaming\AltShell.dat ()
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG2012\avgrsx.exe /sync /restart) - E:\Program Files\AVG\AVG2012\avgrsx.exe (AVG Technologies CZ, s.r.o.)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/03/22 17:46:44 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth
[2013/03/22 17:19:17 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Roaming\Ygdui
[2013/03/22 17:19:17 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Roaming\Ersu
[2013/03/22 17:19:17 | 000,000,000 | ---D | C] -- E:\Users\***\AppData\Roaming\Awla
[2013/03/14 04:12:44 | 002,382,848 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\mshtml.tlb
[2013/03/14 04:12:44 | 000,420,864 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\vbscript.dll
[2013/03/14 04:12:43 | 000,607,744 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\msfeeds.dll
[2013/03/14 04:12:43 | 000,176,640 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\ieui.dll
[2013/03/14 04:12:43 | 000,142,848 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\ieUnatt.exe
[2013/03/14 04:12:43 | 000,065,024 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jsproxy.dll
[2013/03/14 04:12:42 | 001,800,704 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jscript9.dll
[2013/03/14 04:12:42 | 000,717,824 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jscript.dll
[2013/03/14 04:12:42 | 000,231,936 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\url.dll
[2013/03/14 04:12:41 | 001,427,968 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\inetcpl.cpl
[2013/03/08 09:28:11 | 000,000,000 | ---D | C] -- E:\Program Files\Mozilla Firefox
[2013/03/07 14:33:13 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2013/03/07 14:32:12 | 000,000,000 | ---D | C] -- E:\Program Files\iTunes
[2013/03/07 14:32:12 | 000,000,000 | ---D | C] -- E:\Program Files\iPod
[2013/03/07 14:32:12 | 000,000,000 | ---D | C] -- E:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2013/03/06 05:18:50 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
[2013/02/27 16:55:17 | 000,187,392 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\UIAnimation.dll
[2013/02/27 16:55:07 | 000,417,792 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\WMPhoto.dll
[2013/02/27 16:55:04 | 000,010,752 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-advapi32-l1-1-0.dll
[2013/02/27 16:55:04 | 000,009,728 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
[2013/02/27 16:55:04 | 000,002,560 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-normaliz-l1-1-0.dll
[2013/02/27 16:55:03 | 000,364,544 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\XpsGdiConverter.dll
[2013/02/27 16:55:03 | 000,005,632 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
[2013/02/27 16:55:03 | 000,005,632 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-ole32-l1-1-0.dll
[2013/02/27 16:55:03 | 000,004,096 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-user32-l1-1-0.dll
[2013/02/27 16:55:03 | 000,003,584 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-advapi32-l2-1-0.dll
[2013/02/27 16:55:03 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-version-l1-1-0.dll
[2013/02/27 16:55:03 | 000,003,072 | -H-- | C] (Microsoft Corporation) -- E:\Windows\System32\api-ms-win-downlevel-shell32-l1-1-0.dll
[2013/02/27 16:55:02 | 001,988,096 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10warp.dll
[2013/02/27 16:55:01 | 002,284,544 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\msmpeg2vdec.dll
[2013/02/27 16:55:01 | 001,504,768 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d11.dll
[2013/02/27 16:55:01 | 000,604,160 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10level9.dll
[2013/02/27 16:55:01 | 000,293,376 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\dxgi.dll
[2013/02/27 16:55:01 | 000,249,856 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10_1core.dll
[2013/02/27 16:55:01 | 000,220,160 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10core.dll
[2013/02/27 16:55:01 | 000,161,792 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10_1.dll
[2013/02/27 16:55:00 | 001,247,744 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\DWrite.dll
[2013/02/27 16:55:00 | 001,158,144 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\XpsPrint.dll
[2013/02/27 16:55:00 | 001,080,832 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10.dll
[2013/02/27 16:55:00 | 000,207,872 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\WindowsCodecsExt.dll
[2013/02/27 16:54:58 | 003,419,136 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d2d1.dll
[1 E:\Users\***\Documents\*.tmp files -> E:\Users\***\Documents\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/03/23 09:58:36 | 000,067,584 | --S- | M] () -- E:\Windows\bootstat.dat
[2013/03/23 09:57:56 | 000,000,004 | ---- | M] () -- E:\Users\***\AppData\Roaming\AltShell.ini
[2013/03/23 09:56:42 | 000,001,092 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013/03/23 09:56:34 | 2411,708,416 | -HS- | M] () -- E:\hiberfil.sys
[2013/03/23 09:55:42 | 000,015,808 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013/03/23 09:55:42 | 000,015,808 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013/03/22 18:41:00 | 000,001,096 | ---- | M] () -- E:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013/03/22 17:56:00 | 000,000,884 | ---- | M] () -- E:\Windows\tasks\Adobe Flash Player Updater.job
[2013/03/22 17:46:44 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth
[2013/03/22 12:30:03 | 114,143,242 | ---- | M] () -- E:\Windows\System32\drivers\AVG\incavi.avm
[2013/03/22 04:47:00 | 000,000,240 | ---- | M] () -- E:\Windows\tasks\Epson Printer Software Downloader.job
[2013/03/17 14:45:31 | 000,657,910 | ---- | M] () -- E:\Windows\System32\perfh007.dat
[2013/03/17 14:45:31 | 000,619,146 | ---- | M] () -- E:\Windows\System32\perfh009.dat
[2013/03/17 14:45:31 | 000,131,250 | ---- | M] () -- E:\Windows\System32\perfc007.dat
[2013/03/17 14:45:31 | 000,107,466 | ---- | M] () -- E:\Windows\System32\perfc009.dat
[2013/03/16 12:20:23 | 000,270,923 | ---- | M] () -- E:\Windows\System32\drivers\AVG\iavichjg.avm
[2013/03/14 04:13:55 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
[2013/03/14 03:56:43 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- E:\Windows\System32\FlashPlayerApp.exe
[2013/03/14 03:56:43 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- E:\Windows\System32\FlashPlayerCPLApp.cpl
[2013/03/09 03:18:51 | 000,001,994 | ---- | M] () -- E:\Users\***\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2013/03/07 14:33:13 | 000,001,753 | ---- | M] () -- E:\Users\Public\Desktop\iTunes.lnk
[2013/03/07 14:33:13 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2013/03/06 09:46:09 | 000,023,090 | ---- | M] () -- E:\Users\***\Desktop\Chuggington-5.jpg
[2013/03/06 05:18:50 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
[1 E:\Users\***\Documents\*.tmp files -> E:\Users\***\Documents\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/03/22 18:44:14 | 000,000,004 | ---- | C] () -- E:\Users\***\AppData\Roaming\AltShell.ini
[2013/03/07 14:33:13 | 000,001,753 | ---- | C] () -- E:\Users\Public\Desktop\iTunes.lnk
[2013/03/06 09:46:08 | 000,023,090 | ---- | C] () -- E:\Users\***\Desktop\Chuggington-5.jpg
[2012/01/11 09:33:30 | 000,031,232 | ---- | C] () -- E:\Users\***\AppData\Roaming\AltShell.dat
[2011/11/09 15:37:17 | 000,000,859 | ---- | C] () -- E:\Users\***\AppData\Roaming\coreavc.ini
[2011/06/10 01:34:52 | 000,080,416 | ---- | C] () -- E:\Windows\System32\RtNicProp32.dll
[2011/03/04 15:41:56 | 000,080,896 | ---- | C] () -- E:\Windows\System32\RDVGHelper.exe
[2011/03/04 15:41:20 | 000,252,928 | ---- | C] () -- E:\Windows\System32\DShowRdpFilter.dll
[2011/03/04 15:39:42 | 000,066,048 | ---- | C] () -- E:\Windows\System32\PrintBrmUi.exe
[2010/11/06 15:10:44 | 000,007,605 | ---- | C] () -- E:\Users\***\AppData\Local\Resmon.ResmonCfg
[2010/09/04 10:31:17 | 000,000,056 | -H-- | C] () -- E:\ProgramData\ezsidmv.dat
[2010/08/31 03:50:15 | 000,111,932 | ---- | C] () -- E:\Windows\System32\EPPICPrinterDB.dat
[2010/08/31 03:50:15 | 000,031,053 | ---- | C] () -- E:\Windows\System32\EPPICPattern131.dat
[2010/08/31 03:50:15 | 000,027,417 | ---- | C] () -- E:\Windows\System32\EPPICPattern121.dat
[2010/08/31 03:50:15 | 000,026,154 | ---- | C] () -- E:\Windows\System32\EPPICPattern1.dat
[2010/08/31 03:50:15 | 000,024,903 | ---- | C] () -- E:\Windows\System32\EPPICPattern3.dat
[2010/08/31 03:50:15 | 000,021,390 | ---- | C] () -- E:\Windows\System32\EPPICPattern5.dat
[2010/08/31 03:50:15 | 000,020,148 | ---- | C] () -- E:\Windows\System32\EPPICPattern2.dat
[2010/08/31 03:50:15 | 000,011,811 | ---- | C] () -- E:\Windows\System32\EPPICPattern4.dat
[2010/08/31 03:50:15 | 000,004,943 | ---- | C] () -- E:\Windows\System32\EPPICPattern6.dat
[2010/08/31 03:50:15 | 000,001,146 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_DU.dat
[2010/08/31 03:50:15 | 000,001,139 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_PT.dat
[2010/08/31 03:50:15 | 000,001,139 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_BP.dat
[2010/08/31 03:50:15 | 000,001,136 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_ES.dat
[2010/08/31 03:50:15 | 000,001,129 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_FR.dat
[2010/08/31 03:50:15 | 000,001,129 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_CF.dat
[2010/08/31 03:50:15 | 000,001,120 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_IT.dat
[2010/08/31 03:50:15 | 000,001,107 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_GE.dat
[2010/08/31 03:50:15 | 000,001,104 | ---- | C] () -- E:\Windows\System32\EPPICPresetData_EN.dat
[2010/08/31 03:50:15 | 000,000,097 | ---- | C] () -- E:\Windows\System32\PICSDK.ini
[2009/07/14 05:04:11 | 000,657,910 | ---- | C] () -- E:\Windows\System32\perfh007.dat
[2009/07/14 05:04:11 | 000,295,922 | ---- | C] () -- E:\Windows\System32\perfi007.dat
[2009/07/14 05:04:11 | 000,131,250 | ---- | C] () -- E:\Windows\System32\perfc007.dat
[2009/07/14 05:04:11 | 000,038,104 | ---- | C] () -- E:\Windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- E:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,410,064 | ---- | C] () -- E:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,619,146 | ---- | C] () -- E:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- E:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,107,466 | ---- | C] () -- E:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- E:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- E:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- E:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- E:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- E:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- E:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- E:\Windows\System32\mlang.dat
[2007/11/21 04:31:26 | 000,007,168 | ---- | C] () -- E:\Windows\System32\directport.sys
[2007/03/12 13:59:00 | 000,299,008 | ---- | C] () -- E:\Program Files\navigram_register.exe
 
========== LOP Check ==========
 
[2013/03/07 14:33:02 | 000,000,000 | ---D | M] -- E:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2010/06/21 15:33:38 | 000,000,000 | -HSD | M] -- E:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Application Data
[2011/04/14 14:26:25 | 000,000,000 | ---D | M] -- E:\ProgramData\Avanquest
[2013/01/21 10:14:02 | 000,000,000 | ---D | M] -- E:\ProgramData\AVG January 2013 Campaign
[2012/02/09 13:43:05 | 000,000,000 | ---D | M] -- E:\ProgramData\AVG10
[2013/03/22 17:22:46 | 000,000,000 | ---D | M] -- E:\ProgramData\AVG2012
[2010/11/13 07:30:55 | 000,000,000 | ---D | M] -- E:\ProgramData\avg9
[2011/12/04 15:25:35 | 000,000,000 | ---D | M] -- E:\ProgramData\Big Fish Games
[2012/08/13 14:41:23 | 000,000,000 | ---D | M] -- E:\ProgramData\boost_interprocess
[2010/11/08 14:51:25 | 000,000,000 | ---D | M] -- E:\ProgramData\BVRP Software
[2011/08/20 03:01:43 | 000,000,000 | -H-D | M] -- E:\ProgramData\CanonBJ
[2010/11/14 08:06:24 | 000,000,000 | -H-D | M] -- E:\ProgramData\Common Files
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Documents
[2010/06/21 15:33:38 | 000,000,000 | -HSD | M] -- E:\ProgramData\Dokumente
[2012/01/11 15:50:20 | 000,000,000 | ---D | M] -- E:\ProgramData\elsterformular
[2013/01/20 01:57:26 | 000,000,000 | ---D | M] -- E:\ProgramData\eMule
[2010/08/31 03:55:59 | 000,000,000 | ---D | M] -- E:\ProgramData\EPSON
[2010/06/21 15:33:38 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favorites
[2010/09/04 10:43:04 | 000,000,000 | ---D | M] -- E:\ProgramData\Fujitsu
[2013/03/06 05:19:07 | 000,000,000 | ---D | M] -- E:\ProgramData\MFAData
[2012/11/18 09:22:23 | 000,000,000 | ---D | M] -- E:\ProgramData\motorola
[2010/07/20 16:31:09 | 000,000,000 | ---D | M] -- E:\ProgramData\PDF Writer
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Start Menu
[2010/06/21 15:33:38 | 000,000,000 | -HSD | M] -- E:\ProgramData\Startmenü
[2012/11/18 16:50:22 | 000,000,000 | ---D | M] -- E:\ProgramData\TEMP
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Templates
[2010/12/15 09:24:28 | 000,000,000 | ---D | M] -- E:\ProgramData\tmp
[2010/08/31 03:54:44 | 000,000,000 | ---D | M] -- E:\ProgramData\UDL
[2010/06/21 15:33:38 | 000,000,000 | -HSD | M] -- E:\ProgramData\Vorlagen
[2011/03/19 12:19:48 | 000,000,000 | ---D | M] -- E:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2013/03/22 04:47:00 | 000,000,240 | ---- | M] () -- E:\Windows\Tasks\Epson Printer Software Downloader.job
[2013/01/21 13:54:24 | 000,000,298 | ---- | M] () -- E:\Windows\Tasks\ROC_REG_JAN_DELETE.job
[2013/02/19 04:37:36 | 000,032,632 | ---- | M] () -- E:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 208 bytes -> E:\ProgramData\TEMP:6D192E3A
< End of report >

t'john · 25.03.2013, 20:12

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

ATTFilter

:OTL

O20 - HKU\***_ON_E Winlogon: Shell - (C:\Users\***\AppData\Roaming\AltShell.dat) - E:\Users\***\AppData\Roaming\AltShell.dat () 
@Alternate Data Stream - 208 bytes -> E:\ProgramData\Temp:6D192E3A 
[2013/03/23 09:57:56 | 000,000,004 | ---- | M] () -- E:\Users\***\AppData\Roaming\AltShell.ini 
[2013/03/23 09:55:42 | 000,015,808 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 
[2013/03/23 09:55:42 | 000,015,808 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 
[2012/08/13 14:41:23 | 000,000,000 | ---D | M] -- E:\ProgramData\boost_interprocess 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Bolle86 · 25.03.2013, 21:46

Guten Abend und danke für die Antwort.

Ich weiß, dass ihr auch nicht nur fürs Forum lebt, aber ich hatte schon gedacht, dass keine Antwort mehr kommt und damit bekommen einen Karspersky-USB-Stick für die Prüfung zu verwenden.

Als dann eure Antwort kam, war der noch nicht fertig, so dass ich abgebrochen habe und deine Schritte vollzogen habe. Ich bereue es nicht!

Ich komme wieder auf mein System. Natürlich weiß ich, dass ich noch nicht fertig bin. Internet ist nachwievor deaktiviert.

Hier das Ergebnis des Fix (03262013_010145.log):

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\***\AppData\Roaming\AltShell.dat deleted successfully.
E:\Users\***\AppData\Roaming\AltShell.dat moved successfully.
ADS E:\ProgramData\Temp:6D192E3A deleted successfully.
E:\Users\***\AppData\Roaming\AltShell.ini moved successfully.
E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 moved successfully.
E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 moved successfully.
E:\ProgramData\boost_interprocess\BDCB0F588279CD01 folder moved successfully.
E:\ProgramData\boost_interprocess folder moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
E:\cmd.bat deleted successfully.
E:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
 
User: Public
 
User: ***
->Temp folder emptied: 433626852 bytes
->Temporary Internet Files folder emptied: 456449445 bytes
->Java cache emptied: 7832522 bytes
->FireFox cache emptied: 432231138 bytes
->Apple Safari cache emptied: 141835264 bytes
->Flash cache emptied: 492 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 284369109 bytes
 
Total Files Cleaned = 1,675.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03262013_010145

Nach dem ich mein System gestartet habe, habe ich nun folgende Meldungen erhalten, die ich NOCH NICHT weggeklickt habe. Daher wäre es super, wenn ich noch eine Rückmeldung bekommen könnte, was ich damit zumindest machen soll, da ich den Laptop nicht 2 Tage laufen lassen will.

Im Voraus vielen Dank für die weitere Hilfe und Unterstützung!

t'john · 26.03.2013, 02:50

Immer in Quarantaene verschieben!

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

dann:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Bolle86 · 26.03.2013, 22:47

So, guten Abend!

ich habe nun insgesamt 2 mal MBar.exe ausgeführt, wobei beim 2. Durchlauf keine Malware mehr gefunden wurde. Für das Update der Viren-Definition des Tools habe ich kurzfristig das WLAN aktiviert, sonst lasse ich es momentan lieber noch aus.

Kanst du mir sagen, ob die hier gefundenen Einträge auch was mit dem "BKA"-Virus bzw. meinem Virus zu tun haben?

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.26.13

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [administrator]

26.03.2013 21:59:45
mbar-log-2013-03-26 (21-59-45).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 31015
Time elapsed: 18 minute(s), 

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|bak_Application (Hijacker.Application) -> Data: hxxp://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> Delete on reboot.

Registry Data Items Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Delete on reboot.

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
c:\Users\***\Downloads\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Delete on reboot.

(end)

2. Durchlauf:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.26.14

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [administrator]

26.03.2013 22:25:17
mbar-log-2013-03-26 (22-25-17).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 31041
Time elapsed: 18 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Anschließend habe ich AdwCleaner ausgeführt. Vor dem Neustart hat AVG AntiVir eine Bedrohung in dem Programm erkannt, die ich dann mal zugelassen habe. Anschließend hat sich wie beschrieben das Log-File geöffnet. Auch hier sieht es für mich nur so aus, als habe das Tool Plug-Ins im Firefox/IE deaktiviert/deinstalliert!?

AdwCleaner:

Code:

ATTFilter

# AdwCleaner v2.115 - Datei am 26/03/2013 um 22:27:22 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise Service Pack 1 (32 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\END
Datei Gelöscht : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\searchplugins\11-suche.xml
Ordner Gelöscht : C:\Users\***\AppData\LocalLow\AskToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\Software\Freeze.com
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v19.0.2 (de)

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1309 octets] - [26/03/2013 22:27:22]

########## EOF - C:\AdwCleaner[S1].txt - [1369 octets] ##########

Was mir an meinem System noch auffällt ist, dass beim Start nach dem Begrüßungsbildschirm ein schwarzer Desktop eingerichtet ist - also nicht mehr mein Hintergrundbild (klar nicht schlimm!) und das sich immer kurz ein "CommandPromt" (cmd.exe) öffnet und wieder schließt. Insgesamt wirkt es auch etwas langsamer als vorher, so dass ein ungutes Gefühl bleibt.

Ich kann mein "Danke für die Unterstützung" nur immer wieder wiederholen. Es sei denn ihr hackt euch auf Basis der Log-Dateien am Ende in mein System ein ;-)

Noch ein Nachtrag:
Ich habe mein AVG AntiVir noch aktualisiert und dann einen scan durchlaufen lassen. Der hat auch nichts gefunden. Allerdings ist mein Vertrauen in diese Aussage nicht sehr groß. ("Herzlichen Glückwunsch...")

t'john · 27.03.2013, 12:36

OK,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bolle86 · 27.03.2013, 21:56

Hallo und Guten Abend,

ich habe alles gemacht wie beschrieben und habe keine Auffälligkeiten zu berichten.

AVG AntiVir hatte ich deaktiviert - er hat nichts angemeckert - und den Neustart hat er auch problemlos mitgemacht.

Positiv aufgefallen ist mir, dass nun der CommandPrompt beim starten nicht mehr angezeigt wird und die Geschwindigkeit wie vor dem Virus ist. Ich habe wirklich das Gefühl, das alles wieder beim alten ist.

Bedeutet das, dass wir "schon" fertig sind? Kann ich den Zugriff auf das Internet wieder aktivieren?

Code:

ATTFilter

ComboFix 13-03-27.01 - *** 27.03.2013  21:30:10.1.2 - x86
Microsoft Windows 7 Enterprise   6.1.7601.1.1252.49.1031.18.3067.2041 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Roaming\Awla
c:\users\***\AppData\Roaming\Awla\kyzym.zie
c:\users\***\Documents\seCache.tmp
c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFIE.exe
c:\windows\system32\spsys.log
c:\windows\tmp
c:\windows\tmp\dd_vcredistMSI3908.txt
c:\windows\tmp\dd_vcredistMSI4F91.txt
c:\windows\tmp\dd_vcredistUI3908.txt
c:\windows\tmp\dd_vcredistUI4F91.txt
c:\windows\tmp\qtsingleapp-koboex-f4a6-1-lockfile
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-27 bis 2013-03-27  ))))))))))))))))))))))))))))))
.
.
2013-03-27 20:45 . 2013-03-27 20:45	--------	d-----w-	c:\users\***\AppData\Local\temp
2013-03-27 20:45 . 2013-03-27 20:45	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-03-26 20:32 . 2013-03-26 20:32	--------	d-----w-	c:\programdata\Malwarebytes
2013-03-26 05:01 . 2013-03-26 05:01	--------	d-----w-	C:\_OTL
2013-03-22 21:19 . 2013-03-22 21:22	--------	d-----w-	c:\users\***\AppData\Roaming\Ersu
2013-03-22 21:19 . 2013-03-22 21:19	--------	d-----w-	c:\users\***\AppData\Roaming\Ygdui
2013-03-07 18:32 . 2013-03-07 18:33	--------	d-----w-	c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-03-07 18:32 . 2013-03-07 18:33	--------	d-----w-	c:\program files\iTunes
2013-03-07 18:32 . 2013-03-07 18:32	--------	d-----w-	c:\program files\iPod
2013-02-27 20:54 . 2013-01-13 19:43	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2013-02-27 20:54 . 2013-01-13 19:37	3419136	----a-w-	c:\windows\system32\d2d1.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-14 07:56 . 2012-07-25 18:29	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-14 07:56 . 2011-05-18 14:55	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-12 04:48 . 2013-03-14 07:41	474112	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-14 07:41	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-01-05 05:00 . 2013-02-13 09:22	3967848	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-05 05:00 . 2013-02-13 09:22	3913064	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-04 04:50 . 2013-02-13 09:22	169984	----a-w-	c:\windows\system32\winsrv.dll
2013-01-04 03:00 . 2013-02-13 09:22	2347008	----a-w-	c:\windows\system32\win32k.sys
2013-01-03 05:05 . 2013-02-13 09:22	1293672	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-01-03 05:04 . 2013-02-13 09:22	187752	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2007-03-12 17:59 . 2007-03-12 17:59	299008	----a-w-	c:\program files\navigram_register.exe
2013-03-08 13:28 . 2013-03-08 13:28	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"phonostarTimer"="c:\program files\phonostar-Player\phonostarTimer.exe" [2012-10-13 42496]
"phonostar-PlayerTimer"="c:\program files\phonostar-Player\phonostarTimer.exe" [2012-10-13 42496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-01 13797992]
"DeskUpdateNotifier"="c:\program files\Fujitsu\DeskUpdate\DeskUpdateNotifier.exe" [2010-10-13 97560]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-09-04 7862816]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-11-19 2598520]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 153672]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-01-28 59720]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"mumservice"="c:\program files\Motorola\Software Update\mumservice.exe" [2012-10-17 1066304]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2012-12-12 163000]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-02-20 152392]
.
c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
OSD.lnk - c:\windows\Installer\{73289228-1853-4623-982A-EB17FF0270CA}\_4D3FC276DECE661B01DFEC.exe [2010-6-21 21630]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]
R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x]
R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\DRIVERS\s0017bus.sys [x]
R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0017mdfl.sys [x]
R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0017mdm.sys [x]
R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0017mgmt.sys [x]
R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\DRIVERS\s0017nd5.sys [x]
R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0017obex.sys [x]
R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\DRIVERS\s0017unic.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [x]
S0 AVGIDSHX;AVGIDSHX;c:\windows\system32\DRIVERS\avgidshx.sys [x]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]
S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [x]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 DeviceMonitorService;DeviceMonitorService;c:\program files\Motorola Media Link\NServiceEntry.exe [x]
S2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe [x]
S2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe [x]
S2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [x]
S2 Motorola Device Manager;Motorola Device Manager Service;c:\program files\Motorola Mobility\Motorola Device Manager\MotoHelperService.exe [x]
S2 OsdService;OSD Service;c:\program files\OEM\OSD_1.12\OsdService.exe [x]
S2 PST Service;PST Service;c:\program files\Motorola\MotForwardDaemon\ForwardDaemon.exe [x]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdriverx.sys [x]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\avgidsfilterx.sys [x]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\avgidsshimx.sys [x]
S3 GpdDevDPort;GpdDevDPort;c:\windows\system32\directport.sys [x]
S3 GpdKbFilter;GpdKbFilter;c:\windows\system32\kbfiltr.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-25 07:56]
.
2013-03-22 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03]
.
2013-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-14 03:20]
.
2013-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-14 03:20]
.
2013-01-21 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-21 21:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = 192.168.*.*;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2013-03-16 16:30; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-03-27  21:46:57
ComboFix-quarantined-files.txt  2013-03-27 20:46
.
Vor Suchlauf: 9 Verzeichnis(se), 13.647.835.136 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 13.533.278.208 Bytes frei
.
- - End Of File - - 5D2FEDBB94178A05CAD8BE86BB63F764

t'john · 29.03.2013, 09:40

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
Folder::
c:\users\***\AppData\Roaming\Ersu
c:\users\***\AppData\Roaming\Ygdui
         
Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.
Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

dann:

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Bolle86 · 30.03.2013, 13:52

Hallo und wieder mal danke für die Rückmeldung,

offensichtlich waren wir noch nicht fertig, was die Ausführung der Tools bestätigt.

Also:
Ausführung von ComboFix wie beschrieben ist ohne Besonderheiten durchgelaufen, außer das in den genannten Verzeichnissen eine Datei von genau dem Zeitpunkt des Auftretens des Virus gefunden wurde (hab vorher mal reingeschaut --> 22.03.2013 22:20 Uhr)

Code:

ATTFilter

ComboFix 13-03-30.01 - *** 30.03.2013  11:28:59.2.2 - x86
Microsoft Windows 7 Enterprise   6.1.7601.1.1252.49.1031.18.3067.2153 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\***\Desktop\CFScript.txt
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\***\AppData\Roaming\Ersu
c:\users\***\AppData\Roaming\Ygdui
c:\users\***\AppData\Roaming\Ygdui\lowy.evg
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-28 bis 2013-03-30  ))))))))))))))))))))))))))))))
.
.
2013-03-30 10:33 . 2013-03-30 10:33	--------	d-----w-	c:\users\***\AppData\Local\temp
2013-03-30 10:33 . 2013-03-30 10:33	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-03-26 20:32 . 2013-03-26 20:32	--------	d-----w-	c:\programdata\Malwarebytes
2013-03-26 05:01 . 2013-03-26 05:01	--------	d-----w-	C:\_OTL
2013-03-07 18:32 . 2013-03-07 18:33	--------	d-----w-	c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-03-07 18:32 . 2013-03-07 18:33	--------	d-----w-	c:\program files\iTunes
2013-03-07 18:32 . 2013-03-07 18:32	--------	d-----w-	c:\program files\iPod
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-14 07:56 . 2012-07-25 18:29	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-14 07:56 . 2011-05-18 14:55	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-12 04:48 . 2013-03-14 07:41	474112	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-14 07:41	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-01-13 21:17 . 2013-02-27 20:55	9728	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-01-13 21:17 . 2013-02-27 20:55	2560	---ha-w-	c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-01-13 21:16 . 2013-02-27 20:55	10752	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-01-13 21:12 . 2013-02-27 20:55	3584	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-01-13 21:11 . 2013-02-27 20:55	4096	---ha-w-	c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-01-13 21:11 . 2013-02-27 20:55	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-01-13 21:11 . 2013-02-27 20:55	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-01-13 21:11 . 2013-02-27 20:55	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
2013-01-13 21:11 . 2013-02-27 20:55	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-01-13 20:31 . 2013-02-27 20:55	1247744	----a-w-	c:\windows\system32\DWrite.dll
2013-01-13 20:30 . 2013-02-27 20:55	906240	----a-w-	c:\windows\system32\FntCache.dll
2013-01-13 20:22 . 2013-02-27 20:55	1988096	----a-w-	c:\windows\system32\d3d10warp.dll
2013-01-13 20:20 . 2013-02-27 20:55	293376	----a-w-	c:\windows\system32\dxgi.dll
2013-01-13 20:09 . 2013-02-27 20:55	249856	----a-w-	c:\windows\system32\d3d10_1core.dll
2013-01-13 20:08 . 2013-02-27 20:55	220160	----a-w-	c:\windows\system32\d3d10core.dll
2013-01-13 20:08 . 2013-02-27 20:55	1504768	----a-w-	c:\windows\system32\d3d11.dll
2013-01-13 19:54 . 2013-02-27 20:55	604160	----a-w-	c:\windows\system32\d3d10level9.dll
2013-01-13 19:53 . 2013-02-27 20:55	207872	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2013-01-13 19:53 . 2013-02-27 20:55	187392	----a-w-	c:\windows\system32\UIAnimation.dll
2013-01-13 19:48 . 2013-02-27 20:55	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2013-01-13 19:46 . 2013-02-27 20:55	1080832	----a-w-	c:\windows\system32\d3d10.dll
2013-01-13 19:43 . 2013-02-27 20:54	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2013-01-13 19:37 . 2013-02-27 20:54	3419136	----a-w-	c:\windows\system32\d2d1.dll
2013-01-13 19:02 . 2013-02-27 20:55	417792	----a-w-	c:\windows\system32\WMPhoto.dll
2013-01-13 18:34 . 2013-02-27 20:55	364544	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2013-01-13 17:26 . 2013-02-27 20:55	1158144	----a-w-	c:\windows\system32\XpsPrint.dll
2013-01-05 05:00 . 2013-02-13 09:22	3967848	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-01-05 05:00 . 2013-02-13 09:22	3913064	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-04 06:11 . 2013-02-27 20:55	2284544	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-01-04 04:50 . 2013-02-13 09:22	169984	----a-w-	c:\windows\system32\winsrv.dll
2013-01-04 03:00 . 2013-02-13 09:22	2347008	----a-w-	c:\windows\system32\win32k.sys
2013-01-03 05:05 . 2013-02-13 09:22	1293672	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-01-03 05:04 . 2013-02-13 09:22	187752	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
2007-03-12 17:59 . 2007-03-12 17:59	299008	----a-w-	c:\program files\navigram_register.exe
2013-03-08 13:28 . 2013-03-08 13:28	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"phonostarTimer"="c:\program files\phonostar-Player\phonostarTimer.exe" [2012-10-13 42496]
"phonostar-PlayerTimer"="c:\program files\phonostar-Player\phonostarTimer.exe" [2012-10-13 42496]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-01 13797992]
"DeskUpdateNotifier"="c:\program files\Fujitsu\DeskUpdate\DeskUpdateNotifier.exe" [2010-10-13 97560]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-09-04 7862816]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-01-12 669520]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-11-19 2598520]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 153672]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-01-28 59720]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"mumservice"="c:\program files\Motorola\Software Update\mumservice.exe" [2012-10-17 1066304]
"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2012-12-12 163000]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-02-20 152392]
.
c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
OSD.lnk - c:\windows\Installer\{73289228-1853-4623-982A-EB17FF0270CA}\_4D3FC276DECE661B01DFEC.exe [2010-6-21 21630]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]
R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x]
R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x]
R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\DRIVERS\s0017bus.sys [x]
R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0017mdfl.sys [x]
R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0017mdm.sys [x]
R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0017mgmt.sys [x]
R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\DRIVERS\s0017nd5.sys [x]
R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0017obex.sys [x]
R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\DRIVERS\s0017unic.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 vnet;Shrew Soft Virtual Adapter;c:\windows\system32\DRIVERS\virtualnet.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [x]
S0 AVGIDSHX;AVGIDSHX;c:\windows\system32\DRIVERS\avgidshx.sys [x]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]
S1 vflt;Shrew Soft Lightweight Filter;c:\windows\system32\DRIVERS\vfilter.sys [x]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 DeviceMonitorService;DeviceMonitorService;c:\program files\Motorola Media Link\NServiceEntry.exe [x]
S2 dtpd;ShrewSoft DNS Proxy Daemon;c:\program files\ShrewSoft\VPN Client\dtpd.exe [x]
S2 iked;ShrewSoft IKE Daemon;c:\program files\ShrewSoft\VPN Client\iked.exe [x]
S2 ipsecd;ShrewSoft IPSEC Daemon;c:\program files\ShrewSoft\VPN Client\ipsecd.exe [x]
S2 Motorola Device Manager;Motorola Device Manager Service;c:\program files\Motorola Mobility\Motorola Device Manager\MotoHelperService.exe [x]
S2 OsdService;OSD Service;c:\program files\OEM\OSD_1.12\OsdService.exe [x]
S2 PST Service;PST Service;c:\program files\Motorola\MotForwardDaemon\ForwardDaemon.exe [x]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdriverx.sys [x]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\avgidsfilterx.sys [x]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\avgidsshimx.sys [x]
S3 GpdDevDPort;GpdDevDPort;c:\windows\system32\directport.sys [x]
S3 GpdKbFilter;GpdKbFilter;c:\windows\system32\kbfiltr.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-25 07:56]
.
2013-03-22 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-01-23 13:03]
.
2013-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-14 03:20]
.
2013-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-08-14 03:20]
.
2013-01-21 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-21 21:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = 192.168.*.*;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2013-03-16 16:30; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\rkwhlmqp.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-03-30  11:35:06
ComboFix-quarantined-files.txt  2013-03-30 10:35
ComboFix2.txt  2013-03-27 20:46
.
Vor Suchlauf: 13 Verzeichnis(se), 13.529.387.008 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 13.460.377.600 Bytes frei
.
- - End Of File - - 480FE54B4621B874A65870632397DDD1

Anschließend auch Anti-Malware ausgeführt. Dort wurde eine Infektion gefunden - vermutlich die am Anfang der Arbeit hier umbenannte Shell-Datei, oder?

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.30.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

30.03.2013 11:43:07
mbam-log-2013-03-30 (11-43-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 412195
Laufzeit: 1 Stunde(n), 21 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\03262013_010145\E_Users\***\AppData\Roaming\AltShell.dat (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Anschließend musste ich das System noch neustarten, was ohne Besonderheiten auch geklappt hat.

Wie gehts nun weiter?
Wie viele solcher Anfragen bearbeitest du eigentlich pro Tag? Es wirkt so routiniert

t'john · 30.03.2013, 16:15

Sehr gut!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bolle86 · 30.03.2013, 23:38

Guten Abend,

zwischen 2 Monopoly-Partien

poste ich dir mal eben die nächsten Log-Dateien:

aswMBR --> Keine Besonderheiten, also kein Absturz oder so:

Code:

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-30 18:28:55
-----------------------------
18:28:55.574    OS Version: Windows 6.1.7601 Service Pack 1
18:28:55.574    Number of processors: 2 586 0x1706
18:28:55.574    ComputerName: ***-PC  UserName: ***
18:28:56.244    Initialize success
18:39:14.895    AVAST engine defs: 13033000
18:40:05.969    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
18:40:05.985    Disk 0 Vendor: ST9320320AS SD03 Size: 305245MB BusType: 11
18:40:06.110    Disk 0 MBR read successfully
18:40:06.110    Disk 0 MBR scan
18:40:06.110    Disk 0 Windows 7 default MBR code
18:40:06.125    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         9000 MB offset 2048
18:40:06.141    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 18434048
18:40:06.141    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        94319 MB offset 18638848
18:40:06.157    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       201824 MB offset 211804160
18:40:06.172    Disk 0 scanning sectors +625140400
18:40:06.328    Disk 0 scanning C:\Windows\system32\drivers
18:40:19.807    Service scanning
18:40:45.968    Modules scanning
18:40:51.521    Disk 0 trace - called modules:
18:40:51.553    ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll PCIIDEX.SYS msahci.sys intelppm.sys 
18:40:51.553    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x869c5770]
18:40:51.568    3 CLASSPNP.SYS[8bbdd59e] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x868e9908]
18:40:52.177    AVAST engine scan C:\Windows
18:40:54.766    AVAST engine scan C:\Windows\system32
18:44:15.741    AVAST engine scan C:\Windows\system32\drivers
18:44:31.935    AVAST engine scan C:\Users\***
18:52:08.066    AVAST engine scan C:\ProgramData
18:54:36.595    Scan finished successfully
18:55:28.840    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\MBR.dat"
18:55:28.840    The log file has been saved successfully to "C:\Users\***\Desktop\aswMBR.txt"

ESET Online Scanner --> Keine Funde:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=9097ff737d76a847a77665d079ca6e23
# engine=13517
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-30 07:22:23
# local_time=2013-03-30 08:22:23 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1034 16777213 100 81 23096 54331753 0 0
# compatibility_mode=5893 16776574 100 94 65394139 116302534 0 0
# scanned=209142
# found=0
# cleaned=0
# scan_time=4799

Security Check:

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.59  
 Windows 7 Service Pack 1 x86 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
AVG Anti-Virus Free Edition 2012   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java(TM) 6 Update 24  
 Java version out of Date! 
 Adobe Flash Player 	11.6.602.180  
 Adobe Reader 10.1.6 Adobe Reader out of Date!  
 Mozilla Firefox (19.0.2) 
````````Process Check: objlist.exe by Laurent````````  
 AVG avgwdsvc.exe 
 AVG avgtray.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

Man, wie viele Tools gibt es eigentlich noch!?

t'john · 01.04.2013, 12:36

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 17 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck