|
Plagegeister aller Art und deren Bekämpfung: Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit EingabeaufforderungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.04.2013, 16:20 | #1 |
| Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Hallo! Habe mir gestern den scheinbar eh relativ bekannten "Landespolizeidirection"-Virus geholt, bei dem ich dazu aufgefordert werde 100€ zu zahlen. Hatte schon einmal einen ähnlichen Trojaner, den ich über den abgesicherten Modus und das deaktivieren der Autostartprozesse über msconfig loswerden konnte. Jetzt habe ich allerdings das Problem, dass der PC beim Starten des abgesicherten Modus (mit und ohne Netzwerktreibern) sofort nach dem Login wieder herunterfährt. Ein Drücken der Shift-Taste beim Login hat auch nichts gebracht. Habe im abgesicherten Modus mit Eingabeaufforderung msconfig gestartet, allerdings keine verdächtigen Autostartprozesse gefunden. Aufgrund des oben beschriebenen Problems kann ich auch keine Logs anlegen und euch posten. Bitte um Hilfe, muss dringend an Daten auf dem PC. Danke schon mal für eure Zeit lG, mtg |
07.04.2013, 16:32 | #2 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema. Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst: Bitte lesen: Regeln für die Bereinigung
Computer mit Combofix entsperren Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!
__________________ |
07.04.2013, 17:41 | #3 |
| Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Hallo ryder!
__________________Danke, dass du dich meiner annimmst. Habe deine Schritte ohne Komplikationen befolgt und als das log im Editor angezeigt wurde, den PC neugestartet. Der Virus ist nicht mehr erschienen, die Taskleiste hat jetzt allerdings Windows-XP-Style was vmtl an den schon zuvor deaktivierten Autostartprozessen liegt. Hier das log: Code:
ATTFilter ComboFix 13-04-06.02 - Gabriel 07.04.2013 17:53:17.1.4 - x64 MINIMAL Microsoft Windows 7 Home Premium 6.1.7601.1.1252.43.1031.18.4094.3495 [GMT 2:00] ausgeführt von:: c:\users\Gabriel\desktop\ComboFix.exe Benutzte Befehlsschalter :: \desktop\combofix.exe * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\6409198.bat c:\programdata\6409198.pad c:\programdata\6409198.reg c:\users\Gabriel\AppData\Roaming\AltShell.dat c:\users\Gabriel\Documents\~WRL0452.tmp c:\users\Gabriel\Documents\~WRL2196.tmp c:\users\Gabriel\Documents\~WRL3847.tmp . . ((((((((((((((((((((((( Dateien erstellt von 2013-03-07 bis 2013-04-07 )))))))))))))))))))))))))))))) . . 2013-04-07 15:59 . 2013-04-07 15:59 -------- d-----w- c:\users\Gabriel\AppData\Local\temp 2013-04-07 15:59 . 2013-04-07 15:59 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-04-07 01:31 . 2013-04-07 01:31 -------- d-----w- c:\users\Gabriel\AppData\Local\Pinnacle 2013-04-04 14:45 . 2013-04-04 14:45 -------- d-----w- c:\users\Gabriel\AppData\Roaming\AVG2013 2013-04-01 22:41 . 2013-04-01 22:41 -------- d-----w- c:\program files (x86)\GNU 2013-04-01 17:58 . 2013-04-01 18:02 -------- d-----w- c:\programdata\AVG2013 2013-03-30 21:55 . 2013-03-30 22:00 -------- d-----w- c:\users\Gabriel\AppData\Roaming\AllDup 2013-03-30 21:55 . 2013-03-30 22:00 -------- d-----w- c:\program files (x86)\AllDup 2013-03-30 21:55 . 2013-03-30 21:55 -------- d-----w- c:\users\Gabriel\AppData\Local\Programs 2013-03-21 15:48 . 2012-11-23 03:13 68608 ----a-w- c:\windows\system32\taskhost.exe 2013-03-21 01:42 . 2013-03-21 01:42 -------- d-----w- c:\windows\system32\SPReview 2013-03-21 01:41 . 2013-03-21 01:41 -------- d-----w- c:\windows\system32\EventProviders 2013-03-20 19:53 . 2013-02-12 04:12 19968 ----a-w- c:\windows\system32\drivers\usb8023.sys 2013-03-17 22:05 . 2013-03-17 22:05 -------- d-----w- c:\users\Gabriel\AppData\Local\ArmA 2 OA 2013-03-17 22:05 . 2013-03-17 22:05 -------- d-----w- c:\programdata\Bohemia Interactive Studio 2013-03-17 21:52 . 2013-03-17 21:55 -------- d-----w- c:\users\Gabriel\AppData\Local\Play withSIX 2013-03-17 21:52 . 2013-03-17 21:53 -------- d-----w- c:\users\Gabriel\AppData\Roaming\Play withSIX 2013-03-17 21:52 . 2013-03-17 21:52 -------- d-----w- c:\users\Gabriel\AppData\Local\IsolatedStorage 2013-03-17 21:52 . 2013-03-17 21:52 -------- d-----w- c:\program files (x86)\SIX Networks 2013-03-12 21:20 . 2013-03-12 21:20 16486616 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-03-21 01:54 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll 2013-03-21 01:54 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll 2013-03-13 02:03 . 2010-05-24 13:41 72013344 ----a-w- c:\windows\system32\MRT.exe 2013-03-12 21:20 . 2012-04-07 22:49 693976 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2013-03-12 21:20 . 2011-05-21 20:05 73432 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2013-02-26 21:40 . 2013-02-26 21:40 246072 ----a-w- c:\windows\system32\drivers\avgidsdrivera.sys 2013-02-14 01:52 . 2013-02-14 01:52 239416 ----a-w- c:\windows\system32\drivers\avgtdia.sys 2013-02-12 05:45 . 2013-03-21 15:48 135168 ----a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll 2013-02-12 05:45 . 2013-03-21 15:48 350208 ----a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll 2013-02-12 05:45 . 2013-03-21 15:48 308736 ----a-w- c:\windows\apppatch\AppPatch64\AcGenral.dll 2013-02-12 05:45 . 2013-03-21 15:48 111104 ----a-w- c:\windows\apppatch\AppPatch64\acspecfc.dll 2013-02-12 04:48 . 2013-03-21 15:48 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll 2013-02-12 04:48 . 2013-03-21 15:48 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll 2013-02-08 02:37 . 2013-02-08 02:37 116536 ----a-w- c:\windows\system32\drivers\avgmfx64.sys 2013-02-08 02:37 . 2013-02-08 02:37 311096 ----a-w- c:\windows\system32\drivers\avgloga.sys 2013-02-08 02:37 . 2013-02-08 02:37 71480 ----a-w- c:\windows\system32\drivers\avgidsha.sys 2013-02-08 02:37 . 2013-02-08 02:37 206136 ----a-w- c:\windows\system32\drivers\avgldx64.sys 2013-02-08 02:37 . 2013-02-08 02:37 45880 ----a-w- c:\windows\system32\drivers\avgrkx64.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "DNS7reminder"="c:\program files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini "ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" "Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "Freecorder FLV Service"="c:\program files (x86)\Freecorder\FLVSrvc.exe" /run . R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-21 834544] R1 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdrivera.sys [2013-02-26 246072] R1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [2013-02-08 206136] R1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [2013-02-14 239416] R2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424] R2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 11576] R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-10-17 93712] R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x] R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x] R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x] R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x] R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x] R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x] R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x] R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-03-01 187392] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [2011-12-12 11856] R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712] R3 V0330VID;WebCam Vista/Live! Cam Chat VF0330;c:\windows\system32\DRIVERS\V0330Vid.sys [2009-07-03 193408] R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-11-10 204288] R4 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-11-09 361984] R4 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2013\avgidsagent.exe [2013-02-27 4937264] R4 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2013\avgwdsvc.exe [2013-02-19 282624] R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R4 DirMngr;DirMngr;c:\program files (x86)\GnuPG\dirmngr.exe [2010-07-28 242176] R4 DragonSvc;Dragon Service;c:\program files (x86)\Common Files\Nuance\dgnsvc.exe [2010-07-29 296808] R4 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [2013-02-05 235216] R4 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-01-08 161536] R4 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] R4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2011-12-14 2123584] R4 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-24 1255736] S0 AVGIDSHA;AVGIDSHA;c:\windows\system32\DRIVERS\avgidsha.sys [2013-02-08 71480] S0 Avgloga;AVG Logging Driver;c:\windows\system32\DRIVERS\avgloga.sys [2013-02-08 311096] S0 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [2013-02-08 116536] S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [2013-02-08 45880] S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136] S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-11-20 75776] S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-11-20 177152] S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 38456] . . Inhalt des "geplante Tasks" Ordners . 2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 21:20] . 2013-01-31 c:\windows\Tasks\ROC_REG_JAN_DELETE.job - c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-23 21:16] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.google.de/ mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyOverride = 192.168.*.* IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Free YouTube to Mp3 Converter - c:\users\Gabriel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: In Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 TCP: DhcpNameServer = 10.0.0.138 FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\ FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties FF - prefs.js: network.proxy.socks - 127.0.0.1 FF - prefs.js: network.proxy.socks_port - 9050 FF - prefs.js: network.proxy.type - 0 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Wow6432Node-HKLM-Run-<NO NAME> - (no file) Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe AddRemove-GeoGebra 4 - c:\windows\system32\javaws.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-1467017457-2896773103-118067648-1001\Software\SecuROM\License information*] "datasecu"=hex:d4,ad,f3,5a,f7,f2,ca,48,bc,10,7b,f1,04,ca,f7,92,3e,6f,e2,6b,81, 36,cd,c0,d4,5a,11,79,fe,fd,28,c8,e7,cf,0b,08,73,cb,9b,a6,1d,8a,f2,4f,2e,ac,\ "rkeysecu"=hex:2e,97,3e,4f,fd,86,a0,e2,5c,62,62,da,fb,29,5c,3d . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.11" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2013-04-07 18:04:22 ComboFix-quarantined-files.txt 2013-04-07 16:04 . Vor Suchlauf: 34 Verzeichnis(se), 345.998.155.776 Bytes frei Nach Suchlauf: 40 Verzeichnis(se), 346.463.412.224 Bytes frei . - - End Of File - - 2144B3E8EB8483313ADF0326186AC164 Falls es das schon war, könntest du mir bitte noch sagen welche Autostartprozesse ich bedenkenlos reaktivieren kann? Danke! lG, mtg |
07.04.2013, 18:03 | #4 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Du kannst alles wieder aktivieren. Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Schritt 3: Kontrolle wieder mit Combofix.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
07.04.2013, 19:59 | #5 |
| Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Danke für die Antwort. zu Schritt 1: TuneUpUtilities lässt sich nicht löschen. Es geht zwar erstmal ein Fenster auf, dieses Verschwindet jedoch wieder sobald ich als ja klicke. Im Taskmanager läuft TUU immer im Hintergrund - wenn ich den Prozess beende poppt er eine Sekunde später wieder auf. zu Schritt 2: hier das log: Code:
ATTFilter # AdwCleaner v2.200 - Datei am 07/04/2013 um 19:47:30 erstellt # Aktualisiert am 02/04/2013 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzer : Gabriel - GABRIEL-PC # Bootmodus : Normal # Ausgeführt unter : F:\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\foxydeal.sqlite Ordner Gelöscht : C:\Program Files (x86)\Common Files\Plasmoo Ordner Gelöscht : C:\Program Files (x86)\Conduit Ordner Gelöscht : C:\Users\Gabriel\AppData\LocalLow\Conduit Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\dvdvideosoftiehelpers Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\Conduit Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\ConduitCommon Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\CT1060933 Ordner Gelöscht : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit Schlüssel Gelöscht : HKCU\Software\Ask&Record Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKLM\Software\AVG Secure Search Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825 Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16470 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v20.0 (de) Datei : C:\Users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\prefs.js Gelöscht : user_pref("CT1060933..clientLogIsEnabled", true); Gelöscht : user_pref("CT1060933..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...] Gelöscht : user_pref("CT1060933..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...] Gelöscht : user_pref("CT1060933.ALLOW_SHOWING_HIDDEN_TOOLBAR", false); Gelöscht : user_pref("CT1060933.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx"); Gelöscht : user_pref("CT1060933.AppTrackingLastCheckTime", "Sat Oct 29 2011 01:54:00 GMT+0200"); Gelöscht : user_pref("CT1060933.BrowserCompStateIsOpen_129633202291172081", true); Gelöscht : user_pref("CT1060933.BrowserCompStateIsOpen_129652058719725628", true); Gelöscht : user_pref("CT1060933.CT1060933", "CT1060933"); Gelöscht : user_pref("CT1060933.CurrentServerDate", "17-11-2011"); Gelöscht : user_pref("CT1060933.DialogsAlignMode", "LTR"); Gelöscht : user_pref("CT1060933.DialogsGetterLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.DownloadReferralCookieData", ""); Gelöscht : user_pref("CT1060933.FirstServerDate", "19-5-2011"); Gelöscht : user_pref("CT1060933.FirstTime", true); Gelöscht : user_pref("CT1060933.FirstTimeFF3", true); Gelöscht : user_pref("CT1060933.FixPageNotFoundErrors", false); Gelöscht : user_pref("CT1060933.GroupingServerCheckInterval", 1440); Gelöscht : user_pref("CT1060933.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/"); Gelöscht : user_pref("CT1060933.HasUserGlobalKeys", true); Gelöscht : user_pref("CT1060933.HomePageProtectorEnabled", false); Gelöscht : user_pref("CT1060933.Initialize", true); Gelöscht : user_pref("CT1060933.InitializeCommonPrefs", true); Gelöscht : user_pref("CT1060933.InstallationAndCookieDataSentCount", 3); Gelöscht : user_pref("CT1060933.InstalledDate", "Thu May 19 2011 14:44:33 GMT+0200"); Gelöscht : user_pref("CT1060933.InvalidateCache", false); Gelöscht : user_pref("CT1060933.IsAlertDBUpdated", true); Gelöscht : user_pref("CT1060933.IsGrouping", false); Gelöscht : user_pref("CT1060933.IsMulticommunity", false); Gelöscht : user_pref("CT1060933.IsOpenThankYouPage", true); Gelöscht : user_pref("CT1060933.IsOpenUninstallPage", true); Gelöscht : user_pref("CT1060933.LanguagePackLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.LanguagePackReloadIntervalMM", 1440); Gelöscht : user_pref("CT1060933.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...] Gelöscht : user_pref("CT1060933.LastLogin_3.3.3.2", "Tue Aug 16 2011 02:45:31 GMT+0200"); Gelöscht : user_pref("CT1060933.LastLogin_3.6.0.10", "Tue Sep 27 2011 18:23:32 GMT+0200"); Gelöscht : user_pref("CT1060933.LastLogin_3.7.0.6", "Mon Nov 07 2011 19:52:45 GMT+0100"); Gelöscht : user_pref("CT1060933.LastLogin_3.8.0.8", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.LatestVersion", "3.8.0.8"); Gelöscht : user_pref("CT1060933.Locale", "en-us"); Gelöscht : user_pref("CT1060933.MCDetectTooltipHeight", "83"); Gelöscht : user_pref("CT1060933.MCDetectTooltipShow", false); Gelöscht : user_pref("CT1060933.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1"); Gelöscht : user_pref("CT1060933.MCDetectTooltipWidth", "295"); Gelöscht : user_pref("CT1060933.MyStuffEnabledAtInstallation", true); Gelöscht : user_pref("CT1060933.RadioIsPodcast", false); Gelöscht : user_pref("CT1060933.RadioLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100"); Gelöscht : user_pref("CT1060933.RadioLastUpdateIPServer", "0"); Gelöscht : user_pref("CT1060933.RadioLastUpdateServer", "129326918102570000"); Gelöscht : user_pref("CT1060933.RadioMediaID", "21504191"); Gelöscht : user_pref("CT1060933.RadioMediaType", "Media Player"); Gelöscht : user_pref("CT1060933.RadioMenuSelectedID", "EBRadioMenu_CT106093321504191"); Gelöscht : user_pref("CT1060933.RadioShrinkedFromSetup", false); Gelöscht : user_pref("CT1060933.RadioStationName", "KFOG"); Gelöscht : user_pref("CT1060933.RadioStationURL", "hxxp://live.cumulusstreaming.com/KFOG-FM"); Gelöscht : user_pref("CT1060933.SearchEngineBeforeUnload", "chrome://browser-region/locale/region.properties"); Gelöscht : user_pref("CT1060933.SearchFromAddressBarIsInit", true); Gelöscht : user_pref("CT1060933.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT106[...] Gelöscht : user_pref("CT1060933.SearchInNewTabEnabled", true); Gelöscht : user_pref("CT1060933.SearchInNewTabIntervalMM", 1440); Gelöscht : user_pref("CT1060933.SearchInNewTabLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100"); Gelöscht : user_pref("CT1060933.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...] Gelöscht : user_pref("CT1060933.SearchInNewTabUsageUrl", "hxxp://usage.hosting.toolbar.conduit-services.com/usa[...] Gelöscht : user_pref("CT1060933.SearchInNewTabUserEnabled", false); Gelöscht : user_pref("CT1060933.SearchProtectorEnabled", false); Gelöscht : user_pref("CT1060933.SearchProtectorToolbarDisabled", false); Gelöscht : user_pref("CT1060933.ServiceMapLastCheckTime", "Thu Nov 17 2011 14:39:24 GMT+0100"); Gelöscht : user_pref("CT1060933.SettingsLastCheckTime", "Thu Nov 17 2011 16:45:06 GMT+0100"); Gelöscht : user_pref("CT1060933.SettingsLastUpdate", "1320839841"); Gelöscht : user_pref("CT1060933.ThirdPartyComponentsInterval", 504); Gelöscht : user_pref("CT1060933.ThirdPartyComponentsLastCheck", "Sat Nov 12 2011 17:58:34 GMT+0100"); Gelöscht : user_pref("CT1060933.ThirdPartyComponentsLastUpdate", "1312887586"); Gelöscht : user_pref("CT1060933.ToolbarShrinkedFromSetup", false); Gelöscht : user_pref("CT1060933.TrusteLinkUrl", "hxxp://trust.conduit.com/CT1060933"); Gelöscht : user_pref("CT1060933.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...] Gelöscht : user_pref("CT1060933.UserID", "UN07724420482739414"); Gelöscht : user_pref("CT1060933.ValidationData_Toolbar", 2); Gelöscht : user_pref("CT1060933.alertChannelId", "15651"); Gelöscht : user_pref("CT1060933.approveUntrustedApps", true); Gelöscht : user_pref("CT1060933.backendstorage./9b+7e+x305", "247E27413334363379453A3D2A722C797A7E7A3128333B4D4[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e,x305", "247E28412F3F3E3779453A3D2A722C797B787D3128333C474[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e-x305", "247E2936303C363679453A3D2A722C797A207B3128333D462[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e.:2z527", "247E716B7374443A384336423C3C204A4A2F77317B23222[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e.x305", "247E2A4137374434337A463B3E2B732D7A7D7C213229343F5[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e/x305", "247E2B413536327844393C29712B787C7B773027323E4C434[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e06cg5el8:", "6E6D706A6B6D74757673"); Gelöscht : user_pref("CT1060933.backendstorage./9b+7e06cg5el;8i:k", "247E2D2F226A7473767071737A7B7C79242F4B4947[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e0x305", "247E2C403A407743383B28702A777C757D2F26313E4129554[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e1x305", "247E2D41313D403279453A3D2A722C7A77797E31283341473[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e2x305", "247E2E3542313D3D393A7B473C3F2C742E79207D322934435[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e31;cjc<=fbj#ncf", "247E61393F236B25757677712A212C6E414F444[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e3x305", "247E2F413F3B36333F47463F7D493E412E76307E222421352[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e4x305", "247E302C407642373A276F29777B74762E2530413E4F494A5[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e5x305", "247E3136422B7743383B28702A79757A772F2631434B3D495[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e6x305", "247E322C3E32323238453E7C483D402D752F7E7B2424342B3[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e7x305", "247E333D2C3F3E3F79453A3D2A722C7B7A797A31283347474[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e8x305", "247E343D3F3B35373B3F367C47472C742E7E7823322934495[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e9x305", "247E35332C3F327844393C29712B7B757979302732484C4F4[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e:x305", "247E36333B38327844393C29712B7B76797A3027324948554[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e;x305", "247E373F333F3738422F7B473C3F2C742E7E7A7A22332A354[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e<x305", "247E38343030442F463644377D493E412E7630217D2426352[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e=x305", "247E3933363F41413739357C483D402D752F207E2022342B3[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e>x305", "247E3A41363F323238387B473C3F2C742E7E20217C332A355[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e?x305", "247E3B2D2F2F334134403A3A7D494C2D752F2023207E342B3[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7e@x305", "247E3C40422B7743383B28702A7B767E782F26314E52543D2[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7eax305", "247E3D3D37387743383B28702A7B7A757E2F26314F4F544A5[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7ebe3g=;d9n9=d", "372C2D326975762E3A3C7B3A39434A494841434B26[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7ebx305", "247E3E393141303D33454036327E4A3F422F77317B7D23352[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7ecx305", "247E3F3D303043312E7A463B3E2B732D7B207E31283353515[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7edx305", "247E4035422A363879453A3D2A722C7D202F26315247543C4[...] Gelöscht : user_pref("CT1060933.backendstorage./9b+7etx305", "247E6E2F2E3B323342357B44392B732D7A7B7B7C322934215[...] Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3g>d", "3C3A6870426F43717A47437578207C4A784E257E7E7D262A23[...] Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3g@6:5;", ""); Gelöscht : user_pref("CT1060933.backendstorage./9b-0?3gfa7ef", "2B2E2C3D"); Gelöscht : user_pref("CT1060933.backendstorage./9b-3=3eccja=f>", "247E333D2C452F4135276F297B7E7D21202F26313E424[...] Gelöscht : user_pref("CT1060933.backendstorage./9b/>01=9a6k6<im;krie@pdawm", "6E6A68707374757677"); Gelöscht : user_pref("CT1060933.backendstorage./9b3=>@44i48?", "372C2D32697576334236334148477A213F3E484F4E4D464[...] Gelöscht : user_pref("CT1060933.backendstorage./9b5ba==9cjag", "6867686F6D74446F7A47487745467C7B784F207E23"); Gelöscht : user_pref("CT1060933.backendstorage./9b6b11g4c56b>f;p;anr@p", "6E6D706A6B6D74766E71777875"); Gelöscht : user_pref("CT1060933.backendstorage./9b9643g3/9e", "6A"); Gelöscht : user_pref("CT1060933.backendstorage./9b<:222h64<", "393F352F3E"); Gelöscht : user_pref("CT1060933.backendstorage./9b=+03eh8h8j?:", "4443"); Gelöscht : user_pref("CT1060933.backendstorage./9b?+e2a52d8", "372C2D326975762E3A3C7B3A39434A494841434B26514649[...] Gelöscht : user_pref("CT1060933.backendstorage./9b?b0d:8aj62<h", "6D"); Gelöscht : user_pref("CT1060933.backendstorage./9ba@0<0bi6a7gn:6@l?", "6E6B"); Gelöscht : user_pref("CT1060933.components.1000515", false); Gelöscht : user_pref("CT1060933.components.129633202291172081", false); Gelöscht : user_pref("CT1060933.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...] Gelöscht : user_pref("CT1060933.globalFirstTimeInfoLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.homepageProtectorEnableByLogin", true); Gelöscht : user_pref("CT1060933.initDone", true); Gelöscht : user_pref("CT1060933.isAppTrackingManagerOn", true); Gelöscht : user_pref("CT1060933.isFirstRadioInstallation", false); Gelöscht : user_pref("CT1060933.myStuffEnabled", true); Gelöscht : user_pref("CT1060933.myStuffPublihserMinWidth", 400); Gelöscht : user_pref("CT1060933.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...] Gelöscht : user_pref("CT1060933.myStuffServiceIntervalMM", 1440); Gelöscht : user_pref("CT1060933.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...] Gelöscht : user_pref("CT1060933.oldAppsList", "128346981843587669,128280995260143876,111,129272674122038321,129[...] Gelöscht : user_pref("CT1060933.revertSettingsEnabled", true); Gelöscht : user_pref("CT1060933.searchProtectorDialogDelayInSec", 10); Gelöscht : user_pref("CT1060933.searchProtectorEnableByLogin", true); Gelöscht : user_pref("CT1060933.testingCtid", ""); Gelöscht : user_pref("CT1060933.toolbarAppMetaDataLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.toolbarContextMenuLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CT1060933.usagesFlag", 2); Gelöscht : user_pref("CT2319825.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx"); Gelöscht : user_pref("CT2319825.CTID", "CT2319825"); Gelöscht : user_pref("CT2319825.CurrentServerDate", "18-11-2010"); Gelöscht : user_pref("CT2319825.DialogsAlignMode", "LTR"); Gelöscht : user_pref("CT2319825.EMailNotifierPollDate", "Thu Nov 18 2010 17:47:51 GMT+0100"); Gelöscht : user_pref("CT2319825.FeedPollDate11908299", "Thu Nov 18 2010 21:59:13 GMT+0100"); Gelöscht : user_pref("CT2319825.FirstServerDate", "18-11-2010"); Gelöscht : user_pref("CT2319825.FirstTime", true); Gelöscht : user_pref("CT2319825.FirstTimeFF3", true); Gelöscht : user_pref("CT2319825.FixPageNotFoundErrors", true); Gelöscht : user_pref("CT2319825.GroupingServerCheckInterval", 1440); Gelöscht : user_pref("CT2319825.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/"); Gelöscht : user_pref("CT2319825.Initialize", true); Gelöscht : user_pref("CT2319825.InitializeCommonPrefs", true); Gelöscht : user_pref("CT2319825.InstalledDate", "Thu Nov 18 2010 16:27:48 GMT+0100"); Gelöscht : user_pref("CT2319825.InvalidateCache", false); Gelöscht : user_pref("CT2319825.IsGrouping", false); Gelöscht : user_pref("CT2319825.IsMulticommunity", false); Gelöscht : user_pref("CT2319825.IsOpenThankYouPage", false); Gelöscht : user_pref("CT2319825.IsOpenUninstallPage", true); Gelöscht : user_pref("CT2319825.LanguagePackLastCheckTime", "Thu Nov 18 2010 16:27:51 GMT+0100"); Gelöscht : user_pref("CT2319825.LanguagePackReloadIntervalMM", 1440); Gelöscht : user_pref("CT2319825.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...] Gelöscht : user_pref("CT2319825.LastLogin_2.5.8.6", "Thu Nov 18 2010 20:27:50 GMT+0100"); Gelöscht : user_pref("CT2319825.LatestVersion", "2.7.2.0"); Gelöscht : user_pref("CT2319825.Locale", "de"); Gelöscht : user_pref("CT2319825.LoginCache", 4); Gelöscht : user_pref("CT2319825.MCDetectTooltipHeight", "83"); Gelöscht : user_pref("CT2319825.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1"); Gelöscht : user_pref("CT2319825.MCDetectTooltipWidth", "295"); Gelöscht : user_pref("CT2319825.RadioIsPodcast", false); Gelöscht : user_pref("CT2319825.RadioLastCheckTime", "Thu Nov 18 2010 16:27:51 GMT+0100"); Gelöscht : user_pref("CT2319825.RadioLastUpdateIPServer", "3"); Gelöscht : user_pref("CT2319825.RadioLastUpdateServer", "129224641269630000"); Gelöscht : user_pref("CT2319825.RadioMediaID", "11949532"); Gelöscht : user_pref("CT2319825.RadioMediaType", "Media Player"); Gelöscht : user_pref("CT2319825.RadioMenuSelectedID", "EBRadioMenu_CT231982511949532"); Gelöscht : user_pref("CT2319825.RadioStationName", "1Live"); Gelöscht : user_pref("CT2319825.RadioStationURL", "hxxp://gffstream.ic.llnwd.net/stream/gffstream_stream_wdr_ei[...] Gelöscht : user_pref("CT2319825.SHRINK_TOOLBAR", 1); Gelöscht : user_pref("CT2319825.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...] Gelöscht : user_pref("CT2319825.SearchFromAddressBarIsInit", true); Gelöscht : user_pref("CT2319825.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT231[...] Gelöscht : user_pref("CT2319825.SearchInNewTabEnabled", true); Gelöscht : user_pref("CT2319825.SearchInNewTabIntervalMM", 1440); Gelöscht : user_pref("CT2319825.SearchInNewTabLastCheckTime", "Thu Nov 18 2010 16:27:49 GMT+0100"); Gelöscht : user_pref("CT2319825.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...] Gelöscht : user_pref("CT2319825.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...] Gelöscht : user_pref("CT2319825.SettingsCheckIntervalMin", 120); Gelöscht : user_pref("CT2319825.SettingsLastCheckTime", "Thu Nov 18 2010 16:27:48 GMT+0100"); Gelöscht : user_pref("CT2319825.SettingsLastUpdate", "1288790396"); Gelöscht : user_pref("CT2319825.ThirdPartyComponentsInterval", 504); Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastCheck", "Thu Nov 18 2010 16:27:47 GMT+0100"); Gelöscht : user_pref("CT2319825.ThirdPartyComponentsLastUpdate", "1255348257"); Gelöscht : user_pref("CT2319825.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...] Gelöscht : user_pref("CT2319825.UserID", "UN53979799714970366"); Gelöscht : user_pref("CT2319825.WeatherNetwork", ""); Gelöscht : user_pref("CT2319825.WeatherPollDate", "Thu Nov 18 2010 16:27:52 GMT+0100"); Gelöscht : user_pref("CT2319825.WeatherUnit", "C"); Gelöscht : user_pref("CT2319825.alertChannelId", "715912"); Gelöscht : user_pref("CT2319825.backendstorage.id", "32303739363439"); Gelöscht : user_pref("CT2319825.clientLogIsEnabled", false); Gelöscht : user_pref("CT2319825.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...] Gelöscht : user_pref("CT2319825.myStuffEnabled", true); Gelöscht : user_pref("CT2319825.myStuffPublihserMinWidth", 400); Gelöscht : user_pref("CT2319825.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...] Gelöscht : user_pref("CT2319825.myStuffServiceIntervalMM", 1440); Gelöscht : user_pref("CT2319825.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...] Gelöscht : user_pref("CT2319825.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/15651/15317/AT", "\"0\""); Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT1060933", [...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.6.[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.7.[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.8.[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT1060933",[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT1060933&octid=[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT1060933/CT1060933[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/equaliz[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/minimiz[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/play.gi[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/stop.gi[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://storage.conduit.com/BankImages/RadioSkins/Cornflower/vol.gif[...] Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en-us", "\"[...] Gelöscht : user_pref("CommunityToolbar.EngineOwner", ""); Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "{1392b8d2-5c05-419f-a8f6-b9f15a596612}"); Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "freecorder"); Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true); Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Gelöscht : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\Gabriel\\AppData\\Roaming\\Mozilla\[...] Gelöscht : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.8.0.8"); Gelöscht : user_pref("CommunityToolbar.MiniIPageGadgetSize.hxxp://pgcff.pricegong.com/agreement/agree.html#pg_e[...] Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "CT1060933"); Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{1392b8d2-5c05-419f-a8f6-b9f15a596612}"); Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "freecorder"); Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...] Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2319825,CT1060933"); Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2319825,CT1060933"); Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Thu May 19 2011 14:44:31 GMT+02[...] Gelöscht : user_pref("CommunityToolbar.alert.alertEnabled", false); Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Gelöscht : user_pref("CommunityToolbar.alert.locale", "en"); Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Tue Aug 16 2011 02:45:30 GMT+0200"); Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559"); Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false); Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Gelöscht : user_pref("CommunityToolbar.alert.userId", "18f72ec4-abc7-4554-9ec5-40b7d7f2651a"); Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Thu Nov 18 2010 16:27:49 GMT+0100"); Gelöscht : user_pref("CommunityToolbar.globalUserId", "ee84bc3f-8319-4b20-8325-a9776ba75483"); Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); Gelöscht : user_pref("CommunityToolbar.killedEngine", true); Gelöscht : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Fri Nov 11 2011 15:17:5[...] Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440); Gelöscht : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Thu Nov 17 2011 14:39:33 GMT+010[...] Gelöscht : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com"); Gelöscht : user_pref("CommunityToolbar.notifications.locale", "en"); Gelöscht : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440); Gelöscht : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Thu Nov 17 2011 14:39:25 GMT+0100"); Gelöscht : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611"); Gelöscht : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20); Gelöscht : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com"); Gelöscht : user_pref("CommunityToolbar.notifications.showTrayIcon", false); Gelöscht : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300); Gelöscht : user_pref("CommunityToolbar.notifications.userId", "ebdceced-0092-4b10-afd1-0b7a33a047c7"); Gelöscht : user_pref("CommunityToolbar.undefined", ""); Gelöscht : user_pref("extensions.engine@conduit.com.install-event-fired", true); ************************* AdwCleaner[S1].txt - [26965 octets] - [07/04/2013 19:47:30] ########## EOF - C:\AdwCleaner[S1].txt - [27026 octets] ########## Code:
ATTFilter ComboFix 13-04-06.02 - Gabriel 07.04.2013 20:08:51.2.4 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.43.1031.18.4094.3197 [GMT 2:00] ausgeführt von:: F:\ComboFix.exe AV: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {0E9420C4-06B3-7FA0-3AB1-6E49CB52ECD9} SP: AVG AntiVirus Free Edition 2013 *Disabled/Updated* {B5F5C120-2089-702E-0001-553BB0D5A664} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . . ((((((((((((((((((((((( Dateien erstellt von 2013-03-07 bis 2013-04-07 )))))))))))))))))))))))))))))) . . 2013-04-07 18:14 . 2013-04-07 18:14 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-04-07 01:31 . 2013-04-07 01:31 -------- d-----w- c:\users\Gabriel\AppData\Local\Pinnacle 2013-04-04 14:45 . 2013-04-04 14:45 -------- d-----w- c:\users\Gabriel\AppData\Roaming\AVG2013 2013-04-01 22:41 . 2013-04-01 22:41 -------- d-----w- c:\program files (x86)\GNU 2013-04-01 17:58 . 2013-04-01 18:02 -------- d-----w- c:\programdata\AVG2013 2013-03-30 21:55 . 2013-03-30 22:00 -------- d-----w- c:\users\Gabriel\AppData\Roaming\AllDup 2013-03-30 21:55 . 2013-03-30 22:00 -------- d-----w- c:\program files (x86)\AllDup 2013-03-30 21:55 . 2013-03-30 21:55 -------- d-----w- c:\users\Gabriel\AppData\Local\Programs 2013-03-21 15:48 . 2012-11-23 03:13 68608 ----a-w- c:\windows\system32\taskhost.exe 2013-03-21 01:42 . 2013-03-21 01:42 -------- d-----w- c:\windows\system32\SPReview 2013-03-21 01:41 . 2013-03-21 01:41 -------- d-----w- c:\windows\system32\EventProviders 2013-03-20 19:53 . 2013-02-12 04:12 19968 ----a-w- c:\windows\system32\drivers\usb8023.sys 2013-03-17 22:05 . 2013-03-17 22:05 -------- d-----w- c:\users\Gabriel\AppData\Local\ArmA 2 OA 2013-03-17 22:05 . 2013-03-17 22:05 -------- d-----w- c:\programdata\Bohemia Interactive Studio 2013-03-17 21:52 . 2013-03-17 21:55 -------- d-----w- c:\users\Gabriel\AppData\Local\Play withSIX 2013-03-17 21:52 . 2013-03-17 21:53 -------- d-----w- c:\users\Gabriel\AppData\Roaming\Play withSIX 2013-03-17 21:52 . 2013-03-17 21:52 -------- d-----w- c:\users\Gabriel\AppData\Local\IsolatedStorage 2013-03-17 21:52 . 2013-03-17 21:52 -------- d-----w- c:\program files (x86)\SIX Networks 2013-03-12 21:20 . 2013-03-12 21:20 16486616 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-03-21 01:54 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll 2013-03-21 01:54 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll 2013-03-13 02:03 . 2010-05-24 13:41 72013344 ----a-w- c:\windows\system32\MRT.exe 2013-03-12 21:20 . 2012-04-07 22:49 693976 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2013-03-12 21:20 . 2011-05-21 20:05 73432 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2013-02-26 21:40 . 2013-02-26 21:40 246072 ----a-w- c:\windows\system32\drivers\avgidsdrivera.sys 2013-02-14 01:52 . 2013-02-14 01:52 239416 ----a-w- c:\windows\system32\drivers\avgtdia.sys 2013-02-12 05:45 . 2013-03-21 15:48 135168 ----a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll 2013-02-12 05:45 . 2013-03-21 15:48 350208 ----a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll 2013-02-12 05:45 . 2013-03-21 15:48 308736 ----a-w- c:\windows\apppatch\AppPatch64\AcGenral.dll 2013-02-12 05:45 . 2013-03-21 15:48 111104 ----a-w- c:\windows\apppatch\AppPatch64\acspecfc.dll 2013-02-12 04:48 . 2013-03-21 15:48 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll 2013-02-12 04:48 . 2013-03-21 15:48 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll 2013-02-08 02:37 . 2013-02-08 02:37 116536 ----a-w- c:\windows\system32\drivers\avgmfx64.sys 2013-02-08 02:37 . 2013-02-08 02:37 311096 ----a-w- c:\windows\system32\drivers\avgloga.sys 2013-02-08 02:37 . 2013-02-08 02:37 71480 ----a-w- c:\windows\system32\drivers\avgidsha.sys 2013-02-08 02:37 . 2013-02-08 02:37 206136 ----a-w- c:\windows\system32\drivers\avgldx64.sys 2013-02-08 02:37 . 2013-02-08 02:37 45880 ----a-w- c:\windows\system32\drivers\avgrkx64.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 129272 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "DNS7reminder"="c:\program files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini "ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" "Adobe Acrobat Speed Launcher"="c:\program files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "Freecorder FLV Service"="c:\program files (x86)\Freecorder\FLVSrvc.exe" /run . R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [x] R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x] R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [x] R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [x] R3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys [x] R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [x] R3 motusbdevice;Motorola USB Dev Driver;c:\windows\system32\DRIVERS\motusbdevice.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392] R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712] R3 V0330VID;WebCam Vista/Live! Cam Chat VF0330;c:\windows\system32\DRIVERS\V0330Vid.sys [2009-07-03 193408] R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-11-10 204288] R4 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-11-09 361984] R4 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2013\avgidsagent.exe [2013-02-27 4937264] R4 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2013\avgwdsvc.exe [2013-02-19 282624] R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R4 DirMngr;DirMngr;c:\program files (x86)\GnuPG\dirmngr.exe [2010-07-28 242176] R4 DragonSvc;Dragon Service;c:\program files (x86)\Common Files\Nuance\dgnsvc.exe [2010-07-29 296808] R4 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-01-08 161536] R4 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] R4 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-24 1255736] S0 AVGIDSHA;AVGIDSHA;c:\windows\system32\DRIVERS\avgidsha.sys [2013-02-08 71480] S0 Avgloga;AVG Logging Driver;c:\windows\system32\DRIVERS\avgloga.sys [2013-02-08 311096] S0 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [2013-02-08 116536] S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [2013-02-08 45880] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-12-21 834544] S1 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdrivera.sys [2013-02-26 246072] S1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [2013-02-08 206136] S1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [2013-02-14 239416] S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424] S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-03-02 11576] S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2011-12-14 2123584] S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136] S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-10-17 93712] S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-11-20 75776] S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-11-20 177152] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-03-01 187392] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [2011-12-12 11856] S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-12-22 38456] . . Inhalt des "geplante Tasks" Ordners . 2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 21:20] . 2013-01-31 c:\windows\Tasks\ROC_REG_JAN_DELETE.job - c:\programdata\AVG January 2013 Campaign\ROC.exe [2013-01-23 21:16] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2012-11-13 23:32 162552 ----a-w- c:\users\Gabriel\AppData\Roaming\Dropbox\bin\DropboxExt64.17.dll . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.google.de/ mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyOverride = 192.168.*.* IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Free YouTube to Mp3 Converter - c:\users\Gabriel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: In Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 TCP: DhcpNameServer = 10.0.0.138 FF - ProfilePath - c:\users\Gabriel\AppData\Roaming\Mozilla\Firefox\Profiles\9dng9gzs.default\ FF - prefs.js: keyword.URL - chrome://browser-region/locale/region.properties FF - prefs.js: network.proxy.socks - 127.0.0.1 FF - prefs.js: network.proxy.socks_port - 9050 FF - prefs.js: network.proxy.type - 0 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Wow6432Node-HKLM-Run-<NO NAME> - (no file) AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-1467017457-2896773103-118067648-1001\Software\SecuROM\License information*] "datasecu"=hex:d4,ad,f3,5a,f7,f2,ca,48,bc,10,7b,f1,04,ca,f7,92,3e,6f,e2,6b,81, 36,cd,c0,d4,5a,11,79,fe,fd,28,c8,e7,cf,0b,08,73,cb,9b,a6,1d,8a,f2,4f,2e,ac,\ "rkeysecu"=hex:2e,97,3e,4f,fd,86,a0,e2,5c,62,62,da,fb,29,5c,3d . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_180_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.11" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_180.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\SysWOW64\PnkBstrA.exe . ************************************************************************** . Zeit der Fertigstellung: 2013-04-07 20:21:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2013-04-07 18:21 ComboFix2.txt 2013-04-07 16:04 Vor Suchlauf: 39 Verzeichnis(se), 346.383.597.568 Bytes frei Nach Suchlauf: 41 Verzeichnis(se), 346.280.886.272 Bytes frei . - - End Of File - - 6E575A8D5D48D9F7CB607622FD1B9BFB 'C:\Windows\system32\msconfig.exe Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.' Wie kann ich jetzt mein ganzes Autostartzeug wieder aktivieren? Danke |
07.04.2013, 20:09 | #6 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Am besten so wie du es auch deaktiviert hast? Gut! Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Downloade Dir bitte Malwarebytes Anti-MalwareSchritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck und:
__________________ --> Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung |
07.04.2013, 20:29 | #7 |
| Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Bevor wir zu den letzten Schritten übergehen können: Ich habe die Prozesse über das Fenster, das sich über msconfig öffnet deaktiviert. Egal welches Programm (Word, Firefox etc.) ich starten will, erscheint die im letzten Post zitierte Fehlermeldung (nur eben mit anderen Programmnamen anstatt 'msconfig'). Dieses Problem trat erst nach dem ComboFix-Scan, der dann im normalen Modus installiert wurde, auf. Bitte hilf mir dieses Problem zu beheben. Davor kann ich die letzten Schritte nicht ausführen. Danke |
07.04.2013, 20:34 | #8 | |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Wofür schreib ich dir eigentlich Hinweise? Zitat:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
07.04.2013, 20:43 | #9 |
| Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Entschuldige bitte, das hab ich wohl überlesen. Bevor ich die letzten Schritte ausführe, habe ich noch eine Frage. Im Auswahlfenster für die Autostartprozesse befinden sich 4 Einträge, die mir nichts sagen: SBSV 2010/02/19-11:02:07 (von Adobe) V0330Mon.exe (von Creative) PCLib Applicazione (von Unbekannt) runctf (von Unbekannt) Ich glaube der letzte Eintrag ist von einem anderen Virus, den ich über das Autostartabschalten von runctf deaktiviert habe und von dem ich eigentlich dachte, dass er von meinem Virenschutz bei einem Scan bereits entfernt wurde. Kann ich diese Prozesse beim Autostart aktivieren, bzw. wenn ich sie loswerden soll - wie? Danke |
07.04.2013, 20:50 | #10 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung runctf Eintrag kann gelöscht werden. Aber führe bitte die Schritte durch!
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
09.04.2013, 12:50 | #11 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
11.04.2013, 08:43 | #12 |
/// TB-Ausbilder | Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
Themen zu Landespolizeidirection-Virus - Start nur im abgesicherten Modus mit Eingabeaufforderung |
abgesicherten, abgesicherter modus, beim starten, daten, deaktivieren, dringend, eingabeaufforderung, gestartet, landespolizeidirection, legen, login, loswerden, modus, msconfig, netzwerk, nichts, problem, prozesse, relativ, schei, sofort, start, starte, starten, trojaner, verdächtige |