Hallo, leider habe ich mir gestern das schädliche Programm System Care Antivirus eingefangen und seit dem sind Zugriff auf Internet, Programme gesperrt. Ich habe mir bereits die FRST-Datei mit einem anderen Rechner runtergeladen und auf den infizierten Laptop auf den Desktop kopiert. Kann die datei aber im normalen Modus nicht ausführen (exe. auch gesperrt). (FRST im gesicherten Modus starten ?) bitte um Anweisung und Hilfestellung, danke

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:

Bitte lesen:
Regeln für die Bereinigung

• Illegal genutzte Software
  Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
• Keine Garantie
  Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
• Keine Alleingänge
  Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
• Aufmerksam lesen und nachfragen
  Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
• Richtig antworten
  • Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
  • Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss. Denke bitte aber auch daran, dass wir diesen Thread und deine Logfiles nachträglich nicht editieren werden! (siehe LINK)
  • Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
    [CODE] (Logfile) [/CODE]
  • Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten. (Hier gibt es eine Anleitung)
• Keine privaten Nachrichten
  Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
• Wie läuft die Bereinigung ab?
  Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-08-2013 01
Ran by SYSTEM on 15-08-2013 11:32:07
Running from F:\
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-19] (Microsoft Corporation)
HKLM\...\Run: [Apoint] - C:\Program Files\Apoint\Apoint.exe [118784 2007-06-10] (Alps Electric Co., Ltd.)
HKLM\...\Run: [ISBMgr.exe] - C:\Program Files\Sony\ISB Utility\ISBMgr.exe [311296 2007-09-19] (Sony Corporation)
HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [40368 2011-08-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [937920 2011-03-29] (Adobe Systems Incorporated)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-01-28] (Apple Inc.)
HKLM\...\Run: [NvSvc] - C:\Windows\system32\nvsvc.dll [92704 2009-05-26] (NVIDIA Corporation)
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [8530464 2009-05-26] (NVIDIA Corporation)
HKLM\...\Run: [NvMediaCenter] - C:\Windows\system32\NvMcTray.dll [88608 2009-05-26] (NVIDIA Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [345144 2013-06-27] (Avira Operations GmbH & Co. KG)
Winlogon\Notify\VESWinlogon: VESWinlogon.dll (Sony Corporation)
HKU\Default\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2008-01-19] (Microsoft Corporation)
HKU\Default\...\Run: [Picasa Media Detector] - C:\Program Files\Picasa2\PicasaMediaDetector.exe [ 2007-09-12] (Google Inc.)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2008-01-19] (Microsoft Corporation)
HKU\Default User\...\Run: [Picasa Media Detector] - C:\Program Files\Picasa2\PicasaMediaDetector.exe [ 2007-09-12] (Google Inc.)
HKU\lehmanco1\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [ 2008-01-19] (Microsoft Corporation)
HKU\lehmanco1\...\Run: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [ 2009-03-05] (Safer-Networking Ltd.)
HKU\lehmanco1\...\Run: [HXUAUQB] - rundll32 ",LQYAXBE [x]
HKU\lehmanco1\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [ 2008-01-19] (Microsoft Corporation)
HKU\lehmanco1\...\Run: [AmazonMP3DownloaderHelper] - C:\Users\lehmanco1\AppData\Local\Program Files\Amazon\MP3 Downloader\AmazonMP3DownloaderHelper.exe [ 2013-05-22] ()
HKU\lehmanco1\...\RunOnce: [B24FBC1976D5DE8B0000B24F09D1E604] - C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604\B24FBC1976D5DE8B0000B24F09D1E604.exe [ 2013-08-13] ()
Startup: C:\Users\lehmanco1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-06-27] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-06-27] (Avira Operations GmbH & Co. KG)
S3 PACSPTISVR; C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe [57344 2006-12-14] ()
S2 SBSDWSCService; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [1153368 2009-01-26] (Safer Networking Ltd.)
S3 SPTISRV; C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe [69632 2006-12-14] (Sony Corporation)
S3 VAIO Entertainment TV Device Arbitration Service; C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe [73728 2007-06-28] (Sony Corporation)
S2 VAIO Event Service; C:\Program Files\Sony\VAIO Event Service\VESMgr.exe [182392 2007-08-14] (Sony Corporation)
S3 VAIOMediaPlatform-IntegratedServer-AppServer; C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe [2523136 2007-06-20] (Sony Corporation)
S3 VAIOMediaPlatform-IntegratedServer-UPnP; C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe [1089536 2007-06-20] (Sony Corporation)
S3 VAIOMediaPlatform-UCLS-AppServer; C:\Program Files\Sony\VAIO Media Integrated Server\UCLS.exe [745472 2007-01-10] (Sony Corporation)
S3 VAIOMediaPlatform-UCLS-UPnP; C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe [1089536 2007-06-20] (Sony Corporation)
S3 VcmIAlzMgr; C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [292128 2007-09-28] (Sony Corporation)
S3 Vcsw; C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe [274432 2007-06-28] (Sony Corporation)
S3 VUAgent; C:\Program Files\Sony\VAIO Update\VUAgent.exe [957056 2012-10-26] (Sony Corporation)
S2 VzCdbSvc; C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe [192512 2007-08-28] (Sony Corporation)
S2 VzFw; C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe [131072 2007-08-28] (Sony Corporation)
S3 VAIOMediaPlatform-IntegratedServer-HTTP; "C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP" [x]
S3 VAIOMediaPlatform-Mobile-Gateway; "C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server" [x]
S3 VAIOMediaPlatform-UCLS-HTTP; "C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-UCLS-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\UCLS\HTTP" [x]

==================== Drivers (Whitelisted) ====================

S3 akshasp; C:\Windows\System32\DRIVERS\akshasp.sys [327168 2006-11-22] (Aladdin Knowledge Systems Ltd.)
S3 aksusb; C:\Windows\System32\DRIVERS\aksusb.sys [100096 2006-11-22] (Aladdin Knowledge Systems Ltd.)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-24] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-24] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-24] (Avira Operations GmbH & Co. KG)
S3 AVMUNET; C:\Windows\System32\DRIVERS\avmunet.sys [16384 2004-03-11] (AVM GmbH)
S2 cvintdrv; C:\Windows\System32\Drivers\cvintdrv.sys [7140 2004-07-26] ()
S2 Hardlock; C:\Windows\system32\drivers\hardlock.sys [693760 2006-11-22] (Aladdin Knowledge Systems Ltd.)
S3 R5U870FLx86; C:\Windows\System32\Drivers\R5U870FLx86.sys [75008 2007-10-30] (Ricoh)
S3 R5U870FUx86; C:\Windows\System32\Drivers\R5U870FUx86.sys [43904 2007-10-30] (Ricoh)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2012-08-27] (Avira GmbH)
S3 ti21sony; C:\Windows\System32\drivers\ti21sony.sys [812544 2007-06-06] (Texas Instruments)
S3 WinDriver6; C:\Windows\System32\drivers\windrvr6.sys [187872 2007-12-12] (Jungo)
S3 ALSysIO; \??\C:\Users\LEHMAN~1\AppData\Local\Temp\ALSysIO.sys [x]
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-08-14 10:56 - 2013-08-14 10:07 - 00714352 _____ C:\Users\lehmanco1\Desktop\ZipOpenerSetup.exe
2013-08-14 10:36 - 2013-08-14 10:36 - 00000000 ____D C:\Users\lehmanco1\Desktop\.rsrc
2013-08-13 18:25 - 2013-08-13 18:25 - 00001996 _____ C:\Users\lehmanco1\Desktop\System Care Antivirus.lnk
2013-08-13 18:17 - 2013-08-13 18:24 - 00000000 ____D C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604
2013-08-13 13:59 - 2013-08-13 16:44 - 00022460 _____ C:\Users\lehmanco1\Documents\Unbenannt 12.odt
2013-08-02 12:33 - 2013-08-02 12:33 - 00203394 _____ C:\Users\lehmanco1\Downloads\WISO Internet-Sparbuch-EST2012-PDF20130801-10.zip
2013-07-31 18:06 - 2013-07-31 18:06 - 00002073 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-07-27 12:37 - 2013-07-27 12:38 - 00022430 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374925052.amz
2013-07-27 10:50 - 2013-07-27 10:50 - 00014962 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374918635.amz
2013-07-27 10:04 - 2013-07-27 10:04 - 00014595 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374915847.amz
2013-07-24 16:16 - 2013-07-25 21:46 - 00011772 _____ C:\Users\lehmanco1\Documents\amtsgericht_240720.odt
2013-07-17 18:42 - 2013-07-22 12:06 - 00020678 _____ C:\Users\lehmanco1\Documents\Unbenannt 1j.odt

==================== One Month Modified Files and Folders =======

2013-08-15 11:31 - 2013-08-15 11:31 - 00000000 ____D C:\FRST
2013-08-14 18:37 - 2007-12-04 07:39 - 02040743 _____ C:\Windows\WindowsUpdate.log
2013-08-14 18:37 - 2007-11-02 10:52 - 00000012 _____ C:\Windows\bthservsdp.dat
2013-08-14 18:37 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-08-14 18:37 - 2006-11-02 13:47 - 00003568 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-08-14 10:56 - 2007-12-15 17:11 - 00082543 _____ C:\Users\lehmanco1\AppData\Roaming\nvModes.001
2013-08-14 10:43 - 2007-12-15 17:11 - 00002032 _____ C:\Users\lehmanco1\AppData\Local\d3d9caps.dat
2013-08-14 10:36 - 2013-08-14 10:36 - 00000000 ____D C:\Users\lehmanco1\Desktop\.rsrc
2013-08-14 10:07 - 2013-08-14 10:56 - 00714352 _____ C:\Users\lehmanco1\Desktop\ZipOpenerSetup.exe
2013-08-13 18:25 - 2013-08-13 18:25 - 00001996 _____ C:\Users\lehmanco1\Desktop\System Care Antivirus.lnk
2013-08-13 18:24 - 2013-08-13 18:17 - 00000000 ____D C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604
2013-08-13 16:44 - 2013-08-13 13:59 - 00022460 _____ C:\Users\lehmanco1\Documents\Unbenannt 12.odt
2013-08-12 07:12 - 2007-12-15 17:11 - 00082543 _____ C:\Users\lehmanco1\AppData\Roaming\nvModes.dat
2013-08-02 12:33 - 2013-08-02 12:33 - 00203394 _____ C:\Users\lehmanco1\Downloads\WISO Internet-Sparbuch-EST2012-PDF20130801-10.zip
2013-07-31 18:06 - 2013-07-31 18:06 - 00002073 _____ C:\Users\Public\Desktop\Google Earth.lnk
2013-07-31 18:06 - 2007-11-02 10:46 - 00000000 ____D C:\Program Files\Google
2013-07-27 14:32 - 2012-09-20 09:45 - 00000000 ____D C:\Users\lehmanco1\Documents\Amazon MP3
2013-07-27 12:38 - 2013-07-27 12:37 - 00022430 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374925052.amz
2013-07-27 10:50 - 2013-07-27 10:50 - 00014962 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374918635.amz
2013-07-27 10:04 - 2013-07-27 10:04 - 00014595 _____ C:\Users\lehmanco1\Downloads\Amazon-MP3-1374915847.amz
2013-07-25 21:46 - 2013-07-24 16:16 - 00011772 _____ C:\Users\lehmanco1\Documents\amtsgericht_240720.odt
2013-07-22 12:06 - 2013-07-17 18:42 - 00020678 _____ C:\Users\lehmanco1\Documents\Unbenannt 1j.odt

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-08-14 18:36:45

==================== Memory info =========================== 

Percentage of memory in use: 11%
Total physical RAM: 4093.63 MB
Available physical RAM: 3641.8 MB
Total Pagefile: 3853.98 MB
Available Pagefile: 3707.96 MB
Total Virtual: 2047.88 MB
Available Virtual: 1972.5 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:268.26 GB) (Free:72.44 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: (Recovery) (Fixed) (Total:11.2 GB) (Free:0.84 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (USB DISK) (Removable) (Total:29.8 GB) (Free:29.8 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 279 GB) (Disk ID: 06E0A1D8)
Partition 1: (Not Active) - (Size=11 GB) - (Type=27)
Partition 2: (Active) - (Size=268 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 30 GB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=30 GB) - (Type=0C)


LastRegBack: 2013-08-14 13:17

==================== End Of Log ============================
         

--- --- ---

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\lehmanco1\...\Run: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [ 2009-03-05] (Safer-Networking Ltd.)
HKU\lehmanco1\...\Run: [HXUAUQB] - rundll32 ",LQYAXBE [x]
HKU\lehmanco1\...\RunOnce: [B24FBC1976D5DE8B0000B24F09D1E604] - C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604\B24FBC1976D5DE8B0000B24F09D1E604.exe [ 2013-08-13] ()
C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604
2013-08-14 10:56 - 2013-08-14 10:07 - 00714352 _____ C:\Users\lehmanco1\Desktop\ZipOpenerSetup.exe
2013-08-13 18:25 - 2013-08-13 18:25 - 00001996 _____ C:\Users\lehmanco1\Desktop\System Care Antivirus.lnk
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Achtung dies war ein Entsperrversuch:
Das bedeutet, dass wir nicht fertig sind. Sondern: Wenn du wieder normal booten kannst müssen wir noch alle Reste entfernen, sonst wird eine Wiederinfektion eintreten. Berichte also, ob du wieder booten kannst und mache sonst nichts.

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 14-08-2013 01
Ran by SYSTEM at 2013-08-15 13:08:02 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

HKU\lehmanco1\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer => Value deleted successfully.
HKU\lehmanco1\Software\Microsoft\Windows\CurrentVersion\Run\\HXUAUQB => Value deleted successfully.
HKU\lehmanco1\Software\Microsoft\Windows\CurrentVersion\RunOnce\\B24FBC1976D5DE8B0000B24F09D1E604 => Value deleted successfully.
C:\ProgramData\B24FBC1976D5DE8B0000B24F09D1E604 => Moved successfully.
C:\Users\lehmanco1\Desktop\ZipOpenerSetup.exe => Moved successfully.
C:\Users\lehmanco1\Desktop\System Care Antivirus.lnk => Moved successfully.

==== End of Fixlog ====
         

normal booten geht jetzt wieder, danke schon mal dafür, warte auf weitere Anweisungen

Dann schauen wir mal, ob da noch irgendwas ist.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
AdwCleaner: Werbeprogramme suchen und löschen

Achtung! Lade dir keinenfalls den ZipOpener herunter.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.306 - Datei am 15/08/2013 um 15:29:29 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Benutzer : lehmanco1 - LEHMANCO-1
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\lehmanco1\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\END
Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\bProtector_extensions.rdf
Datei Gelöscht : C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\searchplugins\BrowserProtect.xml
Datei Gelöscht : C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\searchplugins\delta.xml
Datei Gelöscht : C:\Users\lehmanco1\Desktop\eBay.lnk
Datei Gelöscht : C:\Windows\system32\roboot.exe
Ordner Gelöscht : C:\Program Files\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\ProgramData\Babylon
Ordner Gelöscht : C:\ProgramData\Premium
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\lehmanco1\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\lehmanco1\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\lehmanco1\AppData\LocalLow\ConduitEngine
Ordner Gelöscht : C:\Users\lehmanco1\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Roaming\Babylon
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Roaming\file scout
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\Smartbar
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Roaming\PerformerSoft
Ordner Gelöscht : C:\Users\lehmanco1\AppData\Roaming\SpeedAnalysis2

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\SProtector
Schlüssel Gelöscht : HKCU\Software\BabylonToolbar
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Schlüssel Gelöscht : HKCU\Software\performersoft llc
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dgjkhjdcljddbedokogakmmdjgnbeanf
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\SP Global
Schlüssel Gelöscht : HKLM\Software\SProtector
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6001.18248

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www2.delta-search.com/?affID=119651&babsrc=HP_ss&mntrId=B246001E3D37CD7D --> hxxp://www.google.com
Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - bProtectTabs] = hxxp://www2.delta-search.com/?affID=119651&babsrc=NT_ss&mntrId=B246001E3D37CD7D --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (de)

Datei : C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\prefs.js

C:\Users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT2504091.CBOpenMAMSettings.enc", "MA==");
Gelöscht : user_pref("CT2504091.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2504091.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Gelöscht : user_pref("CT2504091.FirstTime", "true");
Gelöscht : user_pref("CT2504091.FirstTimeFF3", "true");
Gelöscht : user_pref("CT2504091.LoginRevertSettingsEnabled", true);
Gelöscht : user_pref("CT2504091.PG_ENABLE", "dHJ1ZQ==");
Gelöscht : user_pref("CT2504091.addressBarTakeOverEnabledInHidden", "true");
Gelöscht : user_pref("CT2504091.addressUrlXPETakeover", "true");
Gelöscht : user_pref("CT2504091.autoDisableScopes", -1);
Gelöscht : user_pref("CT2504091.cb_experience_000.enc", "MQ==");
Gelöscht : user_pref("CT2504091.cb_firstuse0100.enc", "MQ==");
Gelöscht : user_pref("CT2504091.cb_user_id_000.enc", "Q0I4OTc5OTY4NzY2OTZfMTM1OTIwNjE3MDg4Nl9GaXJlZm94");
Gelöscht : user_pref("CT2504091.cbcountry_001.enc", "REU=");
Gelöscht : user_pref("CT2504091.cbfirsttime.enc", "RnJpIEphbiAyNSAyMDEzIDE0OjAxOjIxIEdNVCswMTAw");
Gelöscht : user_pref("CT2504091.defaultSearch", "false");
Gelöscht : user_pref("CT2504091.embeddedsData", "[{\"appId\":\"129079840422026594\",\"apiPermissions\":{\"cross[...]
Gelöscht : user_pref("CT2504091.enableAlerts", "always");
Gelöscht : user_pref("CT2504091.enableFix404ByUser", "FALSE");
Gelöscht : user_pref("CT2504091.enableSearchFromAddressBar", "true");
Gelöscht : user_pref("CT2504091.firstTimeDialogOpened", "true");
Gelöscht : user_pref("CT2504091.fixPageNotFoundError", "true");
Gelöscht : user_pref("CT2504091.fixPageNotFoundErrorByUser", "true");
Gelöscht : user_pref("CT2504091.fixPageNotFoundErrorInHidden", "true");
Gelöscht : user_pref("CT2504091.fixUrls", true);
Gelöscht : user_pref("CT2504091.hxxp___www_socialgrowthtechnologies_com_couponbuddy_v001.APP_WIN_FEATURES.enc",[...]
Gelöscht : user_pref("CT2504091.installDate", "25/1/2013 14:00:25");
Gelöscht : user_pref("CT2504091.installId", "conduitinstallerstub.exe");
Gelöscht : user_pref("CT2504091.installType", "conduitnsisintegration");
Gelöscht : user_pref("CT2504091.isCheckedStartAsHidden", true);
Gelöscht : user_pref("CT2504091.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2504091.isFirstTimeToolbarLoading", "false");
Gelöscht : user_pref("CT2504091.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Gelöscht : user_pref("CT2504091.keyword", "true");
Gelöscht : user_pref("CT2504091.lastVersion", "10.14.42.7");
Gelöscht : user_pref("CT2504091.mam_gk_installer_preapproved.enc", "ZmFsc2U=");
Gelöscht : user_pref("CT2504091.migrateAppsAndComponents", true);
Gelöscht : user_pref("CT2504091.navigationAliasesJson", "{\"EB_SEARCH_TERM\":\"1493\\t1499\\t1500\\t1501\\t1502[...]
Gelöscht : user_pref("CT2504091.newSettings", "{\"dataType\":\"boolean\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2504091.openThankYouPage", "false");
Gelöscht : user_pref("CT2504091.openUninstallPage", "false");
Gelöscht : user_pref("CT2504091.price-gong.isManagedApp", "true");
Gelöscht : user_pref("CT2504091.revertSettingsEnabled", "TRUE");
Gelöscht : user_pref("CT2504091.search.searchAppId", "129079840422026594");
Gelöscht : user_pref("CT2504091.search.searchCount", "0");
Gelöscht : user_pref("CT2504091.searchInNewTabEnabledByUser", "false");
Gelöscht : user_pref("CT2504091.searchInNewTabEnabledInHidden", "true");
Gelöscht : user_pref("CT2504091.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
Gelöscht : user_pref("CT2504091.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"4\[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Gelöscht : user_pref("CT2504091.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Gelöscht : user_pref("CT2504091.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1359118871225");
Gelöscht : user_pref("CT2504091.serviceLayer_services_appsMetadata_lastUpdate", "1359401836096");
Gelöscht : user_pref("CT2504091.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1359118869728");
Gelöscht : user_pref("CT2504091.serviceLayer_services_login_10.14.42.7_lastUpdate", "1359401836401");
Gelöscht : user_pref("CT2504091.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1359118870066");
Gelöscht : user_pref("CT2504091.serviceLayer_services_searchAPI_lastUpdate", "1359401836631");
Gelöscht : user_pref("CT2504091.serviceLayer_services_serviceMap_lastUpdate", "1359401836023");
Gelöscht : user_pref("CT2504091.serviceLayer_services_toolbarContextMenu_lastUpdate", "1359118868955");
Gelöscht : user_pref("CT2504091.serviceLayer_services_toolbarSettings_lastUpdate", "1359401836193");
Gelöscht : user_pref("CT2504091.serviceLayer_services_translation_lastUpdate", "1359401836169");
Gelöscht : user_pref("CT2504091.settingsINI", true);
Gelöscht : user_pref("CT2504091.shouldFirstTimeDialog", "false");
Gelöscht : user_pref("CT2504091.smartbar.CTID", "CT2504091");
Gelöscht : user_pref("CT2504091.smartbar.Uninstall", "0");
Gelöscht : user_pref("CT2504091.smartbar.toolbarName", "Vuze Remote ");
Gelöscht : user_pref("CT2504091.startPage", "false");
Gelöscht : user_pref("CT2504091.toolbarBornServerTime", "25-1-2013");
Gelöscht : user_pref("CT2504091.toolbarCurrentServerTime", "28-1-2013");
Gelöscht : user_pref("CT2504091.url_history0001.enc", "aHR0cDovL3d3dy5uZXR6d2VsdC5kZS9mb3J1bS9hbGxnZW1laW5lLWZp[...]
Gelöscht : user_pref("CT2504091_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
Gelöscht : user_pref("aol_toolbar.default.homepage.check", false);
Gelöscht : user_pref("aol_toolbar.default.search.check", false);
Gelöscht : user_pref("ct2504091.UserID", "UN24507357561132022");
Gelöscht : user_pref("extensions.50b6552861c37.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]
Gelöscht : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Gelöscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Gelöscht : user_pref("extensions.delta.admin", false);
Gelöscht : user_pref("extensions.delta.aflt", "babsst");
Gelöscht : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Gelöscht : user_pref("extensions.delta.autoRvrt", "false");
Gelöscht : user_pref("extensions.delta.dfltLng", "en");
Gelöscht : user_pref("extensions.delta.excTlbr", false);
Gelöscht : user_pref("extensions.delta.ffxUnstlRst", true);
Gelöscht : user_pref("extensions.delta.id", "b246de8b000000000000001e3d37cd7d");
Gelöscht : user_pref("extensions.delta.instlDay", "15821");
Gelöscht : user_pref("extensions.delta.instlRef", "sst");
Gelöscht : user_pref("extensions.delta.newTab", false);
Gelöscht : user_pref("extensions.delta.prdct", "delta");
Gelöscht : user_pref("extensions.delta.prtnrId", "delta");
Gelöscht : user_pref("extensions.delta.rvrt", "false");
Gelöscht : user_pref("extensions.delta.smplGrp", "none");
Gelöscht : user_pref("extensions.delta.tlbrId", "base");
Gelöscht : user_pref("extensions.delta.tlbrSrchUrl", "");
Gelöscht : user_pref("extensions.delta.vrsn", "1.8.16.16");
Gelöscht : user_pref("extensions.delta.vrsnTs", "1.8.16.168:53:08");
Gelöscht : user_pref("extensions.delta.vrsni", "1.8.16.16");
Gelöscht : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
Gelöscht : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
Gelöscht : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
Gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", ".*");
Gelöscht : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "1");
Gelöscht : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "1");
Gelöscht : user_pref("sweetim.toolbar.searchguard.enable", "false");

*************************

AdwCleaner[S1].txt - [13167 octets] - [15/08/2013 15:29:29]

########## EOF - C:\AdwCleaner[S1].txt - [13228 octets] ##########
         

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-08-14.02 - lehmanco1 15.08.2013  19:47:50.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3070.1774 [GMT 2:00]
ausgeführt von:: c:\users\lehmanco1\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\wxDownload
c:\programdata\Microsoft\Windows\Start Menu\Programs\wxDownload\Uninstall.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\wxDownload\wxDownload.lnk
c:\programdata\wxDownload
c:\programdata\wxDownload\50b6553043a74.ocx
c:\programdata\wxDownload\50b6553043aac.html
c:\programdata\wxDownload\50b6553043ae5.js
c:\programdata\wxDownload\bhhbkpenldphjimogoaeahlcnkajjldp.crx
c:\programdata\wxDownload\settings.ini
c:\programdata\wxDownload\uninstall.exe
c:\users\lehmanco1\AppData\Local\Program Files\Amazon\MP3 Downloader\AmazonMP3DownloaderHelper.exe
c:\users\Public\sdelevURL.tmp
c:\windows\system32\TBM7F43.tmp
c:\windows\system32\UNWISE.EXE
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-07-15 bis 2013-08-15  ))))))))))))))))))))))))))))))
.
.
2013-08-15 18:15 . 2013-08-15 18:39	--------	d-----w-	c:\users\lehmanco1\AppData\Local\temp
2013-08-15 18:15 . 2013-08-15 18:15	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-08-15 10:31 . 2013-08-15 10:31	--------	d-----w-	C:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-11 06:13 . 2012-03-29 16:19	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-07-11 06:13 . 2011-05-19 04:43	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2010-05-20 07:46 . 2011-09-22 07:29	1843875	----a-w-	c:\program files\DC_Deutsch_12_08_00_test.exe
2009-10-20 11:57 . 2011-09-22 07:11	8170496	----a-w-	c:\program files\DCADWIN.exe
2008-06-06 16:28 . 2011-09-22 07:11	2359296	------w-	c:\program files\xerces-c_2_6.dll
2008-06-06 16:28 . 2011-09-22 07:11	7065600	------w-	c:\program files\DxfDwg2.dll
2008-06-06 16:28 . 2011-09-22 07:11	512000	------w-	c:\program files\whiptk7.dll
2008-06-06 16:28 . 2011-09-22 07:11	2940928	------w-	c:\program files\SketchUpReader.dll
2008-06-06 16:28 . 2011-09-22 07:11	159811	------w-	c:\program files\zlib.dll
2008-06-06 16:28 . 2011-09-22 07:11	53248	------w-	c:\program files\ObjectRead.dll
2008-06-06 16:28 . 2011-09-22 07:11	2088960	------w-	c:\program files\SkpWriter.dll
2008-06-06 16:28 . 2011-09-22 07:11	167936	------w-	c:\program files\SSCE5332.dll
2008-06-06 16:28 . 2011-09-22 07:11	970752	------w-	c:\program files\DxfDwg.dll
2008-06-06 16:28 . 2011-09-22 07:11	229376	------w-	c:\program files\ISP2000.dll
2008-06-06 16:28 . 2011-09-22 07:11	225280	------w-	c:\program files\acO2C.dll
2008-06-06 16:28 . 2011-09-22 07:11	69632	------w-	c:\program files\DCSKPReader.dll
2008-06-06 16:28 . 2011-09-22 07:11	419840	------w-	c:\program files\DCLoader.dll
2008-06-06 16:28 . 2011-09-22 07:11	385024	------w-	c:\program files\ClrSpace.dll
2008-06-06 16:28 . 2011-09-22 07:11	1138688	------w-	c:\program files\AcVisu.dll
2008-06-06 16:28 . 2011-09-22 07:11	1111040	------w-	c:\program files\CRDE2001.dll
2008-06-06 16:28 . 2011-09-22 07:11	102400	------w-	c:\program files\DCSkpWriter.dll
2003-03-18 19:20 . 2003-03-18 19:20	1060864	----a-w-	c:\program files\mfc71.dll
2003-03-18 19:12 . 2003-03-18 19:12	1047552	----a-w-	c:\program files\mfc71u.dll
2003-03-18 18:14 . 2003-03-18 18:14	499712	----a-w-	c:\program files\msvcp71.dll
2003-03-18 17:05 . 2003-03-18 17:05	89088	----a-w-	c:\program files\atl71.dll
2003-02-21 02:42 . 2003-02-21 02:42	348160	----a-w-	c:\program files\msvcr71.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2007-06-10 118784]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2007-09-19 311296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-01-28 59720]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2009-05-26 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-05-26 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-05-26 88608]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-06-27 345144]
.
c:\users\lehmanco1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE /tsr [2009-2-26 97680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-8-28 739880]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2007-08-14 19:05	98304	----a-w-	c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\WXDOWN~1\sprotector.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2013-02-20 10:35	152392	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2012-10-25 02:12	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Inhalt des "geplante Tasks" Ordners
.
2013-08-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 06:13]
.
2013-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-06-01 14:45]
.
2013-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2013-06-01 14:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\users\lehmanco1\AppData\Roaming\Mozilla\Firefox\Profiles\kj6qmvq2.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - 
FF - prefs.js: browser.startup.homepage - 
FF - ExtSQL: !HIDDEN! 2009-07-03 13:08; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-AmazonMP3DownloaderHelper - c:\users\lehmanco1\AppData\Local\Program Files\Amazon\MP3 Downloader\AmazonMP3DownloaderHelper.exe
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove-{088DF54D-6FFC-8C91-02D5-A461DCC2E652} - c:\programdata\wxDownload\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-08-15 20:42
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1136)
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\windows\system32\stacsv.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\program files\Sony\VAIO Event Service\VESMgrSub.exe
c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Google\Update\1.3.21.153\GoogleCrashHandler.exe
c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Sony\VAIO Power Management\SPMgr.exe
c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe
c:\windows\system32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Sony\VAIO Update\VAIOUpdt.exe
c:\program files\Sony\VAIO Update\VUAgent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-08-15  20:56:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-08-15 18:56
.
Vor Suchlauf: 9 Verzeichnis(se), 84.567.894.528 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 82.926.926.848 Bytes frei
.
- - End Of File - - 6A6C5277F95382E42AA2D01BF203DC0C
5C616939100B85E558DA92B899A0FC36
         

Hallo bitte vergiss was ich geschrieben hatte, der Combofix-Autor hat möglicherweise den Fehler gefunden, weshalb der MP3-Downloader gekillt wurde.

Tu mir bitte folgenden Gefallen:

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstalliere den Amazon MP3 Downloader und installiere ihn neu von der Webseite.


Schritt 2:
Lösche Combofix.


Schritt 3:
Lade dir bitte die revidierte Fassung von Combofix auf den Desktop (siehe oben) und führe sie aus. Logfile bitte. Danke für deine Hilfe.

ich bin jetzt etwas verwirrt...
ich habe jetzt bereits Malwarebytes Anti-Malware durchgeführt

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.16.01

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
lehmanco1 :: LEHMANCO-1 [Administrator]

Schutz: Aktiviert

16.08.2013 10:35:58
mbam-log-2013-08-16 (10-35-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228946
Laufzeit: 10 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\lehmanco1\Downloads\video_downloader.exe (PUP.Optional.Bundlore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

2. habe jetzt bereits ESET installiert und wollte gerade bei einem Problem nachfragen
=> "Can not get update. Is proxy configured" => muss ich da das Kästechen aktivieren

Frage: soll ich ESET jetzt abbrechen und den neuen Anweisungen folgen

Allgemein: ich denke, dass ich mir das schädliche Programm über Java geholt habe. Davor ist ein Fenster aufgegangen, wo ich ein Java/Flash add-on aktivieren sollte....

Ja das ist durchaus denkbar. Nun ich habe zwischenzeitlich auch etwas Recherche betrieben und ich schätze wir können doch mit ESET weiter machen. Manchmal hat ESET ein paar Downloadprobeme, weil so viele drauf zugreifen. Normalerweise funktioniert es nach einiger Zeit.

Probiere es einfach gegen Abend nochmal.

danke schon einmal bis jetzt, jedoch bitte ich um genaue Anweisung was ich weiter machen soll

1) den Eset konnte ich nicht installieren => "Can not get update. Is proxy configured" , auch fehlen mir die von die gelöschten Anweisungen dafür, wie ich beim ESET vorgehen soll, und auch für das weitere Programm Security Check
2) oder soll ich jetzt doch erst noch einmal den Combofix neu instalieren ?
3)was ist eine revidierte Fassung?
bitte um kurze Rückmeldung

mometan ist der Computer bei allen sachen, welche er laden, ausführen soll sehr langsam

Lass mal sehen, wie es um deine Dienste bestellt ist:

Scan mit Farbar's Service Scanner

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen