Seit kurzem öffnet sich mein IE 7 selbstständig mit Werbeseiten. Ich würde das gern abstellen, bin aber nicht so der PC-Profi ... Danke für die Hilfe :-)

Hier mein HJT-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:47:09, on 12.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\LxrJD31s.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ClocX\ClocX.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bdp.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [soft defy soap wave] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Stupid Vc Soft Defy\Burn bib.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - h**p://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - h**p://www.cyberlink.com/winxp/CheckDVD.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\skype4com.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe (file missing)
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe

--
End of file - 9442 bytes

Hallo und

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Stupid Vc Soft Defy\Burn bib.exe
         

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Danke für die schnelle Antwort. Ich mach mal eins nach dem anderen. Das mit den codetags bezog sich nur auf das combofix-logfile, oder?! die codetags stelle ich dann einmal an den Anfang und einmal unten ans Ende des logfiles??

Hier kommt erstmal die VirusTotal Auswertung. Ich hoffe, das ist einigermaßen lesbar ...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.2 2008.12.12 Win-Trojan/Obfuscated.Gen
AntiVir 7.9.0.45 2008.12.12 -
Authentium 5.1.0.4 2008.12.12 -
Avast 4.8.1281.0 2008.12.12 -
AVG 8.0.0.199 2008.12.12 -
BitDefender 7.2 2008.12.12 -
CAT-QuickHeal 10.00 2008.12.12 -
ClamAV 0.94.1 2008.12.12 -
Comodo 741 2008.12.12 -
DrWeb 4.44.0.09170 2008.12.12 -
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.12 -
F-Prot 4.4.4.56 2008.12.12 -
F-Secure 8.0.14332.0 2008.12.12 -
Fortinet 3.117.0.0 2008.12.12 -
GData 19 2008.12.12 -
Ikarus T3.1.1.45.0 2008.12.12 Trojan.Obfuscated
K7AntiVirus 7.10.552 2008.12.12 -
Kaspersky 7.0.0.125 2008.12.12 -
McAfee 5461 2008.12.11 -
McAfee+Artemis 5461 2008.12.11 -
Microsoft 1.4205 2008.12.12 -
NOD32 3687 2008.12.12 -
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.12 -
PCTools 4.4.2.0 2008.12.12 -
Prevx1 V2 2008.12.12 -
Rising 21.07.42.00 2008.12.12 -
SecureWeb-Gateway 6.7.6 2008.12.12 -
Sophos 4.36.0 2008.12.12 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.12 -
TheHacker 6.3.1.2.184 2008.12.11 -
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.12 OScope.Trojan.BagsWay.D
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.12 -
weitere Informationen
File size: 5578752 bytes
MD5...: ba09c1c44e32ccc6a84eb867df4dabfe
SHA1..: 446bef22e380c9c6fbec21f69a76cdf82c3e9e18
SHA256: fed975ab33a57f014257b57e7b0f3ef6d32fae9fb840f1096e836698de3c1708
SHA512: 0b187913ab3918d102dfab0c007acb901eaf28c4a7ffe32127c26537b751599b
d3f526892596aac98695ffb5d48fa25fdbcab6889d5f89f12c1d25df403b2a6f
ssdeep: 98304:2g7frAZN9e1N6LsgBd/7kC/Gq0c6uaz7fajbMzgwGNRQA/eYK44Ki5Hhk3
5X6aE:B7fyNpXB1Ig0izrDeA/vK7835
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x417569
timedatestamp.....: 0x4755574f (Tue Dec 04 13:34:07 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2072c 0x21000 6.35 9e89cf34b4b784f93bb1b1fd5cfa2219
.rdata 0x22000 0x495b8 0x4a000 7.98 ffb4222e983ab83a88f80987ecde8bf9
.data 0x6c000 0x4de3c8 0x4df000 8.00 956f6503cc1c55d4ee072f8c7b273753
.rsrc 0x54b000 0x6c54 0x7000 5.26 9f6dfe17f49609368c37780f736469d4

( 7 imports )
> USER32.dll: GetMenuItemCount, CloseClipboard, GetMenuItemRect, DrawFrame, ShowWindow, GetWindowModuleFileNameW, GetWindowInfo, DefWindowProcA, CallNextHookEx, InternalGetWindowText, LoadMenuA, ScrollWindowEx, GetShellWindow, DestroyWindow, SetWindowTextA, IsCharUpperW, MessageBoxA, RegisterClassA, SetProcessDefaultLayout, RegisterClassExA, CreateWindowExW, DrawStateA, GetForegroundWindow, CreateCursor, CreateCaret
> KERNEL32.dll: OpenMutexA, GetSystemTime, CreateMutexA, GetEnvironmentStringsW, LCMapStringW, SetStdHandle, ReadFile, QueryPerformanceCounter, TlsSetValue, TlsAlloc, TlsFree, GetProcAddress, WideCharToMultiByte, GetOEMCP, ExitProcess, GetCurrentProcessId, CloseHandle, WriteFile, GetTickCount, GetCPInfo, GetCurrentThread, GetCommandLineA, SetHandleCount, HeapAlloc, VirtualQuery, GetCurrentProcess, GetCurrentThreadId, GetVersion, UnhandledExceptionFilter, FreeEnvironmentStringsW, SetLastError, DeleteCriticalSection, GetEnvironmentStrings, SetEnvironmentVariableA, VirtualAlloc, GetLastError, HeapDestroy, SetFilePointer, VirtualFree, GetStringTypeW, LeaveCriticalSection, GetFileType, FlushFileBuffers, EnterCriticalSection, CompareStringW, GetStartupInfoA, MultiByteToWideChar, lstrlenW, CompareStringA, LoadLibraryA, HeapCreate, IsBadWritePtr, GetStdHandle, FreeEnvironmentStringsA, GetTimeZoneInformation, GetSystemTimeAsFileTime, HeapFree, InterlockedExchange, InterlockedIncrement, InitializeCriticalSection, SetEnvironmentVariableW, GetStringTypeA, GetModuleHandleA, GetShortPathNameW, RtlUnwind, HeapReAlloc, UnlockFileEx, TlsGetValue, InterlockedDecrement, GetModuleFileNameA, LCMapStringA, GetACP, GetLocalTime, TerminateProcess
> WININET.dll: HttpQueryInfoW, InternetSetDialStateA, InternetWriteFileExW
> comctl32.dll: InitCommonControlsEx, ImageList_Add, ImageList_DragMove
> GDI32.dll: GetObjectA, SetDIBColorTable, OffsetViewportOrgEx, CreateEllipticRgn, GetPixel, ExcludeClipRect, PlayMetaFile, GetCharacterPlacementA, AbortDoc, CloseFigure
> ADVAPI32.dll: RegConnectRegistryW, AbortSystemShutdownA, RegCreateKeyExW, CryptHashSessionKey, DuplicateTokenEx, RegReplaceKeyA, CryptDuplicateHash, RegSetValueExW, LookupAccountNameA, CryptVerifySignatureW, CryptGetDefaultProviderW, RegQueryValueExW, ReportEventA, CryptGenKey, RegOpenKeyA
> SHELL32.dll: SHFileOperationW

( 0 exports )

Zitat:

Das mit den codetags bezog sich nur auf das combofix-logfile, oder?!

Kannst auch für alle Logs benutzen. Schadet nie.

Zitat:

die codetags stelle ich dann einmal an den Anfang und einmal unten ans Ende des logfiles??

Du kannst auch in den Text klicken, [Strg]a und dann auf das # Symbol klicken.

ähm ... gut, dass du online bist ...

zu 2) die Systemwiederherstellung ist aus, aber ist das nicht auch schlecht bzw. kann ich die irgendwann wieder anstellen?

zu3) die mbr.exe führt er nicht aus. da blinkt mal kurz die Eingabeaufforderung auf und das war's ...

Zitat:

die Systemwiederherstellung ist aus, aber ist das nicht auch schlecht

Die Malware versteckt sich zum Teil dort. Wenn du eine Systemwiederherstellung machst, hast du die Dinger wieder drauf. Bei Befall immer abschalten. Einige sind der Meinung die Systemwiederherstellung verbraucht nur Speicherplatz und ist sinnfrei.

Zitat:

bzw. kann ich die irgendwann wieder anstellen?

Wenn wir mit allem durch sind kannst du die wieder anschalten und einen neuen Wiederherstellungspunkt setzen.

Zitat:

die mbr.exe führt er nicht aus. da blinkt mal kurz die Eingabeaufforderung auf und das war's ...

In dem Ordner, in dem du die gespeichert hast, findest du eine mbr.log. Die posten. Solltest du die nicht finden, dann lade dir die Datei nochmal auf den Desktop. Dort ist sie einfacher zu finden.