Bei diversen Programmen "... hat ein Problem festgestellt und muss beendet werden"

Biene01 · 08.11.2009, 23:24

Hallo,

ich habe leider das Problem das bei diversen Programmen (z.B. Internet Explorer, MSN Messenger, Windows Media Player etc..) sich nach dem öffnen ein Fenster öffnet mit "... hat ein Problem festgestellt und muss beendet werden.
Leider betrifft das nun immer mehr Programme, so dass ich leider glaube einen Virus oder ähnliches auf meinem PC zu haben.

Folgendes habe ich bisher gemacht:

- AntiVir sagt: 3 Warnungen, 0 Verdächtigungen und 0 Funde
- Den CCleaner habe ich mir runtergeladen und wie beschrieben angewenden
- Malewarebytes Anti-Maleware habe ich mir runtergeladen, er hat 18 Objekte gefunden u.a. Dateien wie Trojan.. oder Backdoor, die soweit ich hier gelesen habe nichts gutes verheißen.
Wenn ich nun aber nach dem Scan diese entfernen möchte mit "Entferne Auswahl" kommt ebenfalls das Fenster "... hat ein Problem festegestellt und ...". Wenn ich danach das Programm wieder öffne und die Dateien Quarantäne einsehe und lösche löscht er sie zwar da, nach einem neuen Scan sind die aber wieder da.

Folgende Logdateie habe ich speichern können:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 2
08.11.2009 21:48:18
mbam-log-2009-11-08 (21-48-01).txt
Scan-Methode: Vollständiger Scan (E:\|)
Durchsuchte Objekte: 86735
Laufzeit: 57 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux (Trojan.JSRedir.H) -> Bad: (C:\WINDOWS\system32\..\axukhbc.tfc) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe logon.exe) Good: (Explorer.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.
Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Infizierte Dateien:
C:\WINDOWS\axukhbc.tfc (Trojan.JSRedir.H) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\WINDOWS\system32\logon.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Biene\results.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\PI.EXE (Trojan.Agent) -> No action taken.

- Dann habe ich mir noch GMER runtergeladen, hab die Ergebnisse hier hochgeladen:
http://www.file-upload.net/download-...MER-1.doc.html

Mir sagt das alles leider so gar nichts, deshalb meine Frage, ob ihr mir helfen könnt bzw. Tipps geben könnt was ich tun sollte?

Viele Grüße Biene

cosinus · 14.11.2009, 16:37

Hallo und

Wo sind denn die Logfiles von RSIT? Bitte diese nachreichen.

Lade dir auch Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Biene01 · 14.11.2009, 22:25

Hallo,

vielen Dank für deine Antwort. Hatte RSIT noch nicht ausgeführt da ich ja bei Schritt zwei schon nicht weiter kam.

Aber hier sind sie nun:

Einmal das "log":

http://www.file-upload.net/download-2011382/log.txt.html

und das "info":

http://www.file-upload.net/download-2011384/info.txt.html

Und hier der Bericht von Lop S&D:

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Biene ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
C:\ (Local Disk) - NTFS - Total:139 Go (Free:52 Go)
D:\ (Local Disk) - NTFS - Total:133 Go (Free:36 Go)
E:\ (Local Disk) - FAT32 - Total:6 Go (Free:1 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (USB)
I:\ (USB)
J:\ (USB)
L:\ (USB)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 14.11.2009|22:23 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[16.06.2007|20:50] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[10.02.2005|17:14] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[13.11.2009|23:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
[20.11.2006|00:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL
[21.02.2005|14:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bluetooth
[17.03.2005|20:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[15.09.2009|10:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
[12.04.2009|20:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\EPSON
[12.02.2005|19:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\fun communications
[06.03.2009|21:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[09.03.2007|21:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
[08.11.2009|20:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[15.07.2009|16:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[11.05.2009|21:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[12.02.2005|19:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\muvee Technologies
[07.05.2005|20:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\QuickTime
[27.01.2005|16:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SBSI
[08.11.2009|22:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[12.04.2009|20:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\UDL
[07.09.2009|20:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems
[06.02.2005|14:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Viewpoint
[29.05.2007|14:54] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[11.05.2009|21:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WindowsLiveInstaller
[08.04.2008|13:58] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[26|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[13.10.2008|19:47] C:\DOKUME~1\Besitzer\ANWEND~1\Real
[0|Datei(en)] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\Besitzer\ANWEND~1\Bytes frei

[09.04.2009|12:07] C:\DOKUME~1\Biene\ANWEND~1\Adobe
[25.07.2008|21:15] C:\DOKUME~1\Biene\ANWEND~1\AdobeUM
[08.05.2005|13:18] C:\DOKUME~1\Biene\ANWEND~1\Ahead
[20.11.2006|00:55] C:\DOKUME~1\Biene\ANWEND~1\AOL
[29.07.2009|14:00] C:\DOKUME~1\Biene\ANWEND~1\BITS
[18.03.2005|16:55] C:\DOKUME~1\Biene\ANWEND~1\CyberLink
[21.10.2009|20:26] C:\DOKUME~1\Biene\ANWEND~1\DataDesign
[28.03.2005|15:09] C:\DOKUME~1\Biene\ANWEND~1\DVD Shrink
[28.03.2005|14:48] C:\DOKUME~1\Biene\ANWEND~1\DVD Shrink 3.0
[13.04.2009|08:27] C:\DOKUME~1\Biene\ANWEND~1\EPSON
[20.10.2009|20:48] C:\DOKUME~1\Biene\ANWEND~1\FileZilla
[09.01.2006|20:26] C:\DOKUME~1\Biene\ANWEND~1\Google
[08.05.2005|10:54] C:\DOKUME~1\Biene\ANWEND~1\Help
[26.01.2005|21:11] C:\DOKUME~1\Biene\ANWEND~1\Identities
[12.04.2009|20:24] C:\DOKUME~1\Biene\ANWEND~1\InstallShield
[10.06.2007|22:53] C:\DOKUME~1\Biene\ANWEND~1\Jasc
[08.04.2007|21:36] C:\DOKUME~1\Biene\ANWEND~1\Learn2.com
[06.02.2005|16:44] C:\DOKUME~1\Biene\ANWEND~1\Macromedia
[08.05.2005|11:39] C:\DOKUME~1\Biene\ANWEND~1\MAGIX
[08.11.2009|20:58] C:\DOKUME~1\Biene\ANWEND~1\Malwarebytes
[24.05.2007|20:29] C:\DOKUME~1\Biene\ANWEND~1\Microsoft
[28.10.2009|09:34] C:\DOKUME~1\Biene\ANWEND~1\Move Networks
[22.09.2008|19:26] C:\DOKUME~1\Biene\ANWEND~1\Mozilla
[19.02.2006|18:42] C:\DOKUME~1\Biene\ANWEND~1\Musicmatch
[06.02.2005|13:51] C:\DOKUME~1\Biene\ANWEND~1\Real
[04.07.2007|16:07] C:\DOKUME~1\Biene\ANWEND~1\Screenshot Sender
[08.11.2009|20:15] C:\DOKUME~1\Biene\ANWEND~1\skypePM
[06.02.2005|16:45] C:\DOKUME~1\Biene\ANWEND~1\Sun
[25.10.2005|20:18] C:\DOKUME~1\Biene\ANWEND~1\T-Online
[08.05.2005|11:06] C:\DOKUME~1\Biene\ANWEND~1\Ulead Systems
[06.02.2005|14:35] C:\DOKUME~1\Biene\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\Biene\ANWEND~1\Bytes
[33|Verzeichnis(se),] C:\DOKUME~1\Biene\ANWEND~1\Bytes frei

[06.02.2005|17:25] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Adobe
[16.03.2005|22:34] C:\DOKUME~1\DEFAUL~1\ANWEND~1\AOL
[22.02.2005|01:05] C:\DOKUME~1\DEFAUL~1\ANWEND~1\CyberLink
[26.01.2005|21:11] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Identities
[06.02.2005|16:44] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia
[12.02.2005|19:39] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[06.02.2005|13:51] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Real
[06.02.2005|16:45] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Sun
[06.02.2005|14:35] C:\DOKUME~1\DEFAUL~1\ANWEND~1\You've Got Pictures Screensaver
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[11|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[21.02.2005|13:21] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[14.02.2005|20:15] C:\DOKUME~1\LOCALS~1\ANWEND~1\X10 Commander
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[21.02.2005|13:21] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[11.11.2007|10:27] C:\DOKUME~1\NETWOR~1\ANWEND~1\X10 Commander
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[04.08.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
[14.11.2009 21:56][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ Ordner Verzeichnis unter C:\Programme

[12.04.2009|20:27] C:\Programme\ABBYY FineReader 6.0 Sprint
[27.01.2005|18:02] C:\Programme\Adobe
[16.03.2005|22:36] C:\Programme\Ahead
[13.11.2009|23:02] C:\Programme\AntiVir PersonalEdition Classic
[27.01.2005|09:14] C:\Programme\ATI Technologies
[16.10.2009|19:49] C:\Programme\Audacity
[08.11.2009|23:00] C:\Programme\CCleaner
[15.11.2007|14:04] C:\Programme\Common Files
[16.03.2005|22:36] C:\Programme\CyberLink
[08.11.2007|17:16] C:\Programme\DivX
[29.03.2005|15:14] C:\Programme\DVD Shrink
[12.04.2009|20:28] C:\Programme\epson
[05.08.2009|15:00] C:\Programme\FileZilla
[20.10.2009|20:47] C:\Programme\FileZilla FTP Client
[08.11.2009|22:53] C:\Programme\Gemeinsame Dateien
[06.03.2009|21:42] C:\Programme\Google
[07.04.2008|16:51] C:\Programme\HighMAT CD Writing Wizard
[22.02.2005|20:19] C:\Programme\Home Cinema
[07.09.2009|20:05] C:\Programme\InstallShield Installation Information
[27.01.2005|07:46] C:\Programme\Intel
[15.10.2009|06:26] C:\Programme\Internet Explorer
[27.11.2007|21:53] C:\Programme\IrfanView
[21.02.2005|14:46] C:\Programme\IVT Corporation
[27.01.2005|18:14] C:\Programme\Java
[07.09.2009|20:07] C:\Programme\LetsTrade
[08.11.2009|21:00] C:\Programme\Malwarebytes' Anti-Malware
[23.02.2005|15:58] C:\Programme\Medion
[04.11.2009|17:33] C:\Programme\Messenger Plus! Live
[11.05.2009|21:29] C:\Programme\Microsoft
[12.02.2005|19:38] C:\Programme\Microsoft AutoRoute
[26.01.2005|21:11] C:\Programme\microsoft frontpage
[02.10.2007|17:02] C:\Programme\Microsoft Office
[09.09.2009|10:20] C:\Programme\Microsoft Silverlight
[12.02.2005|19:40] C:\Programme\Microsoft Visual Studio
[21.02.2005|16:42] C:\Programme\Microsoft Works
[12.02.2005|19:27] C:\Programme\Microsoft Works Suite 2005
[26.01.2005|21:09] C:\Programme\Movie Maker
[14.11.2009|22:14] C:\Programme\Mozilla Firefox
[27.11.2007|20:57] C:\Programme\MSN
[26.01.2005|21:08] C:\Programme\MSN Gaming Zone
[04.05.2007|02:17] C:\Programme\MSXML 4.0
[14.02.2005|20:14] C:\Programme\Musicmatch
[12.02.2005|19:54] C:\Programme\muvee Technologies
[26.01.2005|21:09] C:\Programme\NetMeeting
[12.08.2009|21:15] C:\Programme\Outlook Express
[12.09.2008|22:34] C:\Programme\Picture It! Premium 10
[21.02.2005|13:01] C:\Programme\QuickTime
[27.01.2005|16:34] C:\Programme\RALINK
[06.02.2005|13:50] C:\Programme\Real
[28.03.2005|22:31] C:\Programme\RegCleaner
[09.03.2007|21:30] C:\Programme\Sphairon
[14.11.2009|22:13] C:\Programme\trend micro
[07.09.2009|20:05] C:\Programme\Ulead Systems
[29.08.2009|20:39] C:\Programme\Uninstall Information
[12.02.2005|19:22] C:\Programme\Winbond Electronics Corp
[11.05.2009|21:29] C:\Programme\Windows Live
[29.07.2009|15:46] C:\Programme\Windows Live Safety Center
[11.05.2009|21:29] C:\Programme\Windows Live SkyDrive
[04.07.2007|21:10] C:\Programme\Windows Media Connect
[08.11.2007|17:46] C:\Programme\Windows Media Connect 2
[08.11.2007|17:46] C:\Programme\Windows Media Player
[26.01.2005|21:08] C:\Programme\Windows NT
[12.02.2005|19:51] C:\Programme\WISO
[26.01.2005|21:11] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[66|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[27.01.2005|18:03] C:\Programme\Gemeinsame Dateien\Adobe
[10.02.2005|17:16] C:\Programme\Gemeinsame Dateien\Ahead
[20.11.2006|00:55] C:\Programme\Gemeinsame Dateien\aol
[19.11.2006|19:11] C:\Programme\Gemeinsame Dateien\aolback
[12.02.2005|19:22] C:\Programme\Gemeinsame Dateien\Borland Shared
[12.02.2005|19:51] C:\Programme\Gemeinsame Dateien\Buhl Data Service
[12.02.2005|19:51] C:\Programme\Gemeinsame Dateien\DataDesign
[12.02.2005|19:31] C:\Programme\Gemeinsame Dateien\Designer
[26.01.2005|21:09] C:\Programme\Gemeinsame Dateien\Dienste
[12.04.2009|20:29] C:\Programme\Gemeinsame Dateien\InstallShield
[27.01.2005|18:13] C:\Programme\Gemeinsame Dateien\Java
[14.08.2006|19:10] C:\Programme\Gemeinsame Dateien\Marmiko Shared
[11.05.2009|21:29] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[26.01.2005|21:09] C:\Programme\Gemeinsame Dateien\MSSoap
[12.02.2005|19:54] C:\Programme\Gemeinsame Dateien\muvee Technologies
[06.02.2005|14:35] C:\Programme\Gemeinsame Dateien\Nullsoft
[21.06.2007|19:48] C:\Programme\Gemeinsame Dateien\ODBC
[21.02.2005|16:03] C:\Programme\Gemeinsame Dateien\Real
[26.01.2005|21:05] C:\Programme\Gemeinsame Dateien\SpeechEngines
[13.06.2007|17:35] C:\Programme\Gemeinsame Dateien\System
[11.05.2009|21:07] C:\Programme\Gemeinsame Dateien\Windows Live
[08.04.2008|13:58] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[28.03.2005|17:55] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[21.02.2005|16:03] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[26|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 36 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER

--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-14 22:28:55
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
C:\WINDOWS\System32\sdra64.exe 182272 bytes executable
C:\WINDOWS\System32\lowsec
C:\WINDOWS\System32\lowsec\local.ds 139172 bytes
C:\WINDOWS\System32\lowsec\user.ds 6055528 bytes
C:\WINDOWS\System32\lowsec\user.ds.lll 10442 bytes
scan completed successfully
hidden processes: 0
hidden files: 181

--------------------\\ Suche nach anderen Infektionen

Kein anderen Infektionen gefunden !

[F:11][D:3]-> C:\DOKUME~1\Biene\LOKALE~1\Temp
[F:7][D:0]-> C:\DOKUME~1\Biene\Cookies
[F:10][D:5]-> C:\DOKUME~1\Biene\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 14.11.2009|22:31 - Option : [1]

--------------------\\ Scan beendet um 22:31:12

Bin gespannt was du dazu sagst ...

Viele Grüße Biene

cosinus · 16.11.2009, 11:36

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\System32\sdra64.exe

Folders to delete:
C:\WINDOWS\System32\lowsec

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Danach bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Biene01 · 16.11.2009, 19:20

Hallo,

okay hier das LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\System32\sdra64.exe" deleted successfully.
Folder "C:\WINDOWS\System32\lowsec" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Vg Biene

Biene01 · 16.11.2009, 20:39

So nun wollte ich Combifix durchlaufen lassen. Leider hatte sich mein Antivir dann doch nicht deaktiviert und ich hab es einfach nicht deaktivieren können, so dass ich es jetzt runtergeschmissen habe (war sicherlich nicht ganz so intelligent, aber sonst hätte ich nicht fortfahren können).

Als Combifix nun angefangen hat zu suchen kam eine Meldung:

Logon.exe: ein anderes Prgramm greift gerade auf diese Datei zu.

Combifix lief aber weiter so das ich es dabei belassen habe. Sollte ja nichts anrühren. Dann musste ich kurz weg vom PC und dann hörte ich kurz danach ein "Pling" und der Rechner fuhr sich runter mit der Meldung Windows wird neu gestartet, dass klappte aber leider nicht ganz dann kam ein blauer Bildschirm mit .... hat einen schwerwiegenden Fehler festgestellt
Technische Informationen:
Stop: 0x0000000A (0x00000000, 0x000001C, 0x00000000, 0x804FAE39)
Weiß nicht ob das wichtig ist.

Daraufhin hab ich den Computer neugestartet.

Direkt unter C finde ich keine ComboFix.txt Datei aber unter C:\cofi mit folgendem Text:

ComboFix 09-11-16.05 - Biene 16.11.2009 20:24:39..2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.701 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Biene\Desktop\cofi.exe
.

Nun weiß ich nicht ob ich toten Schwachsinn hier gebaut habe oder ob das richtig war was ich gemacht habe :-(

Was mich freudig stimmt ist das mein Internetexplorer wieder geht und anscheinend mein Windows Media Player und Power Cinema auch nicht mehr gleich diese Fehlermeldung anzeigen.

Viele Grüße Biene

Biene01 · 17.11.2009, 17:42

Hallo,

ich bin noch am checken, aber soweit ganz gut.
Ja ich mache Online Banking.

Previx hat was gefunden :-(:

http://www.file-upload.net/download-2017979/Prevx_report.doc.html

Und nu?

Vg biene

cosinus · 16.11.2009, 21:48

So schlecht sieht das das Log nicht aus. Zur Kontrolle bitte:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Biene01 · 16.11.2009, 21:52

Hier nun der Extras.Txt-Editor Log:

OTL Extras logfile created on: 16.11.2009 21:58:32 - Run 1
OTL by OldTimer - Version 3.1.5.0 Folder = C:\Dokumente und Einstellungen\Biene\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1023,48 Mb Total Physical Memory | 610,36 Mb Available Physical Memory | 59,64% Memory free
2,40 Gb Paging File | 2,11 Gb Available in Paging File | 87,95% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 139,65 Gb Total Space | 58,39 Gb Free Space | 41,81% Space Free | Partition Type: NTFS
Drive D: | 133,27 Gb Total Space | 46,31 Gb Free Space | 34,75% Space Free | Partition Type: NTFS
Drive E: | 6,53 Gb Total Space | 1,70 Gb Free Space | 26,04% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: MAJA
Current User Name: Biene
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.chm [@ = chm.file] -- "%SYSTEMROOT%\hh.exe" %1
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "%SYSTEMROOT%\hh.exe" %1 File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "%programfiles%\internet explorer\iexplore.exe" File not found

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet

isabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet

isabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet

isabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet

isabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Messenger\msmsgs.exe" = C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger -- File not found
"C:\Programme\AOL 9.0\AOL.exe" = C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0 -- File not found
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole -- (Microsoft Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:enabled:Skype -- File not found
"C:\Programme\CA\eTrust Antivirus\InocIT.exe" = C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner -- File not found
"C:\Programme\CA\eTrust Antivirus\Realmon.exe" = C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor -- File not found
"C:\Programme\CA\eTrust Antivirus\InoRpc.exe" = C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server -- File not found
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth) -- (IVT Corporation)
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe:*:Enabled:AOL -- File not found
"C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe" = C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe:*:Enabled:AOL -- File not found
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0 -- File not found
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Faxkonsole -- (Microsoft Corporation)
"C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe:*:enabled:BlueSoleil (BlueTooth) -- (IVT Corporation)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" = C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger -- (Microsoft Corporation)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0178EFF0-92A0-405D-9A7C-28E85BFA7A2D}" = Sphairon USB Wireless LAN Card
"{05440044-64A6-4248-A026-9745C1E9E159}" = Microsoft Encarta Enzyklopädie 2005
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1E02403C-C469-4937-9B94-7DF9F78888FA}" = Smart Manager
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{261D0486-9127-4071-BA1D-FE784310752E}" = videon
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema 4.0
"{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant
"{3248F0A8-6813-11D6-A77B-00B0D0150010}" = J2SE Runtime Environment 5.0 Update 1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3D1A6B70-3E02-49BC-88B0-916C80274632}" = Informationen über Ihren PC
"{3F262ADC-5AD2-48E5-A586-44315E04A9E2}" = Microsoft Picture It!-Bibliothek 10
"{42756145-9997-4D28-809B-8756BFD00106}" = Microsoft Picture It! Foto Premium 10
"{42EDF895-158C-484E-A7F2-42B90759F281}" = Camera RAW Plug-In for EPSON Creativity Suite
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{46CBBDF8-55B5-40DB-B459-7B848394309C}" = EPSON File Manager
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{5490B6EF-5A48-40B7-A9E0-D3B886D17A29}" = RT2500 USB Wireless LAN Card
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{67E4EE98-59F4-4220-89A6-A20AF5BEC689}" = Microsoft AutoRoute 2005
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A8F8391-4C2C-4BE1-A984-CD4A5A546467}" = EPSON Easy Photo Print
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8CD9282B-A8F4-4A6D-A11C-6B9738975B00}" = WISO Mein Geld 5
"{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}" = Musicmatch® Jukebox
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90840407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Excel Viewer 2003
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}" = Windows Live Essentials
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{AC76BA86-7AD7-1031-7B44-A70000000000}" = Adobe Reader 7.0.7 - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B9F499B8-D1F0-42FC-84BE-CC552123CCCB}" = BlueSoleil
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD815603-AB71-4CFB-B3AC-522298037ACC}" = W83L518D
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D271DAE0-8D68-4C97-8356-A126D48A1D8C}" = Ulead Photo Explorer 8.0 SE Basic
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow 3.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EA1CB7AC-E221-4822-A789-0ADB051DC498}" = Generic USB CardReader 2.0
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"CCleaner" = CCleaner
"CIF USB CAMERA" = CIF USB CAMERA
"C-Media Audio Driver" = C-Media High Definition Audio Driver
"Creatix V.92 Data Fax Modem" = Creatix V.92 Data Fax Modem
"DVD Shrink_is1" = DVD Shrink 3.2
"EPSON Scanner" = EPSON Scan
"EPSON Stylus SX200 Series" = EPSON Stylus SX200 Series Printer Uninstall
"EPSON Stylus SX200_SX400_TX200_TX400 Benutzerhandbuch" = EPSON Stylus SX200_SX400_TX200_TX400 Handbuch
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"IrfanView" = IrfanView (remove only)
"KeyStat" = KeyStat
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"medionmusic-manager gold" = medionmusic-manager gold
"medionmusic-Suite" = medionmusic-Suite
"Messenger Plus! Live" = Messenger Plus! Live
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.5.5)" = Mozilla Firefox (3.5.5)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"NeroMultiInstaller!UninstallKey" = Nero Suite
"PictureItPrem_v10" = Microsoft Picture It! Foto Premium 10
"QuickTime" = QuickTime
"RealPlayer 6.0" = RealPlayer
"Shockwave" = Shockwave
"Winamp Toolbar for Firefox" = Winamp Toolbar for Firefox
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"X10Hardware" = X10 Hardware(TM)

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.2.8.1

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 19.07.2009 14:23:12 | Computer Name = MAJA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung powercinema.exe, Version 4.0.0.0, fehlgeschlagenes
Modul clcapengine.dll, Version 4.0.0.1421, Fehleradresse 0x00016f23.

Error - 31.07.2009 10:27:46 | Computer Name = MAJA | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 01.08.2009 12:27:22 | Computer Name = MAJA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung powercinema.exe, Version 4.0.0.0, fehlgeschlagenes
Modul clcapengine.dll, Version 4.0.0.1421, Fehleradresse 0x00016f23.

Error - 13.08.2009 15:03:51 | Computer Name = MAJA | Source = Windows Live Messenger | ID = 1000
Description =

Error - 17.08.2009 15:47:38 | Computer Name = MAJA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.2180, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x10051e9d.

Error - 20.08.2009 13:38:44 | Computer Name = MAJA | Source = Windows Live Messenger | ID = 1000
Description =

Error - 23.08.2009 15:22:02 | Computer Name = MAJA | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 26.08.2009 16:01:19 | Computer Name = MAJA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.2180, fehlgeschlagenes
Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 28.08.2009 11:59:22 | Computer Name = MAJA | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msnmsgr.exe, Version 14.0.8064.206, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 03.09.2009 16:06:54 | Computer Name = MAJA | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

[ System Events ]
Error - 16.11.2009 15:22:48 | Computer Name = MAJA | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error - 16.11.2009 15:24:29 | Computer Name = MAJA | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error - 16.11.2009 15:26:16 | Computer Name = MAJA | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error - 16.11.2009 15:33:22 | Computer Name = MAJA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SjyPkt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 16.11.2009 15:33:31 | Computer Name = MAJA | Source = System Error | ID = 1003
Description = Fehlercode 1000000a, 1. Parameter 00000000, 2. Parameter 0000001c,
3. Parameter 00000000, 4. Parameter 804fae39.

Error - 16.11.2009 15:52:58 | Computer Name = MAJA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SjyPkt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 16.11.2009 16:23:03 | Computer Name = MAJA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SjyPkt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 16.11.2009 16:26:03 | Computer Name = MAJA | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error - 16.11.2009 16:28:43 | Computer Name = MAJA | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

Error - 16.11.2009 16:43:45 | Computer Name = MAJA | Source = Service Control Manager | ID = 7000
Description = Der Dienst "SjyPkt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

< End of report >

Vg Biene

Biene01 · 16.11.2009, 21:58

Und hier der OTL.Txt -Editor Log:

http://www.file-upload.net/download-2016330/OTL-logfile-created-on.doc.html

Vg Biene

cosinus · 17.11.2009, 13:24

Wie verhält sich Dein Rechner denn jetzt?
Wegen der Funde, betreibst Du Online-Banking?

Kontrollscan: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

cosinus · 17.11.2009, 20:51

Die Funde sehen nicht so dramatisch aus.
Werte mal die Datei c:\windows\system32\xvid.dll (erster Fund von PrevX) bei virustotal.com aus und poste den Ergebnislink. Der zweite Eintrag dürfte zu dieser xvid.dll gehören...

Der dritte Eintrag ist unbedenklich, das ist die umbenannte Combofix-Datei.

Biene01 · 18.11.2009, 17:24

Hallo,

okay das ist prima. Mein Internet Explorer läuft auch weiterhin und in mein MSN Messenger komme ich auch wieder rein, allerdings bekomme ich die Fehlermeldung nun wieder bei Power Cinema wenn ich Fernseh gucken will.

Aber hier nun erstmal das Ergebnis welches du haben wolltest:

http://www.virustotal.com/de/analisis/588b2ed6baa949d0902ff802c255fe796f022e3828a2c1b895ea7ed84434448e-1195586229

Ach ja und bei Prevx hab ich sonst weiter nichts gemacht, das Fenster kam beim hochfahren wieder, dass ist richtig, gell?

Vg Biene

Biene01 · 21.11.2009, 21:12

Hi Arne,

magst du mir vielleicht noch sagen wie ich hier weitervorgehen soll?

Danke & VG Biene

cosinus · 22.11.2009, 20:07

Wenn soweit alles wieder okay, ist solltest Du Dich um die Updates kümmern. Behalte aber Dein Online-Banking im Auge, da war möglicherweise ein Banking-Trojaner aktiv.

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um das SP3 und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

17.11.2009, 13:24	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bei diversen Programmen "... hat ein Problem festgestellt und muss beendet werden" Wie verhält sich Dein Rechner denn jetzt? Wegen der Funde, betreibst Du Online-Banking? Kontrollscan: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade. __________________ Logfiles bitte immer in CODE-Tags posten

Bei diversen Programmen "... hat ein Problem festgestellt und muss beendet werden"

Plagegeister aller Art und deren Bekämpfung: Bei diversen Programmen "... hat ein Problem festgestellt und muss beendet werden"