HJJACK FILES. nach USER PROTECTION DEINSTALLATION

GODMAN · 24.03.2010, 08:02

Hallo liebe Community,

Meine Kollegin hat sich vor 3 Tagen den Virus "User Protection" eingefangen.

Ich habe alles nach der Anleitung getan. Das Programm startet nicht mehr und ich habe das Gefühl es läuft "etwas" runder.

Trotzdem habe ich folgendes Problem:

Das Vista Sicherheitscenter startet nicht mehr und lässt sich auch nicht Manuell starten. (Verwaltung->Dienste gescheitert::: Ausführen->service.msc gescheitert) daraus folgt, dass ich KEIN Antiviren-Programm starten kann! (Kaspersky).
Mir ist nur aufgefallen das ich im Taskmanager immer den Iexplore.exe und den ieuser.exe angezeigt bekomme ich mit keinem Internet Explorer arbeite (Firefox).

Mein 2. Problem ist das wenn ich iwo schreibe, (jetzt z.B.) jede 20 Sekunden der "schreibvorgang" unterbrochen wird und ich immer erneut ins Textfeld klicken muss. (Hoffe das hängt damit zusammen).

Ich kann den PC nicht formatieren, weil sich hier 5 Zeichenprogramme älterer Versionen befinden, an die ich nicht mehr rankommen kann.

Ich habe euch unten die Hjjack File angehängt. Ich bitte um HILFE.

Ich habe euch hier die Hjjack File aus RSIT angehängt.

Chris4You · 24.03.2010, 11:53

Hi,

ist das ein geschäftlich benutzter PC (-> luedke-bau.local)?

Was ist das für ein Teil:
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Safecracker/Images/stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Safecracker/Images/armhelper.ocx
???

chris

GODMAN · 24.03.2010, 13:15

Mal Geschäftlich mal Nicht (zu Haus).

Der Teil ist von dem Game Safecracker.
hxxp://static.rarbg.com/posters2/c/c40d6cda8f00146f84e87b6df78dce4f9eebea79.jpg

Bitte immernoch um DRINGENDE Hilfe

cosinus · 24.03.2010, 13:17

Was sagt Dein Admin zum Virenbefall?

GODMAN · 24.03.2010, 13:19

Haben keinen.
Jeder Managed das selber.

Was brauchst du?

GODMAN · 30.03.2010, 08:42

Entschuldigung für die Verspätung.
Habe alles so gemacht wie beschrieben.

Zitat:

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\ProgramData\fiosejgfse.dll" not found!
Deletion of file "C:\ProgramData\fiosejgfse.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\sqldcic.dll" not found!
Deletion of file "C:\Windows\system32\sqldcic.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\system32\drivers\a71q7jjb.sys" not found!
Deletion of file "C:\Windows\system32\drivers\a71q7jjb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\ProgramData\skeylo" not found!
Deletion of folder "C:\ProgramData\skeylo" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\a71q7jjb" not found!
Deletion of driver "a71q7jjb" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

File-Upload.net - backup.zip

cosinus · 24.03.2010, 13:34

Ok. Ist nicht unüblich, nur größere Firmen leisten sich It-Abteilungen

Malwarebytes schon ausgeführt?

GODMAN · 24.03.2010, 13:39

Ja, danach hat sich Virus nicht mehr gestartet.

Ich habe aber immernoch das GEfühl das hier irgendwo was "an" ist.

GODMAN · 30.03.2010, 13:32

SO.

Das Sicherheitscenter ist wieder angesprungen!

Hier die LOG:

Zitat:

ComboFix 10-03-29.04 - brokelmann 30.03.2010 13:58:14.1.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1252.49.1031.18.3325.2339 [GMT 2:00]
ausgeführt von:: c:\users\Brokelmann\Desktop\CoFi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Anti-Virus *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Kaspersky Anti-Virus *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-107617857-2656007549-2793556942-500
c:\$recycle.bin\S-1-5-21-1368267267-3265147925-639948833-500
C:\default.scr
c:\programdata\_VOIDmainqt.dll
c:\users\BROKEL~1\FAVORI~1\_favdata.dat
c:\users\Brokelmann\Favorites\_favdata.dat
c:\windows\_VOIDxpepyihnqu
c:\windows\_VOIDxpepyihnqu\_VOIDd.sys
c:\windows\system32\_VOIDdujnnrctxx.dll
c:\windows\system32\_VOIDmfeklnmal.dll
c:\windows\system32\_VOIDmffperniql.dat
c:\windows\system32\_VOIDnvqumwcvet.dll
c:\windows\system32\_VOIDqrkepybdao.dll
c:\windows\system32\_VOIDryptnsvsio.dll
c:\windows\system32\_VOIDvdtpoqlepf.dll
c:\windows\system32\_VOIDycwauvqcuw.dat
c:\windows\system32\nwlocale.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy__VOIDd.sys
-------\Legacy__VOIDXPEPYIHNQU
-------\Service__VOIDd.sys
-------\Service__VOIDxpepyihnqu

((((((((((((((((((((((( Dateien erstellt von 2010-02-28 bis 2010-03-30 ))))))))))))))))))))))))))))))
.

2010-03-30 12:08 . 2010-03-30 12:12 -------- d-----w- c:\users\Brokelmann\AppData\Local\temp
2010-03-30 12:08 . 2010-03-30 12:08 -------- d-----w- c:\users\steckbeck\AppData\Local\temp
2010-03-30 12:08 . 2010-03-30 12:08 -------- d-----w- c:\users\praktikant\AppData\Local\temp
2010-03-30 12:08 . 2010-03-30 12:08 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-30 12:08 . 2010-03-30 12:08 -------- d-----w- c:\users\kastens\AppData\Local\temp
2010-03-30 05:43 . 2010-03-30 05:43 -------- d-sh--w- c:\programdata\SecuROM
2010-03-30 05:38 . 2010-03-30 05:38 -------- d-----w- c:\program files\AGEIA Technologies
2010-03-30 05:38 . 2010-03-30 05:38 -------- d-----w- c:\windows\system32\AGEIA
2010-03-29 05:53 . 2010-03-30 11:38 -------- d-----w- C:\Downloads
2010-03-25 08:18 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-25 08:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-23 11:02 . 2010-03-24 06:59 -------- d-----w- c:\program files\trend micro
2010-03-23 11:02 . 2010-03-23 11:03 -------- d-----w- C:\rsit
2010-03-23 06:57 . 2010-03-23 06:57 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\Malwarebytes
2010-03-23 06:56 . 2010-03-25 08:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-23 06:56 . 2010-03-23 06:56 -------- d-----w- c:\programdata\Malwarebytes
2010-03-22 09:26 . 2010-03-22 09:36 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\MAXON
2010-03-19 08:57 . 2010-03-23 12:44 -------- d-----w- c:\program files\Common Files\Akamai
2010-03-18 11:28 . 2010-03-18 12:09 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\Wireshark
2010-03-10 12:01 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-10 12:01 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-10 12:00 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-03-10 05:59 . 2009-12-08 20:01 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-03-10 05:59 . 2009-12-08 20:01 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-30 12:09 . 2008-11-05 12:54 97450784 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-03-30 12:09 . 2008-11-05 12:54 1315616 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-03-30 12:01 . 2008-01-21 08:31 86396 ----a-w- c:\windows\system32\perfh007.dat
2010-03-30 12:01 . 2008-01-21 08:31 26738 ----a-w- c:\windows\system32\perfc007.dat
2010-03-30 11:42 . 2008-11-05 12:54 -------- d-----w- c:\programdata\Kaspersky Lab
2010-03-30 10:36 . 2008-11-05 14:16 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\ICQ
2010-03-30 06:00 . 2010-03-30 06:00 376320 ----a-r- c:\users\Brokelmann\AppData\Roaming\Microsoft\Installer\{52B65911-1559-4ED5-9461-46957FDD48CD}\Icon52B659113.exe
2010-03-30 05:38 . 2010-01-21 10:59 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-24 11:29 . 2009-01-05 06:53 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-24 10:53 . 2008-10-29 09:30 -------- d-----w- c:\program files\Common Files\Java
2010-03-24 10:53 . 2008-10-29 09:30 -------- d-----w- c:\program files\Java
2010-03-24 10:22 . 2008-11-05 14:29 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-23 12:46 . 2008-10-29 09:30 -------- d-----w- c:\program files\Dell
2010-03-22 10:40 . 2010-02-02 08:49 -------- d-----w- c:\programdata\Norton
2010-03-22 10:34 . 2009-08-06 07:33 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\Azureus
2010-03-18 10:43 . 2009-10-28 10:16 -------- d-----w- c:\program files\WinPcap
2010-03-16 12:33 . 2009-09-03 13:11 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\WTablet
2010-03-11 05:50 . 2010-01-22 12:55 -------- d-----w- c:\program files\ICQ7.0
2010-03-10 12:32 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-02 06:50 . 2008-10-29 09:33 -------- d-----w- c:\program files\Google
2010-02-26 13:17 . 2009-04-30 08:18 2516 --sha-w- c:\programdata\KGyGaAvL.sys
2010-02-26 13:17 . 2009-04-30 08:18 2516 --sha-w- c:\programdata\KGyGaAvL.sys
2010-02-26 12:34 . 2008-11-05 11:11 72384 ----a-w- c:\users\Brokelmann\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 09:16 . 2009-10-12 13:38 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-18 13:52 . 2009-10-20 08:25 125 ----a-w- c:\users\Brokelmann\zccount.dat
2010-02-02 08:49 . 2010-02-02 08:49 -------- d-----w- c:\programdata\Symantec
2010-02-02 08:49 . 2010-02-02 08:49 -------- d-----w- c:\programdata\NortonInstaller
2010-02-01 11:43 . 2010-02-01 11:43 -------- d-----w- c:\users\Brokelmann\AppData\Roaming\SpinTop
2010-01-25 12:00 . 2010-02-26 05:59 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-26 05:59 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-26 05:59 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-26 05:59 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-26 05:59 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-26 05:59 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-26 05:59 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-26 05:59 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-26 05:59 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-26 05:59 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-07 08:39 . 2010-01-07 08:39 10134 ----a-r- c:\users\Brokelmann\AppData\Roaming\Microsoft\Installer\{E38A1675-21C4-283E-3A3D-C029DC0D9D02}\ARPPRODUCTICON.exe
2010-01-06 15:39 . 2010-02-26 05:59 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-01-06 15:38 . 2010-02-26 05:59 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-01-06 15:38 . 2010-02-26 05:59 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-01-06 15:38 . 2010-02-26 05:59 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-01-06 15:38 . 2010-02-26 05:59 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-01-06 15:38 . 2010-02-26 05:59 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2010-01-06 13:30 . 2010-02-26 05:59 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2010-01-06 08:08 . 2010-01-06 08:08 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2010-01-06 08:08 . 2010-01-06 08:08 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-08-06 08:38 . 2009-08-06 08:38 385057 ----a-w- c:\program files\setuplog.txt
2008-12-16 15:22 . 2008-12-16 15:22 190 ----a-w- c:\program files\Common Files\psasetup.log
2008-10-29 17:10 . 2008-10-29 17:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

c:\users\Brokelmann\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
PCTerminal - Verknpfung.lnk - c:\program files\SSB.Software\PCTerminal\PCTerminal.exe [2009-3-6 315392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1.0FO\adialhk.dll c:\progra~1\KASPER~1\KASPER~1.0FO\r3hook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" -autorun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"SoundMAXPnP"=c:\program files\Analog Devices\Core\smax4pnp.exe
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d4,61,8a,77,25,eb,c9,01

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-02 135664]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
R3 pmxmouse;pmxmouse;c:\windows\system32\DRIVERS\pmxmouse.sys [2007-06-01 18432]
R3 pmxps2m;pmxps2m;c:\windows\system32\DRIVERS\pmxps2m.sys [2007-05-24 23360]
R3 pmxusblf;pmxusblf;c:\windows\system32\DRIVERS\pmxusblf.sys [2007-05-24 19008]
R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]
R3 VSTHWBS2;VSTHWBS2;c:\windows\system32\DRIVERS\VSTBS23.SYS [2008-01-21 251904]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-05-29 721904]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2007-04-04 20760]
S2 a2free;a-squared Free Service;b:\program files\a-squared Free\a2service.exe [2009-10-01 1858144]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-11-01 172032]
S2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [2007-06-20 79168]
S2 ASTSRV;Nalpeiron Licensing Service;c:\windows\system32\ASTSRV.EXE [2008-05-19 57344]
S2 klnagent;Kaspersky Administrationsagent;c:\program files\Kaspersky Lab\NetworkAgent\klnagent.exe [2008-09-22 94544]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-09-12 179712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-03-30 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 11:45]

2010-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-02 06:49]

2010-03-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-02 06:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = local
uInternet Settings,ProxyServer = 127.0.0.1:8080
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\ICQ7.0\ICQ.exe
TCP: {29C09352-F871-4156-B807-93EE5B974C7E} = 192.168.0.5,192.168.0.1
FF - ProfilePath - c:\users\Brokelmann\AppData\Roaming\Mozilla\Firefox\Profiles\wx3rtgca.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www3.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www3.iamwired.net/websearch.php?src=tops&search=
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----

FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(820)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'Explorer.exe'(2352)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\System32\TUProgSt.exe
c:\windows\system32\atieclxx.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-30 14:19:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-30 12:19

Vor Suchlauf: 19 Verzeichnis(se), 17.656.143.872 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 17.241.522.176 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=57 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,5 2,53,54,55,56,57
- - End Of File - - FFAE07CE1BB62AFF331A7C5EF48696D0

cosinus · 24.03.2010, 14:10

Das Logfile will ich sehen!

GODMAN · 25.03.2010, 07:23

so,
ich kann nur die log. datei für den quick-scan hochladen.

wenn ich den vollständigen scan mache komme ich nich weiter als system32/security...

cosinus · 25.03.2010, 08:48

Probier MBAM so auszuführen => http://www.trojaner-board.de/82699-m...tet-nicht.html

Denk auch an das Update für die Signaturen!

GODMAN · 25.03.2010, 10:42

hab ich nun auch versucht ging. 1 std. 33 min gut, danach "keine Rückmeldung!"

Was kann ich nun noch tun?

cosinus · 25.03.2010, 11:32

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\ProgramData\fiosejgfse.dll
C:\Windows\system32\sqldcic.dll
C:\Windows\system32\drivers\a71q7jjb.sys

folders to delete:
C:\ProgramData\skeylo

drivers to delete:
a71q7jjb

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

GODMAN · 26.03.2010, 07:49

Die Seite ist nicht erreichbar...

24.03.2010, 13:17	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HJJACK FILES. nach USER PROTECTION DEINSTALLATION Was sagt Dein Admin zum Virenbefall? __________________ Logfiles bitte immer in CODE-Tags posten

24.03.2010, 13:34	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HJJACK FILES. nach USER PROTECTION DEINSTALLATION Ok. Ist nicht unüblich, nur größere Firmen leisten sich It-Abteilungen Malwarebytes schon ausgeführt? __________________ Logfiles bitte immer in CODE-Tags posten

24.03.2010, 14:10	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HJJACK FILES. nach USER PROTECTION DEINSTALLATION Das Logfile will ich sehen! __________________ Logfiles bitte immer in CODE-Tags posten

25.03.2010, 08:48	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HJJACK FILES. nach USER PROTECTION DEINSTALLATION Probier MBAM so auszuführen => http://www.trojaner-board.de/82699-m...tet-nicht.html Denk auch an das Update für die Signaturen! __________________ Logfiles bitte immer in CODE-Tags posten

HJJACK FILES. nach USER PROTECTION DEINSTALLATION

Log-Analyse und Auswertung: HJJACK FILES. nach USER PROTECTION DEINSTALLATION