TR/Agent.ruo - DR/Agent.ruo

Kelsolala · 30.03.2010, 15:07

Hallo.

Auch wir haben leider das aktuelle TR/Agent.ruo-Problem, festgestellt durch Antivir 9.

Vielleicht können Profis mit folgenden zusätzlichen Informationen etwas anfangen.

Antivirmeldeung vom 27.03.2010, 10:57 Uhr:
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Windows\System32\ntnxctq.dll
Fehlercode: [0x00000005 - Zugriff verweigert].

Antivirmeldeung vom 27.03.2010, 10:57 Uhr:
In der Datei 'C:\Windows\System32\ntnxctq.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.ruo' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

[Weitere, aber identische Meldungen; ausgeführte Aktion jeweils: Löschen.]

Eine heutige Meldung bezog sich dann erstmals auf den Dropper DR/Agent.ruo.

Antivirmeldeung vom 30.03.2010:
Die Datei 'C:\Windows\System32\drivers\ntnamb.sys'
enthielt einen Virus oder unerwünschtes Programm 'DR/Agent.ruo' [dropper].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c1fe83b.qua' verschoben!

Eine Meldung zum TR/Agent.ruo erschien seitdem nicht mehr.

Bereits vielen Dank für die indirekte Hilfe über die anderen Themen! Hier das OSAM-Logfile:

Zitat:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:37:38 on 30.03.2010

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Opera Software Opera Internet Browser 9.27

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Dell Inc." - C:\Windows\system32\BCMWLCPL.CPL
"DMdm32.cpl" - ? - C:\Windows\system32\DMdm32.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"bcmwlcpl.cpl" - "Dell Inc." - C:\Windows\System32\bcmwlcpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a61fzrjc" (a61fzrjc) - "Microsoft Corporation" - C:\Windows\system32\drivers\a61fzrjc.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"BCM42RLY" (BCM42RLY) - ? - C:\Windows\System32\drivers\BCM42RLY.sys (File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys (File not found)
"Kerio WinRoute Firewall Driver - Lower Layer" (kwflower) - ? - C:\Windows\System32\DRIVERS\kwflower.sys (File not found)
"ntnamb" (ntnamb) - ? - C:\Windows\system32\drivers\ntnamb.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? - (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)
{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA} "Burn4Freecontext menu" - ? - C:\Windows\System32\b4fm.dll (File not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? - (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? - (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Burn4Free Toolbar" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
<binary data> "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "BandClsid" - ? - C:\Program Files\GamesBar\oberontb.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Program Files\AskBarDis\bar\bin\askBar.dll
{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} "Burn4Free Toolbar" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "GamesBar" - ? - C:\Program Files\GamesBar\oberontb.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{201f27d4-3704-41d6-89c1-aa35e39143ed} "AskBar BHO" - "Ask.com" - C:\Program Files\AskBarDis\bar\bin\askBar.dll
{D187A56B-A33F-4CBE-9D77-459FC0BAE012} "Burn4Free Toolbar Helper" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
{CA6319C0-31B7-401E-A518-A07C3DB8F777} "CBrowserHelperObject Object" - "Dell Inc." - C:\Program Files\Dell\BAE\BAE.dll
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "GamesBar" - ? - C:\Program Files\GamesBar\oberontb.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
{055FD26D-3A88-4e15-963D-DC8493744B1D} "XTTBPos00 Class" - "ICQ Inc." - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\tink\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.0.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists)
"Stardock ObjectDock.lnk" - "Stardock" - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Program Files\Digital Line Detect\DLG.exe (Shortcut exists | File exists)
"QuickSet.lnk" - "Dell Inc." - C:\Program Files\Dell\QuickSet\quickset.exe (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
"DellSupportCenter" - "SupportSoft, Inc." - "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
"EA Core" - ? - "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent (File not found)
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Broadcom Wireless Manager UI" - "Dell Inc." - C:\Windows\system32\WLTRAY.exe
"DellSupportCenter" - "SupportSoft, Inc." - "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
"dscactivate" - " " - "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
"IAAnotif" - "Intel Corporation" - "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
"lxbkbmgr.exe" - "Lexmark International, Inc." - "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
"PCMService" - "CyberLink Corp." - "C:\Program Files\Dell\MediaDirect\PCMService.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Java\jre6\bin\jusched.exe"
"UpdReg" - "Creative Technology Ltd." - C:\Windows\UpdReg.EXE
"VolPanel" - "Creative Technology Ltd" - "C:\Program Files\Creative\SBAudigy\Volume Panel\VolPanlu.exe" /r

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Dell Wireless WLAN Card Logon Provider" - "Dell Inc." - C:\Windows\System32\BCMLogon.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Creative Labs Licensing Service" (Creative Labs Licensing Service) - "Creative Labs" - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\Windows\system32\CTsvcCDA.exe
"Dell Wireless WLAN Tray Service" (wltrysvc) - ? - C:\Windows\System32\WLTRYSVC.EXE (File found, but it contains no detailed information)
"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c9c83fe49a19a8)" (gupdate1c9c83fe49a19a8) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"ICQ Service" (ICQ Service) - ? - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
"SupportSoft Sprocket Service (dellsupportcenter)" (sprtsvc_dellsupportcenter) - "SupportSoft, Inc." - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

===[ Logfile end ]=========================================[ Logfile end ]===

cosinus · 30.03.2010, 21:32

Hallo und

Code:

ATTFilter

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ntnamb" (ntnamb) - ? - C:\Windows\system32\drivers\ntnamb.sys (File not found)

Bitte mit OSAM deaktivieren (siehe Anleitung zu OSAM). Poste danach ein neues Log von OSAM

Kelsolala · 31.03.2010, 09:22

Hallo.
Habe den entsprechenden Eintrag deaktiviert und auch gemäß Schritt 6 gelöscht. Hier das aktuelle OSAM-Logfile:

Zitat:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 10:13:55 on 31.03.2010

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Opera Software Opera Internet Browser 9.27

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BCMWLCPL.CPL" - "Dell Inc." - C:\Windows\system32\BCMWLCPL.CPL
"DMdm32.cpl" - ? - C:\Windows\system32\DMdm32.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"bcmwlcpl.cpl" - "Dell Inc." - C:\Windows\System32\bcmwlcpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"a01edv2c" (a01edv2c) - "Microsoft Corporation" - C:\Windows\system32\drivers\a01edv2c.sys (Hidden registry entry, rootkit activity | File signed by Microsoft)
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"BCM42RLY" (BCM42RLY) - ? - C:\Windows\System32\drivers\BCM42RLY.sys (File not found)
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys (File not found)
"Kerio WinRoute Firewall Driver - Lower Layer" (kwflower) - ? - C:\Windows\System32\DRIVERS\kwflower.sys (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys (File is exclusively opened, access blocked)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? - (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)

{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found)
{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA} "Burn4Freecontext menu" - ? - C:\Windows\System32\b4fm.dll (File not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? - (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? - (File not found | COM-object registry key not found)
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? - (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? - (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Burn4Free Toolbar" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
<binary data> "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "BandClsid" - ? - C:\Program Files\GamesBar\oberontb.dll
{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
"ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Ask Toolbar" - "Ask.com" - C:\Program Files\AskBarDis\bar\bin\askBar.dll
{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} "Burn4Free Toolbar" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "GamesBar" - ? - C:\Program Files\GamesBar\oberontb.dll
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{201f27d4-3704-41d6-89c1-aa35e39143ed} "AskBar BHO" - "Ask.com" - C:\Program Files\AskBarDis\bar\bin\askBar.dll
{D187A56B-A33F-4CBE-9D77-459FC0BAE012} "Burn4Free Toolbar Helper" - ? - C:\Program Files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll (File not found)
{CA6319C0-31B7-401E-A518-A07C3DB8F777} "CBrowserHelperObject Object" - "Dell Inc." - C:\Program Files\Dell\BAE\BAE.dll
{6F282B65-56BF-4BD1-A8B2-A4449A05863D} "GamesBar" - ? - C:\Program Files\GamesBar\oberontb.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{09e55ba0-f9c6-4b81-82df-46853f6f7b3f} "Soft-Search Toolbar" - "Conduit Ltd." - C:\Program Files\Soft-Search\tbSoft.dll
{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
{055FD26D-3A88-4e15-963D-DC8493744B1D} "XTTBPos00 Class" - "ICQ Inc." - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\tink\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 3.0.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists)
"Stardock ObjectDock.lnk" - "Stardock" - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (Shortcut exists | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Digital Line Detect.lnk" - "Avanquest Software " - C:\Program Files\Digital Line Detect\DLG.exe (Shortcut exists | File exists)
"QuickSet.lnk" - "Dell Inc." - C:\Program Files\Dell\QuickSet\quickset.exe (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
"DellSupportCenter" - "SupportSoft, Inc." - "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
"EA Core" - ? - "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent (File not found)
"SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"Broadcom Wireless Manager UI" - "Dell Inc." - C:\Windows\system32\WLTRAY.exe
"DellSupportCenter" - "SupportSoft, Inc." - "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P DellSupportCenter
"dscactivate" - " " - "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
"IAAnotif" - "Intel Corporation" - "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
"lxbkbmgr.exe" - "Lexmark International, Inc." - "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
"PCMService" - "CyberLink Corp." - "C:\Program Files\Dell\MediaDirect\PCMService.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Java\jre6\bin\jusched.exe"
"UpdReg" - "Creative Technology Ltd." - C:\Windows\UpdReg.EXE
"VolPanel" - "Creative Technology Ltd" - "C:\Program Files\Creative\SBAudigy\Volume Panel\VolPanlu.exe" /r

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Dell Wireless WLAN Card Logon Provider" - "Dell Inc." - C:\Windows\System32\BCMLogon.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Creative Labs Licensing Service" (Creative Labs Licensing Service) - "Creative Labs" - C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe
"Creative Service for CDROM Access" (Creative Service for CDROM Access) - "Creative Technology Ltd" - C:\Windows\system32\CTsvcCDA.exe
"Dell Wireless WLAN Tray Service" (wltrysvc) - ? - C:\Windows\System32\WLTRYSVC.EXE (File found, but it contains no detailed information)
"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1c9c83fe49a19a8)" (gupdate1c9c83fe49a19a8) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"ICQ Service" (ICQ Service) - ? - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
"Intel(R) Matrix Storage Event Monitor" (IAANTMON) - "Intel Corporation" - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
"stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
"SupportSoft Sprocket Service (dellsupportcenter)" (sprtsvc_dellsupportcenter) - "SupportSoft, Inc." - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

===[ Logfile end ]=========================================[ Logfile end ]===

cosinus · 31.03.2010, 10:13

Seht gut. Dann bitte jetzt diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Kelsolala · 02.04.2010, 13:14

Hallo, cosinus.

Hier erstmal der Link zu den logfiles: hxxp://www.file-upload.net/download-2400841/logfiles.rar.html

Vom CCleaner ist keines dabei, ich weiß aber auch nicht, wie ich dazu eines erstellen kann. Es wurden aber allerhand Sachen entfernt.

Malwarebytes' Anti-Malware habe ich zunächst als Quickscan (erfolgreich) ausgeführt, dann als Fullscan, wobei eine weitere Infektion gemeldet wurde. Der Scan brach zwar nicht ab, aber das System hat sich komplett aufgehangen, mehrmals - die Infektion wurde also nicht beseitigt. Inzwischen geschah dies auch, ohne das Malwarebytes' Anti-Malware lief. Das Phänomen ist neu.

Antivir hat nicht mehr angeschlagen.

Ich hoffe, der CCleaner hat nicht zuviel gelöscht (Backup ist aber vorhanden), und dass wir um eine Win-Neuinstallation herum kommen?

Gruß.

cosinus · 02.04.2010, 17:06

Dann mach mal ein CF Log:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kelsolala · 02.04.2010, 20:03

Zunächst erstmal danke für deine Hilfe! Sitze nun seit fast zwei Jahrzehnten vor PCs, aber sowas kann ich nicht, wir sind dir dementsprechend dankbar.

Habe (nicht als Admin) ComboFix als cofi.exe im Abgesicherten Modus ausgeführt, da sich Avira nicht gescheit schließen ließ. ComboFix erklärte dennoch, dass Avira liefe, obwohl dies laut Taskmanager nicht der Fall gewesen ist. Bin so frech gewesen, ComboFix trotzdem laufen zu lassen.
Es gab eigentlich kein Problem, Combofix zeigte zwischendurch aber an, dass etwas wegen der fehlenden Administratorrechte nicht ausgeführt werden könne (siehe logfile).
Warum sollte die Datei umbenannt werden?

Nach dem Scan (logfile ist bereits gespeichert gewesen) fiel mir auf, dass Spybot aktiv ist - weder vorher aktiv noch manuell gestartet, Sicherheitscenter aus, sonst keine aktiven Sachen.

Habe nun versucht ComboFix als Admin (weiterhin im Abgesicherten Modus) zu starten, erhielt sofort folgende, reproduzierbare Fehlermeldung:

Zitat:

C:\users\tink\desktop\cofi.exe
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Abschließend dann ein fast normaler Neustart, aber:

Zitat:

Daemon tools lite
Initialization error. This programm requires at least Windows 2000 with SPTD 1.53 or higher. Kernel debugger must be deactivated.

... und hier jetzt endlich das logfile:

Zitat:

ComboFix 10-04-01.02 - tink 02.04.2010 20:06:57.1.2 - x86 MINIMAL
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2037.1620 [GMT 2:00]
ausgeführt von:: c:\users\tink\Desktop\cofi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-2180199606-3226452102-3629450431-500
c:\$recycle.bin\S-1-5-21-975015883-431302921-2410427211-500
c:\users\tink\AppData\Roaming\AD ON Multimedia
c:\users\tink\AppData\Roaming\AD ON Multimedia\eBay Shortcuts\config.ini
c:\users\tink\AppData\Roaming\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe
c:\windows\system32\oem6.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-02 bis 2010-04-02 ))))))))))))))))))))))))))))))
.

2010-04-02 18:14 . 2010-04-02 18:14 -------- d-----w- c:\users\tink\AppData\Local\temp
2010-04-02 18:14 . 2010-04-02 18:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-31 17:10 . 2010-04-02 09:36 -------- d-----w- c:\program files\trend micro
2010-03-31 17:10 . 2010-03-31 17:11 -------- d-----w- C:\rsit
2010-03-31 17:09 . 2010-03-31 17:09 -------- d-----w- c:\users\tink\AppData\Roaming\Malwarebytes
2010-03-31 17:08 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-31 17:08 . 2010-03-31 17:08 -------- d-----w- c:\programdata\Malwarebytes
2010-03-31 17:08 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 17:08 . 2010-03-31 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-31 17:07 . 2010-03-31 17:07 -------- d-----w- c:\program files\CCleaner
2010-03-16 14:23 . 2010-03-16 14:32 -------- d-----w- c:\users\tink\AppData\Roaming\ViGlance
2010-03-15 02:01 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-12 02:01 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-12 02:01 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-12 02:01 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-03-07 15:20 . 2010-03-07 15:20 -------- d-----w- c:\programdata\WindowsSearch

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-02 15:37 . 2009-04-28 20:26 -------- d-----w- c:\programdata\Google Updater
2010-04-01 13:27 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-04-01 13:27 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-04-01 13:21 . 2008-05-07 16:38 72504 ----a-w- c:\users\tink\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-01 13:16 . 2008-06-07 21:29 -------- d-----w- c:\program files\GamesBar
2010-04-01 13:16 . 2008-05-14 14:51 -------- d-----w- c:\program files\ICQToolbar
2010-04-01 12:52 . 2008-05-08 13:14 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-03-31 07:33 . 2010-03-31 07:26 -------- d-----w- c:\users\tink\AppData\Roaming\Online Solutions
2010-03-30 12:14 . 2008-05-08 13:14 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-17 10:51 . 2008-05-16 21:58 240128 ----a-w- c:\windows\system32\uxtheme.dll
2010-03-16 12:08 . 2010-02-14 10:56 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-03-12 02:27 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-01 10:10 . 2009-09-15 15:00 -------- d-----w- c:\program files\ICQ6.5
2010-02-28 21:54 . 2008-11-01 19:37 6080 ----a-w- c:\users\tink\AppData\Local\d3d9caps.dat
2010-02-24 09:16 . 2009-10-09 09:49 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 07:26 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 07:26 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 06:33 . 2010-03-31 07:26 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 04:55 . 2010-03-31 07:26 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-14 10:49 . 2010-02-14 09:44 -------- d-----w- c:\program files\Stardock
2010-02-14 09:44 . 2010-02-14 09:44 -------- d-----w- c:\program files\Common Files\Stardock
2010-02-13 23:34 . 2008-05-01 17:13 -------- d-----w- c:\program files\Google
2010-02-13 23:31 . 2008-05-01 17:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-13 22:30 . 2008-06-07 21:30 -------- d-----w- c:\programdata\GamesBar
2010-02-13 21:50 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-02-13 21:46 . 2010-02-13 21:32 -------- d-----w- c:\users\tink\AppData\Roaming\Windows Sidebar Styler
2010-01-25 12:00 . 2010-02-24 14:07 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-24 14:07 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-24 14:07 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-24 14:07 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-24 14:07 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-24 14:07 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-24 14:07 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-24 14:07 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-24 14:07 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-24 14:08 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-06 15:39 . 2010-02-24 14:07 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-01-06 15:38 . 2010-02-24 14:07 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-01-06 15:38 . 2010-02-24 14:07 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-01-06 15:38 . 2010-02-24 14:07 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-01-06 15:38 . 2010-02-24 14:07 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-01-06 15:38 . 2010-02-24 14:07 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2010-01-06 13:30 . 2010-02-24 14:07 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-01-09 20:02 . 2009-01-09 20:02 135463509 ----a-w- c:\program files\openofficeorg1.cab
2009-01-09 19:35 . 2009-01-09 19:35 9783808 ----a-w- c:\program files\openofficeorg30.msi
2009-01-09 19:35 . 2009-01-09 19:35 336 ----a-w- c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
2008-05-02 00:37 . 2008-05-02 00:22 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}"= "c:\program files\Soft-Search\tbSoft.dll" [2009-11-03 2331672]

[HKEY_CLASSES_ROOT\clsid\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]
2009-11-03 19:09 2331672 ----a-w- c:\program files\Soft-Search\tbSoft.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 08:32 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}"= "c:\program files\Soft-Search\tbSoft.dll" [2009-11-03 2331672]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-07 159744]
"VolPanel"="c:\program files\Creative\SBAudigy\Volume Panel\VolPanlu.exe" [2006-11-27 180224]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-12-08 3444736]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 150552]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

c:\users\tink\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-2-14 3450608]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-5-1 50688]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-9-7 1180952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):20,1d,b6,5d,c0,32,ca,01

R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 gupdate1c9c83fe49a19a8;Google Update Service (gupdate1c9c83fe49a19a8);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 133104]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-09-22 112128]
R3 kvpndev;Kerio VPN adapter;c:\windows\system32\DRIVERS\kvpndrv.sys [2008-01-16 62464]
R3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys [x]
R3 netr73;MSI US54EX Wireless Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2007-05-11 329728]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-06-18 717296]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ECACHE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-04-02 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 20:26]

2010-04-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 20:28]

2010-04-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 20:28]

2010-04-02 c:\windows\Tasks\User_Feed_Synchronization-{FA2F344B-2D82-47A0-9D07-0A063A4F9B57}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2442941
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\tink\AppData\Roaming\Mozilla\Firefox\Profiles\hfzyuoz1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2442941&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.kino.oo/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
Toolbar-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
HKLM-RunOnce-<NO NAME> - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-02 20:14
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\users\tink\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-975015883-431302921-2410427211-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:08,a7,05,70,12,45,39,14,6e,07,f9,3a,15,32,c5,42,00,5b,09,1a,d7,05,f4,
cf,34,54,29,59,41,f4,53,5f,26,dd,15,68,d2,af,43,7b,25,e8,6a,47,77,08,5c,e3,\
"??"=hex:c0,76,22,61,cd,40,33,24,e4,19,91,95,35,7f,8f,4a

[HKEY_USERS\S-1-5-21-975015883-431302921-2410427211-1000\Software\SecuROM\License information*]
"datasecu"=hex:ff,e8,4b,2b,b4,0e,d1,cb,35,c7,51,9a,aa,86,1c,6c,86,2a,f0,9e,93,
35,15,e0,3f,e2,21,d3,c8,7e,35,97,69,c9,2e,e3,d8,2d,c9,5d,9a,b9,cc,08,eb,45,\
"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-04-02 20:16:50
ComboFix-quarantined-files.txt 2010-04-02 18:16

Vor Suchlauf: 13 Verzeichnis(se), 20.792.696.832 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 20.676.014.080 Bytes frei

- - End Of File - - 79AA5F961CF005215022137B297A937F

cosinus · 02.04.2010, 20:25

Zitat:

Habe (nicht als Admin) ComboFix als cofi.exe im Abgesicherten Modus ausgeführt

Das kann nicht funktionieren. Es steht da nicht explizit drin, aber eigentlich sollte es logisch sein, dass man sowas wie CF als Admin ausführt, da Schädlinge sich häufig im Windows-Ordner irgendwo breitmachen - und da hat man eben nur mit Adminrechten Schreib- und Löschzugriffe drauf.

Bitte CF nochmal als Admin ausführen!

Kelsolala · 03.04.2010, 10:07

Habe nun ComboFix als Admin im Abgesicherten Modus ausgeführt - Rechtsklick, Als Administrator ausführen. ComboFix erklärte dennoch, dass Programm solle durch den Admin ausgeführt werden (während des Scans erhielt ich die Meldung, dass etwas wegen fehlender Admin-Rechte nicht ausgeführt werden konnte), und auch, dass sowohl Spybot als auch Avira aktiv seien, obwohl laut Taskamanager beides nicht der Fall gewesen sei.
Die DAEMON tools lite-Fehlermeldung über einen "Initialization error" besteht weiterhin.
Warum sollte ComboFix.exe in cofi.exe umbenannt werden?

ComboFix-logfile:

Zitat:

ComboFix 10-04-01.02 - tink 03.04.2010 10:41:09.1.2 - x86 MINIMAL
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2037.1595 [GMT 2:00]
ausgeführt von:: c:\users\tink\Desktop\cofi.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2010-03-03 bis 2010-04-03 ))))))))))))))))))))))))))))))
.

2010-04-03 08:48 . 2010-04-03 08:48 -------- d-----w- c:\users\tink\AppData\Local\temp
2010-04-03 08:48 . 2010-04-03 08:48 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-04-03 08:48 . 2010-04-03 08:48 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-04-02 18:05 . 2010-04-02 18:16 -------- d-----w- C:\cofi
2010-03-31 17:10 . 2010-04-02 09:36 -------- d-----w- c:\program files\trend micro
2010-03-31 17:10 . 2010-03-31 17:11 -------- d-----w- C:\rsit
2010-03-31 17:09 . 2010-03-31 17:09 -------- d-----w- c:\users\tink\AppData\Roaming\Malwarebytes
2010-03-31 17:08 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-31 17:08 . 2010-03-31 17:08 -------- d-----w- c:\programdata\Malwarebytes
2010-03-31 17:08 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-31 17:08 . 2010-03-31 17:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-31 17:07 . 2010-03-31 17:07 -------- d-----w- c:\program files\CCleaner
2010-03-16 14:23 . 2010-03-16 14:32 -------- d-----w- c:\users\tink\AppData\Roaming\ViGlance
2010-03-15 02:01 . 2010-02-12 10:32 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-12 02:01 . 2010-02-20 23:06 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-12 02:01 . 2010-02-20 20:53 411648 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-12 02:01 . 2010-02-20 23:05 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-03-07 15:20 . 2010-03-07 15:20 -------- d-----w- c:\programdata\WindowsSearch

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-02 15:37 . 2009-04-28 20:26 -------- d-----w- c:\programdata\Google Updater
2010-04-01 13:27 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-04-01 13:27 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-04-01 13:21 . 2008-05-07 16:38 72504 ----a-w- c:\users\tink\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-01 13:16 . 2008-06-07 21:29 -------- d-----w- c:\program files\GamesBar
2010-04-01 13:16 . 2008-05-14 14:51 -------- d-----w- c:\program files\ICQToolbar
2010-04-01 12:52 . 2008-05-08 13:14 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-03-31 07:33 . 2010-03-31 07:26 -------- d-----w- c:\users\tink\AppData\Roaming\Online Solutions
2010-03-30 12:14 . 2008-05-08 13:14 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-03-17 10:51 . 2008-05-16 21:58 240128 ----a-w- c:\windows\system32\uxtheme.dll
2010-03-16 12:08 . 2010-02-14 10:56 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-03-12 02:27 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-01 10:10 . 2009-09-15 15:00 -------- d-----w- c:\program files\ICQ6.5
2010-02-28 21:54 . 2008-11-01 19:37 6080 ----a-w- c:\users\tink\AppData\Local\d3d9caps.dat
2010-02-24 09:16 . 2009-10-09 09:49 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-23 06:39 . 2010-03-31 07:26 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 07:26 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-02-23 06:33 . 2010-03-31 07:26 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-02-23 04:55 . 2010-03-31 07:26 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-02-14 10:49 . 2010-02-14 09:44 -------- d-----w- c:\program files\Stardock
2010-02-14 09:44 . 2010-02-14 09:44 -------- d-----w- c:\program files\Common Files\Stardock
2010-02-13 23:34 . 2008-05-01 17:13 -------- d-----w- c:\program files\Google
2010-02-13 23:31 . 2008-05-01 17:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-13 22:30 . 2008-06-07 21:30 -------- d-----w- c:\programdata\GamesBar
2010-02-13 21:50 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-02-13 21:46 . 2010-02-13 21:32 -------- d-----w- c:\users\tink\AppData\Roaming\Windows Sidebar Styler
2010-01-25 12:00 . 2010-02-24 14:07 471552 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:00 . 2010-02-24 14:07 152576 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:00 . 2010-02-24 14:07 152064 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:00 . 2010-02-24 14:07 471552 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 11:58 . 2010-02-24 14:07 332288 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:21 . 2010-02-24 14:07 526336 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:21 . 2010-02-24 14:07 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:21 . 2010-02-24 14:07 518144 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:21 . 2010-02-24 14:07 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:26 . 2010-02-24 14:08 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-06 15:39 . 2010-02-24 14:07 1696256 ----a-w- c:\windows\system32\gameux.dll
2010-01-06 15:38 . 2010-02-24 14:07 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-01-06 15:38 . 2010-02-24 14:07 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll
2010-01-06 15:38 . 2010-02-24 14:07 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll
2010-01-06 15:38 . 2010-02-24 14:07 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll
2010-01-06 15:38 . 2010-02-24 14:07 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll
2010-01-06 13:30 . 2010-02-24 14:07 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-01-09 20:02 . 2009-01-09 20:02 135463509 ----a-w- c:\program files\openofficeorg1.cab
2009-01-09 19:35 . 2009-01-09 19:35 9783808 ----a-w- c:\program files\openofficeorg30.msi
2009-01-09 19:35 . 2009-01-09 19:35 336 ----a-w- c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
2008-05-02 00:37 . 2008-05-02 00:22 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}"= "c:\program files\Soft-Search\tbSoft.dll" [2009-11-03 2331672]

[HKEY_CLASSES_ROOT\clsid\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]
2009-11-03 19:09 2331672 ----a-w- c:\program files\Soft-Search\tbSoft.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 08:32 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}"= "c:\program files\Soft-Search\tbSoft.dll" [2009-11-03 2331672]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{09e55ba0-f9c6-4b81-82df-46853f6f7b3f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-07 159744]
"VolPanel"="c:\program files\Creative\SBAudigy\Volume Panel\VolPanlu.exe" [2006-11-27 180224]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-12-08 3444736]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-12-21 184320]
"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 150552]
"SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

c:\users\tink\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2010-2-14 3450608]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-5-1 50688]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-9-7 1180952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):20,1d,b6,5d,c0,32,ca,01

R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 gupdate1c9c83fe49a19a8;Google Update Service (gupdate1c9c83fe49a19a8);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 133104]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968]
R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2008-09-22 112128]
R3 kvpndev;Kerio VPN adapter;c:\windows\system32\DRIVERS\kvpndrv.sys [2008-01-16 62464]
R3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys [x]
R3 netr73;MSI US54EX Wireless Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2007-05-11 329728]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-06-18 717296]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ECACHE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-04-02 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 20:26]

2010-04-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 20:28]

2010-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-28 20:28]

2010-04-02 c:\windows\Tasks\User_Feed_Synchronization-{FA2F344B-2D82-47A0-9D07-0A063A4F9B57}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2442941
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\tink\AppData\Roaming\Mozilla\Firefox\Profiles\hfzyuoz1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2442941&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.kino.to/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{D187A56B-A33F-4CBE-9D77-459FC0BAE012} - (no file)
HKLM-RunOnce-<NO NAME> - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-03 10:48
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-975015883-431302921-2410427211-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:08,a7,05,70,12,45,39,14,6e,07,f9,3a,15,32,c5,42,00,5b,09,1a,d7,05,f4,
cf,34,54,29,59,41,f4,53,5f,26,dd,15,68,d2,af,43,7b,25,e8,6a,47,77,08,5c,e3,\
"??"=hex:c0,76,22,61,cd,40,33,24,e4,19,91,95,35,7f,8f,4a

[HKEY_USERS\S-1-5-21-975015883-431302921-2410427211-1000\Software\SecuROM\License information*]
"datasecu"=hex:ff,e8,4b,2b,b4,0e,d1,cb,35,c7,51,9a,aa,86,1c,6c,86,2a,f0,9e,93,
35,15,e0,3f,e2,21,d3,c8,7e,35,97,69,c9,2e,e3,d8,2d,c9,5d,9a,b9,cc,08,eb,45,\
"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-04-03 10:50:43
ComboFix-quarantined-files.txt 2010-04-03 08:50
ComboFix2.txt 2010-04-02 18:16

Vor Suchlauf: 17 Verzeichnis(se), 20.430.675.968 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 20.334.526.464 Bytes frei

- - End Of File - - B5B0234DF2014C422DDFCB0DAB09B9AB

cosinus · 03.04.2010, 13:31

Zitat:

Warum sollte ComboFix.exe in cofi.exe umbenannt werden?

Weil es schon Rootkits gegeben hat, die sich für eine "combofix.exe" unsichtbar gemacht hat, nicht aber vor einer cofi.exe

Das Log sieht soweit ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Kelsolala · 03.04.2010, 20:55

Zitat:

Zitat von cosinus

Weil es schon Rootkits gegeben hat, die sich für eine "combofix.exe" unsichtbar gemacht hat, nicht aber vor einer cofi.exe

Nachvollziehbar. Wie gehen Massen-Antivirenprogramme (Antivir, Norton etc.) mit derlei Versteckspielchen um?

Die Scans mit Malwarebytes Anti-Malware und SUPERAntiSpyware fanden jeweils ihr Ende im Absturz nach 1-2 Stunden (nichts aktiv, keine wirkenden Energiespareinstellungen). Das System läuft sonst verhältnismäßig stabil, daher wirken die Abstürze ungewöhnlich. Beim MAM-Absturz friert wie auch gestern das Bild ein, aber heute reagiert der Cursor; Bluescreen während SAS-Scann (Kernel-Fehler, Checkdisk - siehe Logfile im Anschluss).
Hatte den letzten Scan unterbrochen und eine bereits durch ComboFix unter Quarantäne gestellte Infektion behoben, dementsprechend schaut das Logfile aus. Werde es weiter versuchen, kannst du weitere Vorschläge geben?

Den Qoobox/ComboFix-Ordner kann ich dann später einfach löschen?

Logfile Malwarebytes Anti-Malware:

Zitat:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3948

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

03.04.2010 18:39:23
mbam-log-2010-04-03 (18-39-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 41931
Laufzeit: 20 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Users\tink\AppData\Roaming\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe.vir (Adware.ADON) -> Quarantined and deleted successfully.

Logfile SuperAntiSpyware-Bluescreen:

Zitat:

Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6002.2.2.0.768.3
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: 77
BCP1: 00000001
BCP2: 00000000
BCP3: 00000000
BCP4: 81C6C8C0
OS Version: 6_0_6002
Service Pack: 2_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini040310-01.dmp
C:\Users\tink\AppData\Local\temp\WER-122710-0.sysdata.xml
C:\Users\tink\AppData\Local\temp\WER2AE6.tmp.version.txt

Lesen Sie unsere Datenschutzrichtlinie:
hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407

Kelsolala · 04.04.2010, 14:07

Hallo, cosinus.

Die Scans konnten nun im Abgesicherten Modus abgeschlossen werden, es konnten keine Schädlinge erfasst werden.

Wir würden wegen der inzwischen recht guten Testberichte weiter bei Antivir bleiben. Würdest du uns empfehlen, Malbytes Anti-Malware und SUPERAntiSpyware als Ergänzung weiterhin regelmäßig zu nutzen, oder sind da andere Scanner vorteilhafter?

Wie kann man die vermehrt auftretenden Abstürze einschätzen?

Logfile Malwarebytes Anti-Malware:

Zitat:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3948

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18904

04.04.2010 12:19:00
mbam-log-2010-04-04 (12-19-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 249421
Laufzeit: 59 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Logfile SuperAntiSpyware:

Zitat:

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/04/2010 bei 02:39 PM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4766
Version der Spur-Datenbank : 2578

Scan Art : kompletter Scann
Totale Scann-Zeit : 01:55:12

Gescannte Speicherelemente : 284
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6650
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 148672
Erfasste Datei-Elemente : 0

cosinus · 05.04.2010, 12:28

Zitat:

Malbytes Anti-Malware und SUPERAntiSpyware als Ergänzung weiterhin regelmäßig zu nutzen, oder sind da andere Scanner vorteilhafter?

Kannst Du ruhig verwenden, weitere Programme sind nicht nötig.
Treten noch Abstürze auf?

Kelsolala · 05.04.2010, 19:21

Zitat:

Zitat von cosinus

Treten noch Abstürze auf?

Ja.

Inzwischen konnte ich das Problem auf den Ordner C:\Windows\winsxs bzw. vielmehr einen der Unterordner verorten, welcher dies genau ist, weiß ich nicht, vielleicht jedesmal msil_presentationframework[...]?
Habe gezielte Scans dieses Ordners mit Malwarebytes Anti-Malware, SuperAntiSpyware und Avira Antivir durchgeführt. Lediglich der Antivir-Scan konnte beendet werden, die anderen beiden Scans führten (mE wohl irgendwie kausal) zum Absturz.

Das ist nicht viel, aber vielleicht kannst du damit etwas anfangen?

Würde in den nächsten Tagen weitere Scans durchführen, um vielleicht sogar die Datei bestimmen zu können, aber die Pfade und Dateinamen sind zu lang, um sie schnell mitzuschreiben, während das System abschmiert ...
Die Abstürze unterscheiden sich (Bluescreen, Neustart, Bild friert ein), aber die Variation scheint unabhängig vom Scanner zu sein.

Kelsolala · 07.04.2010, 12:25

Hallo cosinus,
es gibt wohl einen Konflikt mit einer für mich harmlos erscheinenden Datei:

C:\Windows\winsxs\msil_presentationframework_31bf3856ad364e35_6.0.6000.16386_none_7480d408f711aaa4\PresentationFramework.dll

PresentationFramework.dll Dateiinformationen:

Dateiversion: 3.0.6913.0
Copyright: Microsoft Corporation

Größe: 4,74 MB (4.972.544 Bytes)
Größe auf Datenträger: 4,74 MB (4.972.544 Bytes)

‎Erstellt: Donnerstag, ‎2. ‎November ‎2006, ‏‎14:36:01
Geändert: Donnerstag, ‎2. ‎November ‎2006, ‏‎14:36:01
Letzter Zugriff: Donnerstag, ‎2. ‎November ‎2006, ‏‎14:36:01

Wie gesagt: Kein Problem mit Antivir, aber Scans per Malwarebytes und SUPERAntiSpyware stürzen ab. Mehr Informationen? Datei uploaden?

Es wurden bisher keine weiteren Infektionen gefunden, das System scheint wohl soweit in Ordnung zu sein. Vielen Dank erstmal für deine Hilfe bei der Schädlingsbekämpfung!

30.03.2010, 21:32	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Agent.ruo - DR/Agent.ruo Hallo und Code: ATTFilter [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ntnamb" (ntnamb) - ? - C:\Windows\system32\drivers\ntnamb.sys (File not found) Bitte mit OSAM deaktivieren (siehe Anleitung zu OSAM). Poste danach ein neues Log von OSAM __________________ __________________

TR/Agent.ruo - DR/Agent.ruo

Plagegeister aller Art und deren Bekämpfung: TR/Agent.ruo - DR/Agent.ruo