Zitat:

Wird dadurch schon die Möglichkeit für Viren und Trojaner geblockt auf den Rechner überzuspringen?

Durch die noautoplay.reg wird nur der Autorun auf allen Laufwerken deaktiviert, heißt: falls Du einen verseuchten USB-Stick ansteckst, wird der Schädling nicht automatisch ausgeführt, aber entfernt wird so erstmal garnichts!

mach bitte nun einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

Zitat von cosinus

Durch die noautoplay.reg wird nur der Autorun auf allen Laufwerken deaktiviert, heißt: falls Du einen verseuchten USB-Stick ansteckst, wird der Schädling nicht automatisch ausgeführt, aber entfernt wird so erstmal garnichts!
...
[/indent]

Das ist mir schon klar, dass kein Schädling von den Sticks entfernt wird.Die Frage war eher - Wie sollte man sich an diese "Drecksschleuder" rantrauen?


[CODE]
Combofix Logfile:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-05-30.08 - Meryem 31.05.2010  14:21:45.1.2 - x86
Microsoft® Windows Vista™ Home Basic   6.0.6000.0.1252.49.1031.18.766.292 [GMT 2:00]
ausgeführt von:: c:\users\Meryem\Desktop\cofi.exe
SP: Avira AntiVir PersonalEdition *enabled* (Outdated)   {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-04-28 bis 2010-05-31  ))))))))))))))))))))))))))))))
.

2010-05-31 12:28 . 2010-05-31 12:28	--------	d-----w-	c:\users\Meryem\AppData\Local\temp
2010-05-31 12:28 . 2010-05-31 12:28	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-05-29 14:14 . 2010-05-29 14:14	--------	d-----w-	C:\_OTL
2010-05-27 19:53 . 2010-05-27 19:53	--------	d-----w-	c:\users\Meryem\AppData\Roaming\Malwarebytes
2010-05-27 19:52 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-27 19:52 . 2010-05-27 19:52	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-27 19:52 . 2010-05-27 19:52	--------	d-----w-	c:\programdata\Malwarebytes
2010-05-27 19:52 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-27 19:47 . 2010-05-27 19:47	388096	----a-r-	c:\users\Meryem\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-05-27 19:47 . 2010-05-27 19:47	--------	d-----w-	c:\program files\Trend Micro
2010-05-08 15:39 . 2010-05-09 13:26	--------	d-----w-	C:\*****e           /// *einfache vom User erstellte Ordner;darem
2010-05-08 15:37 . 2010-05-08 15:44	--------	d-----w-	C:\N*O               ///  *einfache vom User erstellte Ordner;darem
2010-05-04 06:20 . 2010-05-04 06:20	--------	d-----w-	c:\windows\system32\Spool\prtprocs\w32x86\1
2010-05-02 20:47 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-05-02 20:47 . 1998-07-06 15:56	125712	----a-w-	c:\windows\system32\VB6DE.DLL
2010-05-02 20:47 . 1998-07-06 15:55	158208	----a-w-	c:\windows\system32\MSCMCDE.DLL
2010-05-02 20:47 . 1998-07-06 15:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-05-02 20:47 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-05-02 20:47 . 2010-05-02 20:49	--------	d-----w-	c:\program files\PDFCreator

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-31 09:19 . 2008-04-15 04:30	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-05-31 09:19 . 2008-04-15 04:30	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-05-12 09:21 . 2009-10-03 18:42	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-07 12:39 . 2010-04-28 17:51	--------	d-----w-	c:\program files\MyDefragGUI
2010-05-02 20:31 . 2008-11-17 17:02	--------	d-----w-	c:\users\Meryem\AppData\Roaming\Image Zone Express
2010-03-09 16:54 . 2010-03-31 07:36	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-09 16:50 . 2010-03-31 07:36	56320	----a-w-	c:\windows\system32\iesetup.dll
2010-03-09 16:50 . 2010-03-31 07:36	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-09 16:50 . 2010-03-31 07:36	52736	----a-w-	c:\windows\AppPatch\iebrshim.dll
2010-03-09 16:48 . 2010-03-31 07:36	72704	----a-w-	c:\windows\system32\admparse.dll
2010-03-09 14:17 . 2010-03-31 07:36	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2010-03-09 12:43 . 2010-03-31 07:36	48128	----a-w-	c:\windows\system32\mshtmler.dll
2010-03-04 19:24 . 2010-04-15 06:41	434176	----a-w-	c:\windows\system32\vbscript.dll
2008-12-21 14:42 . 2008-04-14 19:11	67688	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2008-12-21 14:42 . 2008-04-14 19:11	54368	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-21 14:42 . 2008-04-14 19:11	34944	----a-w-	c:\program files\mozilla firefox\components\myspell.dll
2008-12-21 14:42 . 2008-04-14 19:11	46712	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll
2008-12-21 14:42 . 2008-04-14 19:11	172136	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-04-14 1006264]
"S3Trayp"="S3trayp.exe" [2006-12-15 176128]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-12 155648]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Meryem^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Meryem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-09-20 13:35	202024	----a-w-	c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00	33648	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-12-10 19:52	49152	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-03-14 19:01	54832	------w-	c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-09-20 07:51	1836328	----a-w-	c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\program files\Common Files\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 19:01	71216	------w-	c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-02-06 14:11	136600	----a-w-	c:\program files\Java\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2006-04-29 13:21	94208	----a-w-	c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2008-08-03 23:02	36352	----a-w-	c:\program files\Winamp\winampa.exe

S3 FETND6V;VIA Rhine Family Fast Ethernet Adapter Driver;c:\windows\system32\DRIVERS\fetnd6v.sys [2008-06-25 44032]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - PROCEXP141

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Meryem\AppData\Roaming\Mozilla\Firefox\Profiles\at58s1i1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel",             1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad",                   false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom",  "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "h***p://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "h***p://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "h**p://sb.google.com/safebrowsing/report?");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
MSConfigStartUp-Orb - c:\program files\Winamp Remote\bin\OrbTray.exe
MSConfigStartUp-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-31 14:28
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-05-31  14:31:34
ComboFix-quarantined-files.txt  2010-05-31 12:31

Vor Suchlauf: 15 Verzeichnis(se), 13.530.894.336 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 13.464.989.696 Bytes frei

- - End Of File - - F2D826A0BA20DB7B77A6D75CC3534206
         

--- --- ---




zu:
...SP: Avira AntiVir PersonalEdition enabled ...
Sollte ich vielleicht noch einen CF scan durchführen? habe versucht Avira Guard zu deaktivieren , war geglückt , doch ComboFix meldete Avira sein nicht auf "aus".Nach dem Neutart war Avira dann endgültig nicht mehr in der Taskleiste! hmm