Hallo !

Gestern und ein paar Tage zuvor noch hat mein PC im Minutentakt den Virus HTML/Silly.Gen angezeigt. Sie lagen allesamt in Ordnern wie z.B. " C:\System Volume Information\_restore{A885B3C5-AAAA-4102-BA37-E926DA397479}\RP37\A0006142.vbs
Außerdem kamen noch Meldungen wie C:/Windows/system32/NETBOOK.vbs und C:/ NETBOOK.vbs.
Alle wurden auch noch mal in den gleichen Ordnern in D:/ gefunden (siehe Screenshot von Quarantäneverzeichnis ganz unten)

Ich bin den Schritten, die ich in diesem (h**p://www.trojaner-board.de/84018-benutzername-vbs-virus-entfernen.html) Forum gelernt habe nochmal gefolgt und habe mein bestes versucht ;-) NETBOOK.vbs und LAPTOP4.vbs wurden dann auch nicht mehr gefunden!

Habe also jetzt einen kompletten Systemscan durchgeführt und alle Objekte in Quarantäne verschoben.
Bei einem erneuten Scan gab es dann auch keine Funde mehr. Malwarebytes hat von Anfang an keinen Fund gehabt, komischerweise

Ich habe jetzt auch im Quarantäneverzeichnis alle Viren gesehen. Aber sie sind ja jetzt immer noch auf meinem PC, oder ? Kann ich die gesamten Dateien aus der Quarantäne in Avira jetzt löschen? Werden sie dann endgltig von meinem System entfernt und können dann auch nicht mehr wiederhergestellt werden (Ich bin extrem unwissend was PC's angeht, ich wette mir könnte es nämlich passieren) ? Oder braucht man solche Sachen aus unerfindlichen Gründen irgendwie noch mal wieder ?

Ich hab jetzt auch noch mal einen solchen Bericht von Malwarebytes und RSIT angehängt, damit jemand nochmal nachgucken kann, ob jetzt wirklich alles dann weg ist?!


Screenshots:





Logs:

h**p://www.file-upload.net/download-2708176/Neu-ZIP-komprimierter-Ordner.zip.html

Ein ganz großes Dankeschön schon mal im Voraus,
Ordinary

Zitat:

Ich habe jetzt auch im Quarantäneverzeichnis alle Viren gesehen. Aber sie sind ja jetzt immer noch auf meinem PC, oder ? Kann ich die gesamten Dateien aus der Quarantäne in Avira jetzt löschen?

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbliebt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Qurantäne an die Datei ran.

Die Logs schau ich mir gleich an.


Edit:

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte Malwarebytes updaten und einen Vollscan machen

Oh, tschuldige, da hab ich mich wohl vertan :/
Hier jetzt das Log vom VollScan:

h**p://www.file-upload.net/download-2708796/malwarebytes.txt.html

Zitat:

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbliebt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Qurantäne an die Datei ran.

Ich dachte mir das zwar, aber sicher war ich mir nicht ;-) Wie gesagt, bei sowas stell ich mich echt blöd an, tut mir leid ;-)

ordinary

Keine weiteren Funde...

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ok, das erfreut mich schon mal :-D

Hier die OTL-Logs

h**p://www.file-upload.net/download-2710331/Neu-ZIP-komprimierter-Ordner--2-.zip.html

LG Anna

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [MbWzdFPAP-EXL580] C:\WINDOWS\system32\FPAP-EXL580\PdtGuide.exe ()
O33 - MountPoints2\{5da7dd5b-fdbb-11de-a609-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{5da7dd5b-fdbb-11de-a609-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5da7dd5b-fdbb-11de-a609-0c6076c548fb}\Shell\AutoRun\command - "" = E:\PdtStart.exe -- File not found
O33 - MountPoints2\{5da7dd5c-fdbb-11de-a609-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{5da7dd5c-fdbb-11de-a609-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{60c9a19c-b20a-11de-a5d8-0024540b6e80}\Shell - "" = AutoRun
O33 - MountPoints2\{60c9a19c-b20a-11de-a5d8-0024540b6e80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6290f2c1-8c65-11df-a649-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{6290f2c1-8c65-11df-a649-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{72ac1eeb-2b81-11df-a61c-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{72ac1eeb-2b81-11df-a61c-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{72ac1eeb-2b81-11df-a61c-0c6076c548fb}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found
O33 - MountPoints2\{9fca6f6e-5cef-11df-a628-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{9fca6f6e-5cef-11df-a628-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b2c76a84-6401-11df-a632-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{b2c76a84-6401-11df-a632-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b44463d4-1250-11df-a611-0c6076c548fb}\Shell - "" = AutoRun
O33 - MountPoints2\{b44463d4-1250-11df-a611-0c6076c548fb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b44463d4-1250-11df-a611-0c6076c548fb}\Shell\AutoRun\command - "" = E:\USBAutoRun.exe -- File not found
O33 - MountPoints2\{e18029f4-30c0-11df-a61e-0c6076c548fb}\Shell\AutoRun\command - "" = E:\start.exe -- File not found
[2010.07.29 03:11:16 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Okay, habe es gemacht.

Hier das neue Log:

h**p://www.file-upload.net/download-2710422/OTL-log.log.html

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ist es schlimm, wenn ich es nich umbenenne? Denn ich benutze Google Chrome und da geht das irgendwie nicht ...

Rechtsklick => Ziel speichern unter

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-07-29.04 - stephan orlob 30.07.2010  18:02:05.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\stephan orlob\Desktop\Cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SEC
c:\windows\SEC\DelMt.cmd
c:\windows\SEC\JRE150.exe
c:\windows\SEC\Marker.exe
c:\windows\SEC\MEMIO.sys
c:\windows\SEC\MEMIO.vxd
c:\windows\SEC\MP10GER.exe
c:\windows\SEC\SECINSTALL.EXE
c:\windows\SEC\SECINSTALL.INI
c:\windows\SEC\StartMem.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-30  ))))))))))))))))))))))))))))))
.

2010-07-30 15:48 . 2010-07-30 15:48	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\Yahoo!
2010-07-30 15:48 . 2010-07-30 15:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-07-30 15:48 . 2010-07-30 15:48	--------	d-----w-	c:\programme\Yahoo!
2010-07-30 15:48 . 2010-07-30 15:48	--------	d-----w-	c:\programme\CCleaner
2010-07-30 15:16 . 2010-07-30 15:16	--------	d-----w-	C:\_OTL
2010-07-29 17:30 . 2010-07-29 17:30	--------	d-----w-	c:\programme\trend micro
2010-07-29 17:30 . 2010-07-29 17:30	--------	d-----w-	C:\rsit
2010-07-29 01:12 . 2010-07-06 11:57	30528	----a-w-	c:\windows\system32\TURegOpt.exe
2010-07-29 01:12 . 2010-07-06 11:52	30016	----a-w-	c:\windows\system32\uxtuneup.dll
2010-07-29 01:11 . 2010-07-29 01:11	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\TuneUp Software
2010-07-29 01:11 . 2010-07-29 01:12	--------	d-----w-	c:\programme\TuneUp Utilities 2010
2010-07-29 01:11 . 2010-07-29 01:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2010-07-27 18:07 . 2010-07-27 18:07	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\Malwarebytes
2010-07-27 18:07 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-27 18:07 . 2010-07-27 18:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-27 18:07 . 2010-07-27 18:07	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-27 18:07 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-25 20:42 . 2010-07-25 20:42	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\Avira
2010-07-25 20:39 . 2010-07-25 20:39	--------	d-----w-	c:\windows\system32\NtmsData
2010-07-25 20:36 . 2010-03-01 08:05	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-25 20:36 . 2010-02-16 12:24	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-25 20:36 . 2009-05-11 10:49	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-25 20:36 . 2009-05-11 10:49	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-25 20:36 . 2010-07-25 20:36	--------	d-----w-	c:\programme\Avira
2010-07-25 20:36 . 2010-07-25 20:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-07-20 12:47 . 2010-07-20 12:47	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-07-12 03:15 . 2010-07-12 03:15	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-06 23:58 . 2001-08-18 02:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-07-06 23:58 . 2008-04-14 05:52	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-07-06 23:58 . 2008-04-13 22:15	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-07-06 23:58 . 2008-04-13 22:15	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-29 22:09 . 2010-02-20 16:47	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\Skype
2010-07-29 22:00 . 2010-02-20 16:50	--------	d-----w-	c:\dokumente und einstellungen\stephan orlob\Anwendungsdaten\skypePM
2010-07-29 13:59 . 2009-06-18 15:02	--------	d-----w-	c:\programme\Google
2010-06-14 14:31 . 2009-06-18 14:50	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-02 08:05 . 2009-06-18 23:19	1851392	----a-w-	c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlay1EXL580]
@="{B4834762-CF57-45AB-819D-CABE601B3C3C}"
[HKEY_CLASSES_ROOT\CLSID\{B4834762-CF57-45AB-819D-CABE601B3C3C}]
2007-04-23 09:17	596480	----a-w-	c:\windows\system32\FPAP-EXL580\FileptcIconOverlay.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-18 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0\bin\jusched.exe" [2009-06-18 36972]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\programme\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"DMHotKey"="c:\programme\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [06.10.2009 17:58 108768]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.07.2010 22:36 135336]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [18.06.2009 16:57 4300]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [06.07.2010 13:55 1051968]
R2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe -k yksvcs [19.06.2009 01:19 14336]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14.01.2008 19:01 30208]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [18.06.2009 17:00 238464]
S2 gupdate1cab24c4f0abf86;Google Update Service (gupdate1cab24c4f0abf86);c:\programme\Google\Update\GoogleUpdate.exe [20.02.2010 18:46 133104]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [01.08.2006 15:57 19840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
yksvcs	REG_MULTI_SZ   	yksvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-20 16:46]

2010-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-20 16:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-mcmscsvc
SafeBoot-MCODS



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-30 18:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-1104-1ae7-0308fa04e19f}\InprocServer32*]
"Class"=hex:8d,52,88,dd,46,d7,37,83,ce,39,24,61,a8,be,33,19,73,99,46,10,4a,41,
   6f,40,a5,f7,54,8a,1a,4c,e8,3c,ea,79,ef,59,a8,55,c3,35,b1,57,fd,19,76,72,22,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-55c5-1751-e2e9fa04e19f}\InprocServer32*]
"Class"=hex:96,19,5c,a2,8e,df,19,e0,ef,d1,c3,3b,0b,d1,0f,03,b1,28,20,76,5b,03,
   7a,dd,63,ba,12,07,fc,f5,9f,d3,2e,48,f6,4a,6b,ad,e6,da,85,c3,ce,97,27,10,1e,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-8e1c-03b7-0c48fa04e19f}\InprocServer32*]
"Class"=hex:ce,a3,2f,64,db,b6,a0,a7,77,01,25,f6,76,0f,5b,54,5a,51,11,41,fc,d5,
   d8,e3,49,e3,7c,c6,8f,ea,5a,e7,39,57,f5,46,fb,da,76,3f,cd,c3,7a,38,46,b7,a6,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-b1b8-55c3-af5cfa04e19f}\InprocServer32*]
"Class"=hex:97,46,fb,50,5a,62,b5,30,ad,08,29,65,16,f6,b6,55,1a,f1,e5,9e,6e,dc,
   8c,1a,60,7e,44,2f,3c,9f,d3,37,c9,f5,33,c3,a3,4a,07,32,e0,49,6f,06,ac,04,f0,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-b94f-d3f5-a3fdfa04e19f}\InprocServer32*]
"Class"=hex:65,17,2a,a8,f0,90,de,dc,97,91,24,4f,ed,a4,f5,68,b7,ef,c8,95,ee,56,
   03,96,96,e8,d7,52,4a,8b,75,af,16,a2,b6,d5,b3,c6,31,ba,63,ef,d8,67,a0,ac,90,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-be25-6651-c94cfa04e19f}\InprocServer32*]
"Class"=hex:02,37,c2,a6,06,7b,28,f5,a2,c3,31,a1,30,bc,a1,49,ae,33,14,73,2f,a1,
   df,e1,9d,21,83,7b,bd,42,fc,f1,9f,ad,07,76,fc,2b,49,31,ea,a0,e5,18,9a,fe,df,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C09C5BC9-8988-fdbd-709d-5193fa04e19f}\InprocServer32*]
"Class"=hex:c5,a3,d8,d1,66,56,6c,94,11,2b,58,e2,7b,1d,62,55,54,a5,42,06,8a,cc,
   f2,2d,1f,12,eb,6a,9d,c8,26,96,72,49,61,01,1e,5e,17,21,78,66,00,b5,5d,a0,ac,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
Zeit der Fertigstellung: 2010-07-30  18:08:24
ComboFix-quarantined-files.txt  2010-07-30 16:08

Vor Suchlauf: 8 Verzeichnis(se), 63.543.246.848 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 63.480.512.512 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 4E558A9D80DE644D893FC0AFDE60E048
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

GMER funktioniert nicht, da kam 2 mal BlueScreen und der PC ist abgestürzt, bei OSAm ist das Problem, dass mein PC das nicht öffnet, eil scheinbar ein Programm für ZIP-Dateien oder sowas fehlt, was ich aber nicht versetehe, weil ich das doch egtl habe...

Zitat:

eil scheinbar ein Programm für ZIP-Dateien oder sowas fehlt, was ich aber nicht versetehe, weil ich das doch egtl habe...

Nimm zum Entpacken WinRAR oder 7Zip - WinZIP hat da Probleme mit!

Osam:

OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 23:45:00 on 30.07.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Google Inc. Google Chrome 0.0.0.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
"MagicKBD.cpl" - "SAMSUNG Electronics Co., Ltd." - C:\WINDOWS\system32\MagicKBD.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ACEDRV08" (ACEDRV08) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\ACEDRV08.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"DNSeFilter" (DNSeFilter) - "Samsung Electronics,.LTD" - C:\WINDOWS\System32\drivers\SamsungEDS.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"LGE Mobile Composite USB Device" (usbbus) - ? - C:\WINDOWS\System32\DRIVERS\lgusbbus.sys  (File not found)
"LGE Mobile USB Modem" (USBModem) - ? - C:\WINDOWS\System32\DRIVERS\lgusbmodem.sys  (File not found)
"LGE Mobile USB Serial Port" (UsbDiag) - ? - C:\WINDOWS\System32\DRIVERS\lgusbdiag.sys  (File not found)
"MEMIO" (DOSMEMIO) - ? - C:\WINDOWS\system32\MEMIO.SYS  (File found, but it contains no detailed information)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"SUE NDIS Protocol Driver" (SUEPD) - "Samsung" - C:\WINDOWS\System32\DRIVERS\SUE_PD.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{6af09ec9-b429-11d4-a1fb-0090960218cb} "Bluetooth-Umgebung" - "Broadcom Corporation." - C:\WINDOWS\system32\BTNEIG~1.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{FBF23B40-E3F0-101B-8488-00AA003E56F8} "Internetverknüpfung" - ? - C:\WINDOWS\system32\ieframe.dll  (File not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\WINDOWS\system32\btncopy.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{EF99BD32-C1FB-11D2-892F-0090271D4F88} "Yahoo! Toolbar" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Adobe\Director\SwDir.dll / hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
<binary data> "Yahoo! Toolbar" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{02478D38-C3F9-4efb-9B51-7695ECA05670} "&Yahoo! Toolbar Helper" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} "SingleInstance Class" - "Yahoo! Inc" - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"BTTray.lnk" - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\stephan orlob\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"BatteryManager" - ? - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
"DMHotKey" - "SAMSUNG Electronics" - C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
"EDS" - "Samsung Electronics,.LTD" - C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
"MagicKeyboard" - ? - C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\jusched.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"CLCV0" (UTSCSI) - ? - C:\WINDOWS\system32\UTSCSI.EXE
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate1cab24c4f0abf86)" (gupdate1cab24c4f0abf86) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Samsung Update Plus" (Samsung Update Plus) - ? - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe  (File found, but it contains no detailed information)
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru