Trojanerproblem

BigD · 26.09.2010, 18:03

hallo ich habe ein Problem mein AVG findet einen Trojaner
dieser heisst Trojan Horse Agent2.BJRA
wenn ich die datei lösche ist sie bei einem neu start wieder da
habe auch schon im abgesicherten modus probiert und die datei gelöscht als ich wieder im normalen modus starte ist er wieder da:
wäre froh wenn mir jemand helfen könnte
habe windows vista

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4692

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.7930.16406

26.09.2010 15:19:18
mbam-log-2010-09-26 (15-19-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142105
Laufzeit: 10 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 26.09.2010, 19:03

Zitat:

hallo ich habe ein Problem mein AVG findet einen Trojaner
dieser heisst Trojan Horse Agent2.BJRA

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

BigD · 26.09.2010, 19:16

C:/windows/system32/pngtwlfj.dll
sorry hatte ich übersehen

cosinus · 26.09.2010, 19:30

Hast Du Malwarebytes nur 1x oder öfters durchlaufen lassen?

BigD · 26.09.2010, 19:40

ich hatte Malwarebytes 3mal durchlaufenlassen und es fand nichts
auch andere antivirprogramme haben nichts gefunden nur avg fand diesen trojaner

cosinus · 26.09.2010, 20:00

Hast Du immer nur Quickscans gemacht?

Wenn ja: Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

BigD · 26.09.2010, 21:15

habe den vollscan gemacht hier das resultat

cosinus · 27.09.2010, 11:58

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O33 - MountPoints2\{2fab1f84-2953-11df-80cf-001d72eb5a58}\Shell\AutoRun\command - "" = F:\WDSetup.exe -- File not found
O33 - MountPoints2\{ada47052-cef7-11de-81c2-001d72eb5a58}\Shell - "" = AutoRun
O33 - MountPoints2\{ada47052-cef7-11de-81c2-001d72eb5a58}\Shell\AutoRun\command - "" = F:\laucher.exe -- File not found
O33 - MountPoints2\{e652f5c2-363b-11de-bde8-001d72eb5a58}\Shell - "" = AutoRun
O33 - MountPoints2\{e652f5c2-363b-11de-bde8-001d72eb5a58}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
[2010.09.25 19:03:31 | 000,000,000 | ---D | C] -- C:\Windows\VDLL.DLL
[2010.09.25 19:03:31 | 000,000,000 | ---D | C] -- C:\Windows\System32\runouce.exe
[2010.09.25 19:03:31 | 000,000,000 | ---D | C] -- C:\Windows\RUNDL132.EXE
[2010.09.25 19:03:31 | 000,000,000 | ---D | C] -- C:\Windows\logo_1.exe
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:DFC5A2B2
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:52B72A7C
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:73933431
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:DAFD38AE
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:7CACEF61
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 102 bytes -> C:\ProgramData\Temp:430C6D84
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:A42A9F39
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

BigD · 27.09.2010, 17:40

habe das jetzt gemacht hier das dokument

cosinus · 27.09.2010, 22:20

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BigD · 28.09.2010, 15:38

habe das auch gemacht hier das resultat

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-27.05 - Sascha 28.09.2010  16:25:05.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.41.1031.18.3066.1995 [GMT 2:00]
ausgeführt von:: c:\users\Sascha\Desktop\cofi.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-28 bis 2010-09-28  ))))))))))))))))))))))))))))))
.

2010-09-27 18:52 . 2010-09-27 18:52	--------	d-----w-	c:\program files\CONEXANT
2010-09-27 16:25 . 2010-09-27 16:25	--------	d-----w-	C:\_OTL
2010-09-26 19:04 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-26 19:04 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-26 15:00 . 2010-09-26 15:00	--------	d-----w-	c:\program files\iXi Tools
2010-09-26 14:59 . 2010-09-26 17:03	--------	d-----w-	c:\users\Sascha\AppData\Local\AnVir
2010-09-26 14:50 . 2004-08-04 05:00	45568	----a-w-	c:\windows\system32\drwtsn32.exe
2010-09-26 14:48 . 2010-09-26 17:07	--------	d-----w-	c:\program files\1stWorks
2010-09-26 14:44 . 2010-09-26 14:44	--------	d-----w-	c:\program files\Dr Watson
2010-09-26 11:48 . 2010-09-26 13:01	--------	d-----w-	c:\program files\Unlocker
2010-09-25 16:58 . 2010-09-25 16:58	632064	----a-w-	c:\windows\system32\msvcr80.dll
2010-09-25 16:58 . 2010-09-25 16:58	554240	----a-w-	c:\windows\system32\msvcp80.dll
2010-09-25 16:58 . 2010-09-25 16:58	34048	----a-w-	c:\windows\system32\eEmpty.exe
2010-09-25 16:58 . 2010-09-25 16:58	--------	d-----w-	c:\program files\Common Files\MicroWorld
2010-09-25 16:58 . 2010-09-25 16:58	--------	d-----w-	c:\programdata\MicroWorld
2010-09-25 14:22 . 2010-09-25 14:22	--------	d-----w-	c:\users\Sascha\AppData\Roaming\Malwarebytes
2010-09-25 14:21 . 2010-09-25 14:21	--------	d-----w-	c:\programdata\Malwarebytes
2010-09-25 14:21 . 2010-09-26 19:04	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-25 14:15 . 2010-09-25 14:17	76017048	----a-w-	c:\programdata\PC Tools\DownloadManager\Spyware Doctor with AntiVirus8.0\sdasetup_dl.exe
2010-09-25 13:07 . 2010-09-25 13:06	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-09-25 12:49 . 2010-08-12 12:16	2979848	-c--a-w-	c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
2010-09-25 12:44 . 2010-09-25 12:51	--------	d-----w-	c:\programdata\Lavasoft
2010-09-25 12:44 . 2010-09-25 12:44	--------	d-----w-	c:\program files\Lavasoft
2010-09-25 12:37 . 2010-09-25 12:49	--------	dc-h--w-	c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-25 12:35 . 2010-09-07 14:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-25 12:35 . 2010-09-07 14:52	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-25 12:35 . 2010-09-07 14:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-25 12:35 . 2010-09-07 14:52	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-25 12:35 . 2010-09-07 14:47	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-09-25 12:32 . 2010-09-07 15:12	38848	----a-w-	c:\windows\avastSS.scr
2010-09-25 12:32 . 2010-09-07 15:11	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-25 12:31 . 2010-09-25 12:31	--------	d-----w-	c:\programdata\Alwil Software
2010-09-25 12:31 . 2010-09-25 12:31	--------	d-----w-	c:\program files\Alwil Software
2010-09-25 12:27 . 2010-09-27 18:28	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-09-25 12:27 . 2010-09-25 12:56	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-23 19:32 . 2010-09-23 19:34	76704960	----a-w-	c:\programdata\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe
2010-09-23 19:31 . 2010-09-23 19:57	--------	d-----w-	c:\programdata\PC Tools
2010-09-23 18:24 . 2010-09-24 03:25	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-09-23 17:24 . 2010-09-23 17:30	--------	d-----w-	c:\program files\Unknown Horizons
2010-09-21 19:35 . 2009-10-09 21:56	2048	----a-w-	c:\windows\system32\winrsmgr.dll
2010-09-21 19:35 . 2009-10-09 21:56	12800	----a-w-	c:\windows\system32\wsmprovhost.exe
2010-09-21 19:35 . 2009-10-09 21:56	20480	----a-w-	c:\windows\system32\winrshost.exe
2010-09-21 19:35 . 2009-10-09 21:56	40448	----a-w-	c:\windows\system32\winrs.exe
2010-09-21 18:38 . 2010-09-21 18:38	--------	d-----w-	c:\windows\system32\wbem\en-US
2010-09-21 18:33 . 2010-08-17 23:54	280064	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2010-09-21 18:33 . 2010-08-17 23:54	135680	----a-w-	c:\windows\system32\XpsRasterService.dll
2010-09-21 18:33 . 2010-08-17 23:52	979456	----a-w-	c:\windows\system32\MFH264Dec.dll
2010-09-21 18:33 . 2010-08-17 23:51	357376	----a-w-	c:\windows\system32\MFHEAACdec.dll
2010-09-21 18:33 . 2010-08-17 23:51	261632	----a-w-	c:\windows\system32\mfreadwrite.dll
2010-09-21 18:33 . 2010-08-17 23:51	302592	----a-w-	c:\windows\system32\mfmp4src.dll
2010-09-21 18:33 . 2010-08-17 23:49	1174528	----a-w-	c:\windows\system32\d3d10warp.dll
2010-09-21 18:33 . 2010-08-17 23:49	797184	----a-w-	c:\windows\system32\FntCache.dll
2010-09-21 18:33 . 2010-08-17 23:48	161280	----a-w-	c:\windows\system32\d3d10_1.dll
2010-09-21 18:33 . 2010-08-17 23:48	219648	----a-w-	c:\windows\system32\d3d10_1core.dll
2010-09-21 18:33 . 2010-08-17 23:50	680960	----a-w-	c:\windows\system32\d2d1.dll
2010-09-21 18:33 . 2010-08-17 23:49	1068032	----a-w-	c:\windows\system32\DWrite.dll
2010-09-21 18:14 . 2010-09-21 18:15	--------	d-----w-	c:\program files\Microsoft Security Essentials
2010-09-19 14:03 . 2010-09-19 15:34	--------	d-----w-	c:\program files\MTA San Andreas
2010-09-19 13:05 . 2010-09-19 13:56	--------	d-----w-	c:\users\Sascha\AppData\Local\ApplicationHistory
2010-09-19 13:05 . 2010-09-19 13:05	94	----a-w-	c:\users\Sascha\AppData\Local\fusioncache.dat
2010-09-19 12:49 . 2010-09-19 12:49	--------	d-----w-	c:\windows\system32\URTTEMP
2010-09-19 12:45 . 2010-09-20 16:51	--------	d-----w-	c:\program files\San Andreas Mod Installer
2010-09-19 12:45 . 2010-09-19 12:45	--------	d-----w-	c:\windows\San Andreas Mod Installer
2010-09-16 18:01 . 2010-04-16 16:46	502272	----a-w-	c:\windows\system32\usp10.dll
2010-09-16 18:01 . 2010-08-17 14:11	128000	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-16 18:01 . 2010-04-05 17:02	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-16 18:00 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2010-08-31 15:49 . 2010-08-31 15:49	--------	d-----w-	c:\program files\Voggi
2010-08-29 19:12 . 2010-08-29 19:15	--------	d-----w-	c:\users\Sascha\AppData\Roaming\Template

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 19:29 . 2008-11-20 11:57	628910	----a-w-	c:\windows\system32\perfh007.dat
2010-09-27 19:29 . 2008-11-20 11:57	132540	----a-w-	c:\windows\system32\perfc007.dat
2010-09-26 16:20 . 2009-03-14 09:07	105974	----a-w-	c:\programdata\nvModes.dat
2010-09-25 14:25 . 2008-11-20 03:59	--------	d-----w-	c:\program files\Microsoft.NET
2010-09-23 19:38 . 2010-09-23 19:38	2088496	----a-w-	c:\windows\system32\drivers\Cat.DB
2010-09-21 17:01 . 2009-03-10 16:36	60736	----a-w-	c:\users\Sascha\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-17 17:09 . 2008-11-20 03:57	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-17 17:08 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-08-31 22:46 . 2010-09-21 18:34	1355264	----a-w-	c:\windows\system32\jscript9.dll
2010-08-31 22:44 . 2010-09-21 18:34	1122304	----a-w-	c:\windows\system32\wininet.dll
2010-08-31 22:44 . 2010-09-21 18:34	424960	----a-w-	c:\windows\system32\vbscript.dll
2010-08-31 22:43 . 2010-09-21 18:34	23552	----a-w-	c:\windows\system32\licmgr10.dll
2010-08-31 22:43 . 2010-09-21 18:34	72704	----a-w-	c:\windows\system32\SetDepNx.exe
2010-08-31 22:43 . 2010-09-21 18:34	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2010-08-31 22:43 . 2010-09-21 18:34	114176	----a-w-	c:\windows\system32\iesysprep.dll
2010-08-31 22:43 . 2010-09-21 18:34	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2010-08-31 22:43 . 2010-09-21 18:34	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2010-08-31 22:42 . 2010-09-21 18:34	51200	----a-w-	c:\windows\system32\admparse.dll
2010-08-31 22:42 . 2010-09-21 18:34	75264	----a-w-	c:\windows\system32\iesetup.dll
2010-08-31 22:42 . 2010-09-21 18:34	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2010-08-31 22:42 . 2010-09-21 18:34	150016	----a-w-	c:\windows\system32\iexpress.exe
2010-08-31 22:42 . 2010-09-21 18:34	149504	----a-w-	c:\windows\system32\wextract.exe
2010-08-31 22:42 . 2010-09-21 18:34	33280	----a-w-	c:\windows\system32\imgutil.dll
2010-08-31 22:42 . 2010-09-21 18:34	48640	----a-w-	c:\windows\system32\mshtmler.dll
2010-08-31 22:42 . 2010-09-21 18:34	11264	----a-w-	c:\windows\system32\mshta.exe
2010-08-31 22:41 . 2010-09-21 18:34	160768	----a-w-	c:\windows\system32\msls31.dll
2010-08-29 19:11 . 2010-08-29 19:11	0	----a-w-	c:\users\Sascha\AppData\Roaming\wklnhst.dat
2010-08-28 15:34 . 2010-08-28 15:34	--------	d-----w-	c:\users\Sascha\AppData\Roaming\XMedia Recode
2010-08-28 14:03 . 2010-08-28 14:03	--------	d-----w-	c:\program files\Emicsoft Studio
2010-08-28 14:03 . 2010-08-28 14:02	--------	d-----w-	c:\users\Sascha\AppData\Roaming\GetRightToGo
2010-08-28 14:03 . 2010-08-28 14:03	--------	d-----w-	c:\program files\Babylon
2010-08-28 14:02 . 2010-08-28 14:02	--------	d-----w-	c:\program files\VideoConverter
2010-08-21 15:48 . 2009-03-29 11:39	--------	d-----w-	c:\program files\Java
2010-08-21 11:13 . 2010-08-21 11:13	--------	d-----w-	c:\program files\freecol
2010-08-21 11:11 . 2010-05-02 16:06	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-16 17:02 . 2009-03-10 16:55	243024	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-07-16 17:02 . 2010-07-16 17:02	12536	----a-w-	c:\windows\system32\avgrsstx.dll
2010-07-16 17:02 . 2009-03-10 16:54	216400	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-07-11 12:35 . 2009-05-24 15:20	1076	----a-w-	c:\windows\system32\ealregsnapshot1.reg
2009-12-02 15:10 . 2009-12-02 15:10	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-16 2065760]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-2-26 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-09-25 1355928]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2010-08-12 15008]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2010-03-25 42368]
R3 WisINT15;WisINT15;c:\elements\1stboot\WisINT15.SYS [x]
R3 WPFFontCache_v0400;WPFFontCache_v0400; [x]
S1 aswSP;aswSP; [x]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-16 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-16 243024]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-16 308136]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-06-26 212992]
S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [2008-10-08 5632]
S3 nuvotonhidgeneric;Nuvoton EC Generic HID;c:\windows\system32\DRIVERS\nuvotonhidgeneric.sys [2008-10-08 22528]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-09-25 45600]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - hid7i764

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-09-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 13:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.ch/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vp32&d=0309&m=aspire_8730
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-28 16:32
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(5544)
c:\program files\Logitech\SetPoint\lgscroll.dll
.
Zeit der Fertigstellung: 2010-09-28  16:35:41
ComboFix-quarantined-files.txt  2010-09-28 14:35

Vor Suchlauf: 15 Verzeichnis(se), 88'935'645'184 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 88'889'884'672 Bytes frei

- - End Of File - - F51EAB36670871CE63633F93A5F92C23

--- --- ---

cosinus · 28.09.2010, 17:50

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\users\Sascha\AppData\Local\AnVir
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}

Dirlook:
c:\program files\Unknown Horizons

Filelook::
c:\windows\system32\winrsmgr.dll
c:\windows\system32\wsmprovhost.exe
c:\windows\system32\winrshost.exe
c:\windows\system32\winrs.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

BigD · 28.09.2010, 18:21

habe das jetzt gemacht hier das resultat

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-09-27.05 - Sascha 28.09.2010  19:03:47.2.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.41.1031.18.3066.2007 [GMT 2:00]
ausgeführt von:: c:\users\Sascha\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Sascha\Desktop\CFScript.txt
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.dat
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.lan
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.msi
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.par
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.res
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\instance.dat
c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\mia.lib
c:\users\Sascha\AppData\Local\AnVir
c:\users\Sascha\AppData\Local\AnVir\Backup\AnVir2010_9.htm
c:\users\Sascha\AppData\Local\AnVir\Backup\AnVir2010_9.reg
c:\users\Sascha\AppData\Local\AnVir\detectDl.dat
c:\users\Sascha\AppData\Local\AnVir\detectPr.dat
c:\users\Sascha\AppData\Local\AnVir\detectSr.dat
c:\users\Sascha\AppData\Local\AnVir\recentsave.dat
c:\users\Sascha\AppData\Local\AnVir\signcash.dat
c:\users\Sascha\AppData\Local\AnVir\startup.dat
c:\users\Sascha\AppData\Local\AnVir\titlebuttons.dat
c:\users\Sascha\AppData\Local\AnVir\version.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-28 bis 2010-09-28  ))))))))))))))))))))))))))))))
.

2010-09-28 17:11 . 2010-09-28 17:11	--------	d-----w-	c:\users\Sascha\AppData\Local\temp
2010-09-28 17:11 . 2010-09-28 17:11	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-09-28 17:11 . 2010-09-28 17:11	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-09-28 14:24 . 2010-09-28 14:35	--------	d-----w-	C:\cofi
2010-09-27 18:52 . 2010-09-27 18:52	--------	d-----w-	c:\program files\CONEXANT
2010-09-27 16:25 . 2010-09-27 16:25	--------	d-----w-	C:\_OTL
2010-09-26 19:04 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-26 19:04 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-26 15:00 . 2010-09-26 15:00	--------	d-----w-	c:\program files\iXi Tools
2010-09-26 14:50 . 2004-08-04 05:00	45568	----a-w-	c:\windows\system32\drwtsn32.exe
2010-09-26 14:48 . 2010-09-26 17:07	--------	d-----w-	c:\program files\1stWorks
2010-09-26 14:44 . 2010-09-26 14:44	--------	d-----w-	c:\program files\Dr Watson
2010-09-26 11:48 . 2010-09-26 13:01	--------	d-----w-	c:\program files\Unlocker
2010-09-25 16:58 . 2010-09-25 16:58	632064	----a-w-	c:\windows\system32\msvcr80.dll
2010-09-25 16:58 . 2010-09-25 16:58	554240	----a-w-	c:\windows\system32\msvcp80.dll
2010-09-25 16:58 . 2010-09-25 16:58	34048	----a-w-	c:\windows\system32\eEmpty.exe
2010-09-25 16:58 . 2010-09-25 16:58	--------	d-----w-	c:\program files\Common Files\MicroWorld
2010-09-25 16:58 . 2010-09-25 16:58	--------	d-----w-	c:\programdata\MicroWorld
2010-09-25 14:22 . 2010-09-25 14:22	--------	d-----w-	c:\users\Sascha\AppData\Roaming\Malwarebytes
2010-09-25 14:21 . 2010-09-25 14:21	--------	d-----w-	c:\programdata\Malwarebytes
2010-09-25 14:21 . 2010-09-26 19:04	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-25 14:15 . 2010-09-25 14:17	76017048	----a-w-	c:\programdata\PC Tools\DownloadManager\Spyware Doctor with AntiVirus8.0\sdasetup_dl.exe
2010-09-25 13:07 . 2010-09-25 13:06	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-09-25 12:44 . 2010-09-25 12:51	--------	d-----w-	c:\programdata\Lavasoft
2010-09-25 12:44 . 2010-09-25 12:44	--------	d-----w-	c:\program files\Lavasoft
2010-09-25 12:35 . 2010-09-07 14:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-09-25 12:35 . 2010-09-07 14:52	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-25 12:35 . 2010-09-07 14:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-25 12:35 . 2010-09-07 14:52	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-25 12:35 . 2010-09-07 14:47	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-09-25 12:32 . 2010-09-07 15:12	38848	----a-w-	c:\windows\avastSS.scr
2010-09-25 12:32 . 2010-09-07 15:11	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-25 12:31 . 2010-09-25 12:31	--------	d-----w-	c:\programdata\Alwil Software
2010-09-25 12:31 . 2010-09-25 12:31	--------	d-----w-	c:\program files\Alwil Software
2010-09-25 12:27 . 2010-09-27 18:28	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-09-25 12:27 . 2010-09-25 12:56	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-23 19:32 . 2010-09-23 19:34	76704960	----a-w-	c:\programdata\PC Tools\DownloadManager\Spyware Doctor8.0\sdsetup_dl.exe
2010-09-23 19:31 . 2010-09-23 19:57	--------	d-----w-	c:\programdata\PC Tools
2010-09-23 18:24 . 2010-09-24 03:25	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-09-23 17:24 . 2010-09-23 17:30	--------	d-----w-	c:\program files\Unknown Horizons
2010-09-21 19:35 . 2009-10-09 21:56	2048	----a-w-	c:\windows\system32\winrsmgr.dll
2010-09-21 19:35 . 2009-10-09 21:56	12800	----a-w-	c:\windows\system32\wsmprovhost.exe
2010-09-21 19:35 . 2009-10-09 21:56	20480	----a-w-	c:\windows\system32\winrshost.exe
2010-09-21 19:35 . 2009-10-09 21:56	40448	----a-w-	c:\windows\system32\winrs.exe
2010-09-21 18:38 . 2010-09-21 18:38	--------	d-----w-	c:\windows\system32\wbem\en-US
2010-09-21 18:33 . 2010-08-17 23:54	280064	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2010-09-21 18:33 . 2010-08-17 23:54	135680	----a-w-	c:\windows\system32\XpsRasterService.dll
2010-09-21 18:33 . 2010-08-17 23:52	979456	----a-w-	c:\windows\system32\MFH264Dec.dll
2010-09-21 18:33 . 2010-08-17 23:51	357376	----a-w-	c:\windows\system32\MFHEAACdec.dll
2010-09-21 18:33 . 2010-08-17 23:51	261632	----a-w-	c:\windows\system32\mfreadwrite.dll
2010-09-21 18:33 . 2010-08-17 23:51	302592	----a-w-	c:\windows\system32\mfmp4src.dll
2010-09-21 18:33 . 2010-08-17 23:49	1174528	----a-w-	c:\windows\system32\d3d10warp.dll
2010-09-21 18:33 . 2010-08-17 23:49	797184	----a-w-	c:\windows\system32\FntCache.dll
2010-09-21 18:33 . 2010-08-17 23:48	161280	----a-w-	c:\windows\system32\d3d10_1.dll
2010-09-21 18:33 . 2010-08-17 23:48	219648	----a-w-	c:\windows\system32\d3d10_1core.dll
2010-09-21 18:33 . 2010-08-17 23:50	680960	----a-w-	c:\windows\system32\d2d1.dll
2010-09-21 18:33 . 2010-08-17 23:49	1068032	----a-w-	c:\windows\system32\DWrite.dll
2010-09-21 18:14 . 2010-09-21 18:15	--------	d-----w-	c:\program files\Microsoft Security Essentials
2010-09-19 14:03 . 2010-09-19 15:34	--------	d-----w-	c:\program files\MTA San Andreas
2010-09-19 13:05 . 2010-09-19 13:56	--------	d-----w-	c:\users\Sascha\AppData\Local\ApplicationHistory
2010-09-19 13:05 . 2010-09-19 13:05	94	----a-w-	c:\users\Sascha\AppData\Local\fusioncache.dat
2010-09-19 12:49 . 2010-09-19 12:49	--------	d-----w-	c:\windows\system32\URTTEMP
2010-09-19 12:45 . 2010-09-20 16:51	--------	d-----w-	c:\program files\San Andreas Mod Installer
2010-09-19 12:45 . 2010-09-19 12:45	--------	d-----w-	c:\windows\San Andreas Mod Installer
2010-09-16 18:01 . 2010-04-16 16:46	502272	----a-w-	c:\windows\system32\usp10.dll
2010-09-16 18:01 . 2010-08-17 14:11	128000	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-16 18:01 . 2010-04-05 17:02	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-16 18:00 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2010-08-31 15:49 . 2010-08-31 15:49	--------	d-----w-	c:\program files\Voggi
2010-08-29 19:12 . 2010-08-29 19:15	--------	d-----w-	c:\users\Sascha\AppData\Roaming\Template

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 19:29 . 2008-11-20 11:57	628910	----a-w-	c:\windows\system32\perfh007.dat
2010-09-27 19:29 . 2008-11-20 11:57	132540	----a-w-	c:\windows\system32\perfc007.dat
2010-09-26 16:20 . 2009-03-14 09:07	105974	----a-w-	c:\programdata\nvModes.dat
2010-09-25 14:25 . 2008-11-20 03:59	--------	d-----w-	c:\program files\Microsoft.NET
2010-09-23 19:38 . 2010-09-23 19:38	2088496	----a-w-	c:\windows\system32\drivers\Cat.DB
2010-09-21 17:01 . 2009-03-10 16:36	60736	----a-w-	c:\users\Sascha\AppData\Local\GDIPFONTCACHEV1.DAT
2010-09-17 17:09 . 2008-11-20 03:57	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-17 17:08 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-08-31 22:46 . 2010-09-21 18:34	1355264	----a-w-	c:\windows\system32\jscript9.dll
2010-08-31 22:44 . 2010-09-21 18:34	1122304	----a-w-	c:\windows\system32\wininet.dll
2010-08-31 22:44 . 2010-09-21 18:34	424960	----a-w-	c:\windows\system32\vbscript.dll
2010-08-31 22:43 . 2010-09-21 18:34	23552	----a-w-	c:\windows\system32\licmgr10.dll
2010-08-31 22:43 . 2010-09-21 18:34	72704	----a-w-	c:\windows\system32\SetDepNx.exe
2010-08-31 22:43 . 2010-09-21 18:34	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2010-08-31 22:43 . 2010-09-21 18:34	114176	----a-w-	c:\windows\system32\iesysprep.dll
2010-08-31 22:43 . 2010-09-21 18:34	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2010-08-31 22:43 . 2010-09-21 18:34	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2010-08-31 22:42 . 2010-09-21 18:34	51200	----a-w-	c:\windows\system32\admparse.dll
2010-08-31 22:42 . 2010-09-21 18:34	75264	----a-w-	c:\windows\system32\iesetup.dll
2010-08-31 22:42 . 2010-09-21 18:34	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2010-08-31 22:42 . 2010-09-21 18:34	150016	----a-w-	c:\windows\system32\iexpress.exe
2010-08-31 22:42 . 2010-09-21 18:34	149504	----a-w-	c:\windows\system32\wextract.exe
2010-08-31 22:42 . 2010-09-21 18:34	33280	----a-w-	c:\windows\system32\imgutil.dll
2010-08-31 22:42 . 2010-09-21 18:34	48640	----a-w-	c:\windows\system32\mshtmler.dll
2010-08-31 22:42 . 2010-09-21 18:34	11264	----a-w-	c:\windows\system32\mshta.exe
2010-08-31 22:41 . 2010-09-21 18:34	160768	----a-w-	c:\windows\system32\msls31.dll
2010-08-29 19:11 . 2010-08-29 19:11	0	----a-w-	c:\users\Sascha\AppData\Roaming\wklnhst.dat
2010-08-28 15:34 . 2010-08-28 15:34	--------	d-----w-	c:\users\Sascha\AppData\Roaming\XMedia Recode
2010-08-28 14:03 . 2010-08-28 14:03	--------	d-----w-	c:\program files\Emicsoft Studio
2010-08-28 14:03 . 2010-08-28 14:02	--------	d-----w-	c:\users\Sascha\AppData\Roaming\GetRightToGo
2010-08-28 14:03 . 2010-08-28 14:03	--------	d-----w-	c:\program files\Babylon
2010-08-28 14:02 . 2010-08-28 14:02	--------	d-----w-	c:\program files\VideoConverter
2010-08-21 15:48 . 2009-03-29 11:39	--------	d-----w-	c:\program files\Java
2010-08-21 11:13 . 2010-08-21 11:13	--------	d-----w-	c:\program files\freecol
2010-08-21 11:11 . 2010-05-02 16:06	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-16 17:02 . 2009-03-10 16:55	243024	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-07-16 17:02 . 2010-07-16 17:02	12536	----a-w-	c:\windows\system32\avgrsstx.dll
2010-07-16 17:02 . 2009-03-10 16:54	216400	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-07-11 12:35 . 2009-05-24 15:20	1076	----a-w-	c:\windows\system32\ealregsnapshot1.reg
2009-12-02 15:10 . 2009-12-02 15:10	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\winrs.exe ---
Company: Microsoft Corporation
File Description: winrs
File Version: 6.0.6002.18111 (vistasp2_gdr_win7ip_winman(wmbla).091009-1451)
Product Name: Betriebssystem Microsoft® Windows®
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Original Filename: winrs.exe.mui
File size: 40448
Created time: 2010-09-21 19:35
Modified time: 2009-10-09 21:56
MD5: 12C7EAF8A0EF6DE0066AAB801DCA021F
SHA1: 640267BCC4489342627F3B418902726693E1C608


--- c:\windows\system32\winrshost.exe ---
Company: Microsoft Corporation
File Description: winrscmde
File Version: 6.0.6002.18111 (vistasp2_gdr_win7ip_winman(wmbla).091009-1451)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: winrscmde.exe
File size: 20480
Created time: 2010-09-21 19:35
Modified time: 2009-10-09 21:56
MD5: 2662DBEAD02082F1AB671E550B56E920
SHA1: A4D411D65B645905397C2E2C5CAA3DE864CAD353


--- c:\windows\system32\winrsmgr.dll ---
Company: Microsoft Corporation
File Description: WSMan Shell API
File Version: 6.0.6002.18111 (vistasp2_gdr_win7ip_winman(wmbla).091009-1451)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: winrsmgr.dll
File size: 2048
Created time: 2010-09-21 19:35
Modified time: 2009-10-09 21:56
MD5: 3FA837E3C30334BA8CA5EEB2B375D50C
SHA1: 7D913CC7280CB6F2CBB9B016C7A3C92EE9314C2F


--- c:\windows\system32\wsmprovhost.exe ---
Company: Microsoft Corporation
File Description: wsmprovhost
File Version: 6.0.6002.18111 (vistasp2_gdr_win7ip_winman(wmbla).091009-1451)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: wsmprovhost.exe
File size: 12800
Created time: 2010-09-21 19:35
Modified time: 2009-10-09 21:56
MD5: 9A626BF1143410771075503B2AB3F564
SHA1: BF2CA70A5861957DBD0597922C23EBDD711ED56E

---- Directory of c:\program files\Unknown Horizons ----



((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-16 2065760]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-2-26 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-09-25 1355928]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [2010-08-12 15008]
R3 WisINT15;WisINT15;c:\elements\1stboot\WisINT15.SYS [x]
R3 WPFFontCache_v0400;WPFFontCache_v0400; [x]
S1 aswSP;aswSP; [x]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-16 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-16 243024]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-16 308136]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-06-26 212992]
S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [2008-10-08 5632]
S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2010-03-25 42368]
S3 nuvotonhidgeneric;Nuvoton EC Generic HID;c:\windows\system32\DRIVERS\nuvotonhidgeneric.sys [2008-10-08 22528]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-09-25 45600]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - hid7i764

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-09-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 13:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.ch/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&s=2&o=vp32&d=0309&m=aspire_8730
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Ad-Aware - c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe
AddRemove-{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} - c:\programdata\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-28 19:11
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-09-28  19:15:47
ComboFix-quarantined-files.txt  2010-09-28 17:15
ComboFix2.txt  2010-09-28 14:35

Vor Suchlauf: 20 Verzeichnis(se), 88'768'237'568 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 88'660'787'200 Bytes frei

- - End Of File - - CF00A35114C009705321EF17CFAA99FD

--- --- ---

cosinus · 28.09.2010, 18:36

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

BigD · 28.09.2010, 19:11

hier sind die logs vom GMER und OSAM

26.09.2010, 19:30	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojanerproblem Hast Du Malwarebytes nur 1x oder öfters durchlaufen lassen? __________________ Logfiles bitte immer in CODE-Tags posten

26.09.2010, 20:00	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojanerproblem Hast Du immer nur Quickscans gemacht? Wenn ja: Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! __________________ --> Trojanerproblem

Trojanerproblem

Plagegeister aller Art und deren Bekämpfung: Trojanerproblem