Wie die Kopie eines Virus entfernen?

mani · 07.10.2010, 15:19

Hurra!!!
endlich eine Seite, mit der man etwas anfangen kann. Zunächst eine großes Dankeschön für Euer Team, das offenbar bemüht ist, auch Nicht-Software-Spezialisten in einem verständlichen Computer-Deutsch zu helfen.

Mein Problem:
Ich habe mit Hilfe eines Forum-Beitrages (Pagegeister ...>"Konto wird auspioniert",eröffnet am 26.03.2010) einen Virus entfernt(?) und dabei die angegebenen Hilfsmittel (mbr, otl, helpassistant) verwendet. Bei einem neuerlichen Start von mbr.exe wird mit nun eine noch vorhandene Kopie gemeldet. Wie kann ich die noch beseitigen? Oder ist sie ungefährlich?

Aktuell habe ich die in der Anleitung angegebenen Aktionen nochmal durchgeführt und die gewünschten Dateien angehängt, mit der Bitte, mir zu helfen.

P.S.: defogger_disable.log und OTL.txt ließen sich leider nicht hochladen wegen Dateigröße.

Als Ergänzung zu meinem Beitrag vom 02.10.2010 hier noch die Dateien, die zur Bearbeitung meiner Anfrage gebraucht werden. OTL.txt wurde in 3 Dateien aufgeteilt wegen Dateigröße.

cosinus · 07.10.2010, 20:30

Hallo und

Hat Malwarebytes nichts gefunden oder postest Du nur das Log ohne Funde?

mani · 08.10.2010, 07:30

Hallo Arne,
es geht mir um die "Kopie", die von mbr.exe angezeigt wird (siehe meinen Beitrag vom 2.10.)
Und bitte die Extras.Txt löschen.

Gruß
mani

cosinus · 08.10.2010, 11:33

Das beantwortet nicht meine Frage! Um den MBR kümmern wir uns später!

mani · 09.10.2010, 16:33

Hallo Arne,
was soll diese Art der Diskussion? Malwarebytes hat nichts gefunden (anbei nochmals den aktuellen Scan) und mbr findet eine Kopie. Was mache ich falsch oder anders gefragt, womit nerve ich Dich?

Gruß
mani

DJ-D · 09.10.2010, 17:40

Ich glaube, Du sollst ihm einfach beantworten, ob Malwarebytes etwas gefunden hat und vorallem was.

cosinus · 09.10.2010, 18:46

Zitat:

was soll diese Art der Diskussion?

Es ist keine Diskussion! Es ist ein Bereinigungsstrang wo Du das tun solltest, was man Dir sagt. Oder willst Du selbst bereinigen? Wir können das ganz auch sein lassen, wenn Du völlig vorbei an meinen Anweisungen handelst.

Und ich seh zwar keine Schädlinge im Malwarebytes Logfile, dafür aber was anderes entscheidendes: Du hast in beiden Fällen nur ein Quickscan gemacht, mach mal bitte einen Vollscan mit Malwarebytes und denk dran, dass Du es vorher aktualisierst!

mani · 10.10.2010, 13:58

Hallo Arne,
warum nicht gleich so. Entsprechend eurer Anleitung (MFTools) ist ein Quick-Scan zu machen und daran habe ich mich gehalten.
Der ausführliche Scan sieht natürlich anders aus und ich hoffe, ich kann mit Deiner Hilfe die Plagegeister bald entfernen.

Gruß
Manfred

cosinus · 10.10.2010, 20:26

"Warum nicht gleich so" kann ich auch schreiben.

Mehr wollte ich doch garnicht wissen. Es war doch ne einfache Frage, ob es noch mehr Logs von Malwarebytes gibt. Ich muss nachfragen weil es in letzter Zeit häufig vorkam, dass die TOs nur das letzte Log ohne Funde posteten!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell\AutoRun\command - "" = D:\stub.exe -- File not found
[2008.09.08 20:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kzcrmlqz
[2010.06.22 19:28:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.11.24 17:41:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.10.20 07:37:44 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\.#
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

mani · 11.10.2010, 07:45

Hallo Arne,
ich danke Dir für Deine schnelle Antwort. Das Fix_log findest Du im Anhang.

Sonntagsgrüße von
mani

cosinus · 11.10.2010, 07:51

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

mani · 11.10.2010, 14:23

Hallo Arne,
habe alles abgearbeitet und füge unten die cofi.log ein.
Gruß
Manfred

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-10.02 - xxx 11.10.2010  12:34:19.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2536 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Gast\Error.log
C:\install.exe
c:\programme\Gemeinsame Dateien\WinSoftware
c:\programme\INSTALL.LOG
c:\programme\sysguard
c:\windows\ktkm2.dll
c:\windows\ktkm3.dll
c:\windows\ktkm34.dll
c:\windows\ktkm36.dll
c:\windows\ktkm4.dll
c:\windows\ktkm8.dll
c:\windows\system32\instsrv.exe
c:\windows\system32\temp#01.exe
c:\windows\system32\twain.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ISEXENG


(((((((((((((((((((((((   Dateien erstellt von 2010-09-11 bis 2010-10-11  ))))))))))))))))))))))))))))))
.

2010-10-11 06:46 . 2010-09-09 22:52	6084944	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E6105D8E-7172-4773-AFC5-BE6F2A5361B1}\mpengine.dll
2010-10-11 06:33 . 2010-10-11 06:33	--------	d-----w-	C:\_OTL
2010-10-10 13:22 . 2010-10-10 13:22	--------	d-----w-	c:\programme\FSX Banking Camera
2010-10-08 06:22 . 2010-10-08 06:22	77312	----a-w-	C:\mbr.exe
2010-10-04 08:41 . 2010-10-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\mani
2010-10-01 06:58 . 2010-10-01 06:58	--------	d-----w-	c:\programme\ERUNT
2010-09-29 13:55 . 2010-09-29 13:55	--------	d-----w-	c:\programme\FreeTime
2010-09-29 13:45 . 2010-09-29 13:45	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-09-26 10:19 . 2008-04-14 05:52	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-26 10:07 . 2010-09-26 10:07	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Services
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll
2010-09-21 13:31 . 2010-09-21 13:32	--------	d-----w-	c:\programme\QuickTime
2010-09-17 06:14 . 2010-09-17 06:14	--------	d-----w-	c:\programme\Quicken2011
2010-09-11 16:24 . 2010-09-11 16:27	125274	----a-w-	c:\programme\Microsoft Games\Microsoft Flight Simulator X\Uninstal_ejets_fsx_wilco.exe
2010-09-11 14:21 . 2010-09-11 14:21	--------	d-----r-	C:\Sandbox

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0020\DriverFiles\i386\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0033\DriverFiles\i386\atapi.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tipguard.exe"="REM" [X]
"AutoStart-Manager"="REM" [X]
"Skype"="REM" [X]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]
"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegSweep"="REM" [X]
"iTunesHelper"="REM" [X]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]
backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe]
REM 1&1 EasyLogin HIDE [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [12.05.2005 17:01 53760]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [13.05.2005 15:22 81408]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [13.09.2006 08:11 99840]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]
S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]
S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]
S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-09-10 c:\windows\Tasks\ConfigExec.job
- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]

2009-11-28 c:\windows\Tasks\Driver Robot.job
- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]

2010-10-11 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job
- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-11 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Microsoft Internet Explorer
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm
IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm
IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: 1und1.com\www
Trusted Zone: 1und1.de\login
Trusted Zone: cortalconsors.de\www
Trusted Zone: dresdner-privat.de\www
Trusted Zone: entriq.net\man
Trusted Zone: fundorado.de\www
Trusted Zone: impotenz-selbsthilfe.de\www
Trusted Zone: iww.de\www.blopress
Trusted Zone: medikamente-im-test.de\www
Trusted Zone: orchideen-kuhlmann.de\www
Trusted Zone: orchideen-wichmann.de\www
Trusted Zone: photocolor.de\www
Trusted Zone: profidialer.de\www
Trusted Zone: scotts-celaflor.de\www
Trusted Zone: t-online.de\www
Trusted Zone: vhs-kampus.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-USB2Check - REM RUNDLL32.EXE
HKLM-Run-NvCplDaemon - REM RUNDLL32.EXE
HKLM-Explorer_Run-LdB9pFGrA7 - c:\dokumente und einstellungen\All Users\Anwendungsdaten\kzcrmlqz\whypejyd.exe
AddRemove-Road Wars - c:\programme\spiele\Uninst.isu
AddRemove-Ultimate Terrain X - USA - c:\programme\Microsoft Games\Microsoft Flight Simulator X\UnInst.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3496)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Essentials\MsMpEng.exe
c:\programme\PC_Fehler\SbieSvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-11  12:48:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-11 10:48

Vor Suchlauf: 41 Verzeichnis(se), 50.023.141.376 Bytes frei
Nach Suchlauf: 45 Verzeichnis(se), 53.157.687.296 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut

- - End Of File - - 6FDA7CF64FBB54023CF4A243782585DC

--- --- ---

cosinus · 11.10.2010, 19:14

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

FCopy::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys

Driver::
SSHDRV76
SSHDRV86
ACEDRV06

File::
c:\windows\system32\drivers\SSHDRV76.sys
c:\windows\system32\drivers\SSHDRV86.sys
c:\windows\system32\drivers\ACEDRV06.sys

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

mani · 12.10.2010, 12:25

Hier das neue log-file:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-11.03 - xxx 12.10.2010  12:48:30.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2569 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

FILE ::
"c:\windows\system32\drivers\ACEDRV06.sys"
"c:\windows\system32\drivers\SSHDRV76.sys"
"c:\windows\system32\drivers\SSHDRV86.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ACEDRV06.sys
c:\windows\system32\drivers\SSHDRV76.sys
c:\windows\system32\drivers\SSHDRV86.sys

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACEDRV06
-------\Legacy_SSHDRV76
-------\Legacy_SSHDRV86
-------\Service_ACEDRV06
-------\Service_SSHDRV76
-------\Service_SSHDRV86


(((((((((((((((((((((((   Dateien erstellt von 2010-09-12 bis 2010-10-12  ))))))))))))))))))))))))))))))
.

2010-10-12 10:59 . 2010-10-12 10:59	53248	----a-w-	c:\temp\catchme.dll
2010-10-12 06:47 . 2010-09-09 22:52	6084944	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CA0A174C-D647-4CF0-9D9F-A26F2DCFA29D}\mpengine.dll
2010-10-11 06:33 . 2010-10-11 06:33	--------	d-----w-	C:\_OTL
2010-10-10 13:22 . 2010-10-10 13:22	--------	d-----w-	c:\programme\FSX Banking Camera
2010-10-08 06:22 . 2010-10-08 06:22	77312	----a-w-	C:\mbr.exe
2010-10-04 08:41 . 2010-10-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\mani
2010-10-01 06:58 . 2010-10-01 06:58	--------	d-----w-	c:\programme\ERUNT
2010-09-29 13:55 . 2010-09-29 13:55	--------	d-----w-	c:\programme\FreeTime
2010-09-29 13:45 . 2010-09-29 13:45	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-09-26 10:19 . 2008-04-14 05:52	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-26 10:07 . 2010-09-26 10:07	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Services
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll
2010-09-21 13:31 . 2010-09-21 13:32	--------	d-----w-	c:\programme\QuickTime
2010-09-17 06:14 . 2010-09-17 06:14	--------	d-----w-	c:\programme\Quicken2011

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tipguard.exe"="REM" [X]
"AutoStart-Manager"="REM" [X]
"Skype"="REM" [X]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]
"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegSweep"="REM" [X]
"iTunesHelper"="REM" [X]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]
backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]
S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]
S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]
S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-09-10 c:\windows\Tasks\ConfigExec.job
- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]

2009-11-28 c:\windows\Tasks\Driver Robot.job
- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]

2010-10-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job
- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Microsoft Internet Explorer
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm
IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm
IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: 1und1.com\www
Trusted Zone: 1und1.de\login
Trusted Zone: cortalconsors.de\www
Trusted Zone: dresdner-privat.de\www
Trusted Zone: entriq.net\man
Trusted Zone: fundorado.de\www
Trusted Zone: impotenz-selbsthilfe.de\www
Trusted Zone: iww.de\www.blopress
Trusted Zone: medikamente-im-test.de\www
Trusted Zone: orchideen-kuhlmann.de\www
Trusted Zone: orchideen-wichmann.de\www
Trusted Zone: photocolor.de\www
Trusted Zone: profidialer.de\www
Trusted Zone: scotts-celaflor.de\www
Trusted Zone: t-online.de\www
Trusted Zone: vhs-kampus.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3000)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Essentials\MsMpEng.exe
c:\programme\PC_Fehler\SbieSvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-12  13:05:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-12 11:05
ComboFix2.txt  2010-10-11 10:48

Vor Suchlauf: 44 Verzeichnis(se), 53.100.265.472 Bytes frei
Nach Suchlauf: 45 Verzeichnis(se), 53.073.379.328 Bytes frei

- - End Of File - - B3D3CA1A07E5048967D0671980441DB5

--- --- ---

cosinus · 12.10.2010, 13:27

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

07.10.2010, 20:30	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Wie die Kopie eines Virus entfernen? Hallo und Hat Malwarebytes nichts gefunden oder postest Du nur das Log ohne Funde? __________________ __________________

08.10.2010, 11:33	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Wie die Kopie eines Virus entfernen? Das beantwortet nicht meine Frage! Um den MBR kümmern wir uns später! __________________ Logfiles bitte immer in CODE-Tags posten

Wie die Kopie eines Virus entfernen?

Plagegeister aller Art und deren Bekämpfung: Wie die Kopie eines Virus entfernen?