Hallo..
ich habs es tagelang alleine versucht, jetzt bitte ich um Eure Hilfe..

Mein PC hat Viren gefunden, die ich bereits mit mehreren Programmen, gelöscht habe.
Dennoch kann ich nicht mehr auf die Microsoft Seite zugreifen und Updates machen. Ich muss gestehen, ich war noch nie in einem Forum. Ich hoffe also ich mache nun alles richtig hier..

Dies waren die Viren der letzten 10? Tage:
TR/Hioti.1.32
TR/Drop.Softomat.AN
Java/Dldr.Agent

Alten Systemwiederherstellungspunkt gesucht, hat auch nichts gebracht.

Malware / OTL und weitere Programme runtergeladen und durchlaufen lassen.

Im Anhang habe ich ein paar Berichte der Programme eingefügt.

Ich würde mich sehr freuen, wenn mir jemand helfen kann! Bzw. wenn sich jemand die Mühe macht mit mir, als eher unerfahrenen PC Menschen zu kommunizieren!

Vielen lieben Dank Jenny

Hallo und

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.11.03 05:42:30 | 000,000,698 | ---- | M] () - C:\autoAlbum.log -- [ NTFS ]
O32 - AutoRun File - [2004.08.10 13:00:00 | 000,000,112 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\Shell - "" = AutoRun
O33 - MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O33 - MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\Shell\AutoRun\command - "" = D:\SETUP.EXE -- [2004.08.10 13:00:00 | 002,584,576 | R--- | M] (Microsoft Corporation)
[2010.11.01 11:03:10 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Mvicofusocacez.bin
[2010.10.28 19:37:29 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Khuxobawut.dat
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DD4DD9B9
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Cosinus,
erst einmal DANKE, dass Du mir geantwortet hast! Ich habe mich sehr gefreut als ich heute die Nachricht erhalten habe!

Und hier der Text, den konnte ich zwar nicht als Anhang verschicken, aber einfügen..
Als ich fertig war mit dem Auftrag, hat sich nachdem ich bei Fixen auf OK geklickt habe automatisch, bevor der Logfile geöffnet wurde, jene Seite geöffnet: twaute.com/tre/VENA.exe mit dem Hinweis: gefährliche Seite, sofort schließen! Was auch immer das bedeutet?
Falls das wichtig ist, bevor ich Deine Anweisungen befolgt habe, musste ich mich bei Windows neu aktivieren. Konnte danach aber immer noch keine Updates machen.

Hab DANK,
Jenny

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoAlbum.log moved successfully.
File D:\AUTORUN.INF not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fe0002c-2875-11de-92c2-00e04cdb0dce}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c2eee36-3029-11da-90d7-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c2eee36-3029-11da-90d7-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7c2eee36-3029-11da-90d7-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7c2eee36-3029-11da-90d7-806d6172696f}\ not found.
File D:\SETUP.EXE not found.
C:\WINDOWS\Mvicofusocacez.bin moved successfully.
C:\WINDOWS\Khuxobawut.dat moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMPD4DD9B9 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: admin
->Temp folder emptied: 711967280 bytes
->Temporary Internet Files folder emptied: 8669150 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 91768614 bytes
->Flash cache emptied: 4085 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Gast
->Temp folder emptied: 110775 bytes
->Temporary Internet Files folder emptied: 2714412 bytes
->Flash cache emptied: 300 bytes

User: LocalService
->Temp folder emptied: 66094 bytes
->Temporary Internet Files folder emptied: 4156809 bytes
->Flash cache emptied: 3638 bytes

User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 7907446 bytes
->Java cache emptied: 559 bytes
->Flash cache emptied: 2265 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1225817 bytes
%systemroot%\System32 .tmp files removed: 2956 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 24192 bytes
Windows Temp folder emptied: 26438936 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 816,00 mb

OTL by OldTimer - Version 3.2.17.2 log created on 11052010_162031
Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF1548.tmp not found!
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF15F3.tmp not found!
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF165F.tmp not found!
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF1681.tmp not found!
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF3FE4.tmp not found!
File\Folder C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\~DF3FFC.tmp not found!
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KBEX0BBR\92490-virusfund-kein-zugriff-auf-windows-updates-mehr-moeglich[1].html moved successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K717ZKX0\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K1JYAGB5\iframes_api_loader[1].html moved successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7LXHFLPL\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\SuggestedSites.dat moved successfully.
File\Folder C:\WINDOWS\temp\27E2B1.dmp not found!
File\Folder C:\WINDOWS\temp\27E4C4.tmp not found!
Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,
schwere Geburt, aber jetzt müsste alles funktioniert haben.
Internet bricht immer wieder zusammen..
Virusprogramm wollte sich auch nicht abstellen lassen, also mußtes ich es deinstalieren. Updateseite weiterhin für mich nicht erreichbar.
Anbei Bericht:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-11-06.01 - admin 07.11.2010  21:24:46.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1166 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\Cofi.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system\msiosd32.dll
c:\windows\system32\Thumbs.db

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-07 bis 2010-11-07  ))))))))))))))))))))))))))))))
.

2010-11-05 15:20 . 2010-11-05 15:20	--------	d-----w-	C:\_OTL
2010-11-04 00:43 . 2010-11-04 00:43	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-11-03 16:13 . 2010-11-03 16:16	--------	dc-h--w-	c:\windows\ie8
2010-11-03 15:14 . 2010-11-03 15:14	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-11-01 18:47 . 2010-11-01 18:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-01 18:47 . 2010-11-01 18:47	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-01 18:47 . 2010-11-01 18:48	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-11-01 18:10 . 2010-11-01 18:10	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Malwarebytes
2010-11-01 18:10 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-01 18:10 . 2010-11-01 18:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-01 18:10 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-01 18:10 . 2010-11-01 18:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-01 14:25 . 2010-11-01 14:25	--------	d-----w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\PCHealth
2010-11-01 14:12 . 2010-11-01 14:12	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Uniblue
2010-10-29 15:57 . 2010-10-29 15:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2010-10-29 15:54 . 2010-10-29 15:54	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Epson
2010-10-29 15:54 . 2010-10-29 15:56	--------	d-----w-	c:\programme\Epson Software
2010-10-29 15:53 . 2010-10-29 15:53	--------	d-----w-	c:\programme\epson
2010-10-29 15:51 . 2010-11-01 14:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2010-10-19 13:59 . 2010-11-01 14:12	--------	d-----w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\{4ED25955-0D2C-4822-A53A-EB4199C49C98}
2010-10-19 13:57 . 2010-10-19 13:57	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-19 13:56 . 2010-10-19 13:56	--------	d-----w-	C:\DBControl
2010-10-19 13:56 . 2010-10-19 13:56	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\DBControl
2010-10-19 13:56 . 2010-10-19 13:56	--------	d-----w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\DBControl

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 13:17 . 2004-08-10 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2009-10-22 16:23 . 2009-10-22 16:23	997413	----a-w-	c:\programme\DSL-Speedtest.exe
2009-10-18 15:51 . 2009-10-18 15:51	18527244	----a-w-	c:\programme\vlc-1.0.2-win32.exe
2009-10-18 15:32 . 2009-10-18 15:32	7903088	----a-w-	c:\programme\Firefox_Setup_3.5.3de.exe
2009-10-16 22:24 . 2009-10-16 22:24	21128536	----a-w-	c:\programme\DivXInstaller72.exe
2009-08-14 12:06 . 2009-08-14 12:05	29011992	----a-w-	c:\programme\FileFormatConverters.exe
2009-05-22 13:50 . 2009-05-22 13:48	30143040	----a-w-	c:\programme\avira 9_antivir_personal_de.exe
2008-12-04 23:43 . 2008-12-04 23:11	119789573	----a-w-	c:\programme\OOo_2.4.2_Win32Intel_install_de.exe
2008-12-04 22:52 . 2008-12-04 22:52	3895976	----a-w-	c:\programme\xlviewer.exe
2008-05-13 16:38 . 2008-05-13 16:38	879832	----a-w-	c:\programme\Google_Updater.exe
2008-04-30 01:23 . 2008-04-30 01:22	11681616	----a-w-	c:\programme\NapsterSetup-DE-3.8.1.4.exe
2008-04-18 02:25 . 2008-04-18 02:25	236848	----a-w-	c:\programme\msls210.exe
2008-04-18 02:09 . 2008-04-18 02:09	8897792	----a-w-	c:\programme\Motorola_Software_Update.exe
2008-04-17 00:31 . 2008-04-17 00:31	23700784	----a-w-	c:\programme\QuickTimeInstaller.exe
2003-01-13 08:59 . 2006-04-21 20:58	278528	------w-	c:\programme\internet explorer\plugins\PanoViewer.dll
1999-04-30 14:00 . 2006-04-21 20:58	98304	------w-	c:\programme\internet explorer\plugins\UPjpeg.dll
.

------- Sigcheck -------

[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 12:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-06-10 3809280]
"nwiz"="nwiz.exe" [2004-06-10 831488]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-06-10 81920]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"starter4g"="c:\windows\starter4g.exe" [2008-08-19 152848]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2005-10-05 26112]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Gast\Startmen�\Programme\Autostart\
1&1 SmartSurfer.lnk - c:\programme\1&1\1&1 SmartSurfer\SmartSurfer.exe [2006-5-3 1355776]

c:\dokumente und einstellungen\admin\Startmen�\Programme\Autostart\
Netzmanager.lnk - c:\programme\Netzmanager\netzmanager.exe [2010-3-22 1540096]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2009-5-9 1122304]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^1&1 SmartSurfer.lnk]
path=c:\dokumente und einstellungen\admin\Startmenü\Programme\Autostart\1&1 SmartSurfer.lnk
backup=c:\windows\pss\1&1 SmartSurfer.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk
backup=c:\windows\pss\HP Image Zone Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SystemControl.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SystemControl.lnk
backup=c:\windows\pss\SystemControl.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Versato.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Versato.lnk
backup=c:\windows\pss\Versato.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2004-08-10 02:04	59392	-c--a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICEKEYBOARD]
2005-10-25 23:25	215040	----a-w-	c:\programme\Office keyboard utility\1.2\OFFICEKB.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2004-05-12 13:18	241664	-c--a-w-	c:\programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-02-16 21:11	49152	-c--a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-08-11 14:30	249856	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 08:44	81920	------r-	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaKey]
2002-11-06 03:20	155648	----a-w-	c:\progra~1\TASTAT~1\MEDIAKEY.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	------w-	c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-07-14 19:35	1961984	------w-	c:\programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2005-10-05 12:59	26112	----a-w-	c:\programme\Real\RealPlayer\realplay.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\CeWe Color\\Mein CeWe Fotobuch\\Mein CeWe Fotobuch.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\Motorola\\Software Update\\msu.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Dokumente und Einstellungen\\admin\\Desktop\\Cofi.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"= 

R?2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 15:40 9728]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01.12.2008 23:32 717296]
R1 BS_I2cIo;BS_I2cIo;c:\windows\system32\drivers\BS_I2cIo.sys [28.09.2005 13:46 5120]
R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\msikbd2k.sys [26.10.2005 00:25 6656]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 4G USB-Plug Service;4G USB-Plug Service;c:\windows\service4g.exe [15.04.2009 11:08 120080]
R2 HWiNFO32;HWiNFO32 Kernel Driver;c:\programme\HWiNFO32\HWiNFO32.SYS [02.12.2008 02:50 15976]
R2 MotoConnect Service;MotoConnect Service;c:\programme\Motorola\MotoConnectService\MotoConnectService.exe [01.08.2010 18:35 91392]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [15.04.2009 11:07 267720]
R3 ITECIR;ITE CIR Driver;c:\windows\system32\drivers\ITECIR.sys [28.09.2005 13:42 7366]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 23:30 135664]
S2 nhksrv;Netropa NHK Server;c:\programme\Office keyboard utility\1.2\NHKSRV.EXE [26.10.2005 00:25 28672]
S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [17.10.2006 21:16 6016]
S3 cm_ser;C-motech USB Serial Port2 Driver;c:\windows\system32\drivers\cm_ser.sys [13.04.2009 22:54 103680]
S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?]
S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?]
S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys --> c:\windows\system32\DRIVERS\motccgp.sys [?]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys --> c:\windows\system32\DRIVERS\motccgpfl.sys [?]
S3 MotDev;Motorola Inc. USB Device;c:\windows\system32\DRIVERS\motodrv.sys --> c:\windows\system32\DRIVERS\motodrv.sys [?]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys --> c:\windows\system32\DRIVERS\RTL8187.sys [?]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-11-07 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-13 12:41]

2010-11-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 22:30]

2010-11-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 22:30]

2010-11-07 c:\windows\Tasks\User_Feed_Synchronization-{DE56C4B2-0B22-4DD3-94A3-36F622B3CD35}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]

2009-10-19 c:\windows\Tasks\WebReg 20091019085619.job
- c:\programme\HP\Digital Imaging\bin\hpqwrg.exe [2004-05-28 20:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uInternet Settings,ProxyOverride = *.local
TCP: {AEB842F3-12C1-47A6-ACE5-CB3DE6F5E175} = 192.168.0.1
TCP: {F3141C90-74AA-463E-A484-3661EAE1F501} = 192.168.1.254
DPF: {28B66320-9687-4B13-8757-36F901887AB5} - hxxp://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxps://photoservice.fujicolor.de/ips-opdata/objects/jordan-canvasx.cab
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://www.ifolor.de/ORDERINGGENERAL/LowRes/app_support/_2_1_6/ActiveX/IfolorUploader_chkr.cab
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxps://safe.tele2.com/inc/accounthelper.cab
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\lirwwpdc.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CHotkey - mHotkey.exe
MSConfigStartUp-AOLDialer - c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
MSConfigStartUp-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-07 21:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2010-11-07  21:39:13
ComboFix-quarantined-files.txt  2010-11-07 20:38

Vor Suchlauf: 15 Verzeichnis(se), 12.870.254.592 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 12.772.675.584 Bytes frei

- - End Of File - - 13059BB9577F0E4F632CDA2730FAACAA
         

--- --- ---

Bitte diese Datei herunterladen => File-Upload.net - MsPMSNSv.dll
und direkt auf C: abspeichern. Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

FCopy::
c:\mspmsnsv.dll | c:\windows\system32\mspmsnsv.dll
c:\mspmsnsv.dll | c:\windows\system32\dllcache\mspmsnsv.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,
Nach der letzten Ausführung von Combofix, komme ich mit meinem Rechner nun gar nicht mehr ins Netz. Bzw. meine Wlan-Drahtlosverbindung will nicht mehr funktionieren. ( Ich glaube Combofix hat irgendetwas mit meiner IP-Adresse angestellt ) Es wird also schwer Deine Anweisungen auszuführen, ohne das mein Rechner ins Netz kann. Ich konnte somit also auch keine Wiederherstellungskonsole installieren, die angefordert wurde, kann also sein das der neue Bericht nun Fehler enthält! Hab seit gestern stundenlang versucht meine Wlan Verbindung wieder herzustellen, geht aber nichts mehr.

Nun also von einem anderen Rechner, die neue Log.Datei anbei, hoffentlich ohne Fehler.

Ok, dann lass uns mal einen Schritt rückgängig machen:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

DEQUARANTINE::
C:\Qoobox\Quarantine\C\windows\system32\mspmsnsv.dll
C:\Qoobox\Quarantine\C\windows\system32\dllcache\mspmsnsv.dll
QUIT::
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bin dabei, aber PC sagt mir immer wieder, der Antivir Scanner wäre noch aktiv (was eigentlich nicht sein kann, weil ich Avir ganz deinstaliert habe)
Ich weiß nicht, wo genau ich nachsehen kann, welche Guards alle noch stören könnten?
Abgesehen davon, dass ich bis eben nicht wußte was Guards sind ;-]
Combofix, läuft dennoch gerade..

So fertig..

WLAN bzw. Internetverbindung geht wieder?

Ich schau da zwar nicht jeden Tag rein, aber seit neustem ist mein Taskmanger auch so voll.. Also ich meine die Prozessse, die laufen, obwohl nicht ein Programm angeschaltet ist.. Hab aber keine Ahnung, von sowas..
Da ich es aber komisch findet und Du vielleicht diese Infos brauchst habe ich jetzt mal alle Prozesse aufgeschrieben, siehe Anhang. Vielleicht ist da ja die Lösung drin?
Ich sag, wie immer DANKE, dass Du immer antwortest!
Lg Jenny

Nein, anderer Rechner. Geht leider immer noch nicht.

Rechner neugestartet? Den Schritt mit CF haben wir rückgängig gemacht, daran konnte es nicht liegen. Fehlermeldung?

Hallo Arne,
bin wieder online habe alles neu installiert, WLAN USB Stick etc. und läuft!

Du hast zu meinem letzten Beitrag gar nichts mehr geschrieben. Sind wir jetzt fertig? Zeigt meine letzte Log Datei Combofix.txt keine Fehler bzw. Viren mehr an??

Neu ist seit wir Combofix. eingesetzt haben:
Es öffnet sich jetzt immer beim hochfahren der Assistent für neue Hardware: "Audiocontroler für Multimedia" ich soll Software installieren von Liste oder automatisch..? Ich habe doch gar keine Multimedia installiert? Wie bekomme ich den Assistenten ausgeschaltet?
Und auch nach dem Starten/ Hochfahren wird angezeigt, Windows Firewall ist nicht aktiv - Sicherheitswahrnung. Sie ist aber aktiv, bzw. eingeschaltet.
Und alles Letztes diese Fehlermeldung: rundll32.exe reagiert nicht
läuft aber alles.. weiß nicht was das bedeutet..

Also falls wir mit allem durch sind.. Sag ich mal Danke, Danke, Danke! Und geh jetzt mal spenden!

Wohlmöglich, oder wenn erlaubt?? melde ich mich die Tage aber erneut, denn unser anderer Rechner hat zeitgleich mit meinem schlapp gemacht. Fährt aber nur bis zum Windows XP Schriftzug hoch und hört dann auf, bzw. es dreht sich eine endlos Schleife, beginnt immer wieder Neustart kommt bis zum Windows Logo und wieder von vorne.. Weiß nicht wie ich ihn gestartet bekomme. Glaube das es der selbe Virus ist, denn es war ungefähr der gleiche Tag an dem es beiden Rechnern Probleme bereitete.

Hab vielen lieben Dank für alles,
Jenny