Windowsupdates blockiert+Nebenerscheinungen

Maistrovo · 11.12.2010, 13:03

Hallo liebes Forum, bin absoluter Neuling hier

Ich habe diverse Probleme auf meinem Rechner, ich vermute es ist ein Trojaner der alle Updateversuche blockiert. Nun habe ich auch kleinere Probleme (ständige Malewarefunde) die wahrscheinlich die Folge des ersteren Problems sind.

Symptome:
- alle Windowsupdateversuche schlagen fehl (Windows Update, Windows Defender, Microsoft Security Essentials) Fehlercode. 80072efe
- es öffnen sich ständig irgentwelche unbekannten Tabs, selbstständig, in Firefox
- Es kommt ständig die Felermeldung. "Der Hostprozess für Windowsdienste wurde beendet und geschlossen"
- es können keinerlei Systemwiederherrstelungspunkte gefunden werden
- (manchmal) hägt sich der Rechner beim Herunterfahren/Abmelden auf
- ich kann nicht auf Microsofts Update-Seite zugreifen, und hier im Board kein neues Thema eröffnen (Verbindung wird beim Laden der Seite zurückgesetzt)

Was ich bereits unternommen habe:
- Avira drüberlaufen lassen, hat anfangs ein paar Viren gefunden, jetzt aber keine mehr (Avira lässt sich updaten)
- SUPERAntySpyware findet ständig immer welche Maleware, die ich ständig entferne, aber immer wieder auftaucht (für Tabs in Firefox verantwortlich)
- in zig Foren nachgeschaut (Dr. Windows, Chip, Trojaner Board, konnte nichts finden, das genau mit meinem Problem übereinstimmt)
- die Host-datei mehrere mal auf eine vorinstalierte Version gebracht

nun ich bin schon lange ratos und hab das Problem ca. 2 Monate auf Eis gelegt, weil es mich ja nicht so stark beeinträchtigt, nun würde ich aber dem ganzen ein Ende bereiten. Danke im Voraus für alle Hilfe und bitte einfach und verständlich erklären, bin halt ein Dummi

HIJackThis, OTL Logs im Anhang

cosinus · 13.12.2010, 11:25

Zitat:

- Avira drüberlaufen lassen, hat anfangs ein paar Viren gefunden, jetzt aber keine mehr (Avira lässt sich updaten)
- SUPERAntySpyware findet ständig immer welche Maleware, die ich ständig entferne, aber immer wieder auftaucht (für Tabs in Firefox verantwortlich)

Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Maistrovo · 15.12.2010, 12:10

ok hab verstanden

hier die einzigen Funde von Malwarebytes (sind 2 Logs)+ neuester Hijjack Log, wie gesagt die Probleme sind unverändert, selbst nachdem das untere hier gelöscht wurde.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5237

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

03.12.2010 13:08:49
mbam-log-2010-12-03 (13-08-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 66192
Laufzeit: 18 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5237

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

04.12.2010 15:20:40
mbam-log-2010-12-04 (15-20-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 275139
Laufzeit: 1 Stunde(n), 4 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\ShopperReports.Reporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E8790271B076545332AB94 (Malware.Trace) -> Value: SRS_IT_E8790271B076545332AB94 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Public\Desktop\cryptload_1.1.8\ocr\netload.in\asmcaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
c:\Users\Public\Desktop\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
c:\program files\common files\file.exe (Rogue.InternetAntiVirus) -> Quarantined and deleted successfully.
c:\program files\common files\internetantiviruspro.exe (Rogue.InternetAntiVirus) -> Quarantined and deleted successfully.

cosinus · 15.12.2010, 12:14

Zitat:

Datenbank Version: 5237

Die DBs sind ein wenig alt. Bitte Malwarebytes updaten und einen Vollscan wiederholen.

BataAlexander · 15.12.2010, 12:38

cryptload_1.1.8

cosinus · 15.12.2010, 13:17

Zitat:

Zitat von BataAlexander

cryptload_1.1.8

Ist mir nicht entgangen. Mal sehen was da noch zum Vorschein kommt

Maistrovo · 15.12.2010, 13:59

Habt ihr mich falsch verstanden? Die Malwarebytes Logs sind die ersten überhaupt, nur in den ersten 2 wurde etwas gefunden (siehe oben)

Egal nun hab ich Malwarebytes nochmal aktualisiert und gleich einen Vollscan gemacht, wie erwartet keinerlei Funde, nirgentwo, genauso wie bei allen letzten Scans

PS: wieso Crypload infiziert wurde, kann ich mir nicht erklären, hab es ja schon runtergeladen als mein System schon befallen war, hab es schon vor einer Weile gelöscht, Sytmtome bleiben

cosinus · 15.12.2010, 14:59

Zitat:

Egal nun hab ich Malwarebytes nochmal aktualisiert und gleich einen Vollscan gemacht, wie erwartet keinerlei Funde, nirgentwo, genauso wie bei allen letzten Scans

Ja, das weiß man aber erst nachdem man es auch tatsächlich gemacht hat.
"Erwarten" ist das eine, eine Überprüfung mit aktuellen Signaturen eine andere Sache und die Logs der ersten beiden Scans sind ja schon über ne Woche alt

Das OTL-Log ist rel. unauffällig, mach mal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Maistrovo · 16.12.2010, 14:45

ich hab jetzt CF ausgeführt, hab davor geschlossen was ging, hab GData und Microsoft Security Essentials deaktiviert (CF hat trotzdem gesagt das sie arbeiten, hab ich ingonriert) und sogar Internet abgetrennt)

irgentwie ist jetzt ein IE-Icon auf meinem Desktop aufgetaucht und kein Programm lässt sich jetzt ausführen, Fehlermeldung "Es wurde versucht einen Registrierungsschlüssel einem unzuläsigem Vorgang zu unterziehen der zum Löschen markiert wurde." (weiß nicht ob das nach Neustart weggehen sollte)

hat kurz nach dem Scan Root Kit Warnung gegeben, neugestartet und hier ist der Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-14.07 - anton 16.12.2010  13:58:26.1.4 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3071.1928 [GMT 1:00]
ausgeführt von:: c:\users\Public\Desktop\cofi.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
AV: G Data InternetSecurity 2010 *Enabled/Outdated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}
AV: Microsoft Security Essentials *Enabled/Outdated* {BF5CEBDC-F2D3-7540-343C-F0CE11FD6E66}
FW: G Data Personal Firewall *Enabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Microsoft Security Essentials *Enabled/Outdated* {043D0A38-D4E9-7ACE-0E8C-CBBC6A7A24DB}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Im Speicher befindliches AV aktiv.

.
PEV Error: CacheFile
PEV Error: CacheFolder

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\install.exe
C:\killosixxx.exe
c:\killosixxx.exe\config.bin
c:\users\anton\AppData\Local\cgmweoq.dat
c:\users\anton\AppData\Local\cgmweoq_nav.dat
c:\users\anton\AppData\Local\cgmweoq_navps.dat
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

Infizierte Kopie von c:\windows\ehome\ehrecvr.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-ehome-services-ehrecvr_31bf3856ad364e35_6.0.6000.20659_none_bbdfcd413db5db9f\ehrecvr.exe wurde wiederhergestellt 

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2010-11-16 bis 2010-12-16  ))))))))))))))))))))))))))))))
.

2010-12-16 13:07 . 2010-12-16 13:11	--------	d-----w-	c:\users\anton\AppData\Local\temp
2010-12-16 13:07 . 2010-12-16 13:07	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-12-16 13:07 . 2010-12-16 13:07	--------	d-----w-	c:\users\ADMINI~1\AppData\Local\temp
2010-12-16 12:45 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B430855D-8941-417F-A4C0-6BAD9EFE2072}\mpengine.dll
2010-12-16 09:50 . 2010-12-16 09:51	--------	d-----w-	c:\program files\CCleaner
2010-12-04 17:39 . 2010-12-04 17:43	--------	d-----w-	c:\users\anton\AppData\Roaming\vlc
2010-12-03 11:44 . 2010-12-03 11:44	--------	d-----w-	c:\users\anton\AppData\Roaming\Malwarebytes
2010-12-03 11:44 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-03 11:44 . 2010-12-03 11:44	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-03 11:43 . 2010-12-03 11:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-03 11:43 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-10-03 08:41	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-18 07:41 . 2010-10-25 14:00	6146896	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"ScemesMonitor"="c:\program files\Sceneo\TVcentral-v4\Scemes\MediaMon.exe" [2008-10-24 855040]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2007-01-02 83568]
"GDFirewallTray"="c:\program files\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe" [2009-09-24 1124424]
"G DATA AntiVirus Trayapplication"="c:\program files\G DATA\InternetSecurity\AVKTray\AVKTray.exe" [2009-09-18 924232]
"TVBroadcast"="c:\program files\Sceneo\VistaTV\SERVICES\ODSBC\ODSBCApp.exe" [2008-10-23 925696]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-05-27 413696]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-09-15 1094224]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

c:\users\anton\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Radio.fx.LNK]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Radio.fx.LNK
backup=c:\windows\pss\Radio.fx.LNK.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44	248552	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 accvssvc;AccSys WLAN Control Service;c:\program files\Common Files\AccSys\AccVSSvc.exe [2008-07-09 131072]
S2 AVKProxy;G Data AntiVirus Proxy;c:\program files\Common Files\G DATA\AVKProxy\AVKProxy.exe [2009-12-07 1128008]
S2 AVKService;G Data Scheduler;c:\program files\G DATA\InternetSecurity\AVK\AVKService.exe [2009-08-08 397896]
S2 AVKWCtl;G Data Dateisystem Wächter;c:\program files\G DATA\InternetSecurity\AVK\AVKWCtl.exe [2009-11-25 1251488]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-12-16 c:\windows\Tasks\User_Feed_Synchronization-{095E254B-69B6-4869-9A40-35B294C89679}.job
- c:\windows\system32\msfeedssync.exe [2010-08-11 04:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\users\anton\AppData\Roaming\Mozilla\Firefox\Profiles\5kt958ih.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: G Data WebFilter: {9AA46F4F-4DC7-4c06-97AF-5035170633FE} - c:\program files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: DictionarySearch: {a0faa0a4-f1a7-4098-9a74-21efc3a92372} - %profile%\extensions\{a0faa0a4-f1a7-4098-9a74-21efc3a92372}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Easy Youtube Video Downloader: {c0c9a2c7-2e5c-4447-bc53-97718bc91e1b} - %profile%\extensions\{c0c9a2c7-2e5c-4447-bc53-97718bc91e1b}
FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de
FF - Ext: Linkification: {35106bca-6c78-48c7-ac28-56df30b51d2a} - %profile%\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}
FF - Ext: BugMeNot: {987311C6-B504-4aa2-90BF-60CC49808D42} - %profile%\extensions\{987311C6-B504-4aa2-90BF-60CC49808D42}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-Locked - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKU-Default-Run-protomoxxx.exe - c:\protomoxxx.exe\protomoxxx.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-16 14:10
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD5000AAKS-07YGA0 rev.12.01C02 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-0

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x854FDEC5]<< 
_asm { PUSH EBP; MOV EBP, ESP; SUB ESP, 0x1c; PUSH EBX; PUSH ESI; MOV DWORD [EBP-0x4], 0x85b45872; SUB DWORD [EBP-0x4], 0x85b4512e; PUSH EDI; CALL 0xffffffffffffdf33;  }
1 nt!IofCallDriver[0x8207A14B] -> \Device\Harddisk0\DR0[0x85F422D0]
3 CLASSPNP[0x82B728B3] -> nt!IofCallDriver[0x8207A14B] -> [0x846E1898]
5 acpi[0x82A516BC] -> nt!IofCallDriver[0x8207A14B] -> [0x846F3A38]
[0x85461D98] -> IRP_MJ_CREATE -> 0x854FDEC5
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0;  }
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD5000AAKS-07YGA0___________________12.01C02#5&2937633b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi DriverStartIo -> 0x854FDAEA
user & kernel MBR OK 
sectors 976773166 (+255): user != kernel
Warning: possible TDL3 rootkit infection !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1751223794-1578487298-1609530666-1000\Software\Buhl Data Service\On4u2\VistaTV-MCE\ExtData*]
"OfflineKey"="n/HuF3hrIZjfXTvcvtojLJwqfnVTd4QIRwMMNJ+iSSRGvvGGmMxH8DlY5VXeqn2lQ5AyX4X5OUsKlnz0Q5Y5KS3wL0X5usbp1SQVgtQVDZUNZFMtxc41ZSYwchO27Gq2NSunCE+5vr+DtxYnPpGbQVWhbM0lNA0nFdTeEBpehI4L5pJ8Z+hBCaAQyPvrYL/qFssU9+Hb+HlU5i1Zs38uHQ==2oxOTY16QuzHOcwm196ROC025xOiG5w3w6OhTwkQQKc+mOY67fd89iWLKtLMKsyYfbZJQkfgwj8RE6To+XhPZQ=="
"InitTime"=dword:00009b26
"LastTime"=dword:00009cc3
"Keyindex"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\PSIService.exe
c:\program files\Tobit Radio.fx\Server\rfx-server.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Sceneo\Bonavista\Services\PVR\PVRService.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Common Files\G DATA\GDScan\GDScan.exe
c:\program files\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
c:\windows\system32\conime.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\Aurora.scr
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-16  14:16:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-16 13:16

Vor Suchlauf: 17 Verzeichnis(se), 256.216.342.528 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 256.063.901.696 Bytes frei

- - End Of File - - B07623181029AAB8DBD7D6C2389D398D

--- --- ---

cosinus · 16.12.2010, 16:49

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Maistrovo · 16.12.2010, 19:08

Hab hier die alles was du wolltest; OSAM und MBRCheck im Anhang

bin schon langsam müde die ganzen Logs hier zu machen, ich hoffe das bald eine Lösung verfügbar ist.

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-16 18:53:54
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdePort0 WDC_WD5000AAKS-07YGA0 rev.12.01C02
Running: gmer.exe; Driver: C:\Users\anton\AppData\Local\Temp\awlcrpog.sys

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sectors 976772912 (+255): rootkit-like behavior;

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-1 854FDAEA
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T1L0-3 854FDAEA
Device \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD5000AAKS-07YGA0___________________12.01C02#5&2937633b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- EOF - GMER 1.0.15 ----

cosinus · 16.12.2010, 20:33

Code:

ATTFilter

Size  Device Name          MBR Status
--------------------------------------------
ERROR Opening: \\.\PhysicalDrive0 (32)

Hast du mbrcheck per Rechtsklick als Admin ausgeführt?

Maistrovo · 17.12.2010, 11:54

Pardon, hier ist der MBRCheck Log als Admin:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: FUJITSU SIEMENS
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: FUJITSU SIEMENS
System Product Name: MS-7504VP
Logical Drives Mask: 0x000007fc

Kernel Drivers (total 155):
0x82018000 \SystemRoot\system32\ntoskrnl.exe
0x823C3000 \SystemRoot\system32\hal.dll
0x82803000 \SystemRoot\system32\kdcom.dll
0x8280A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x8287A000 \SystemRoot\system32\PSHED.dll
0x8288B000 \SystemRoot\system32\BOOTVID.dll
0x82893000 \SystemRoot\system32\CLFS.SYS
0x828D4000 \SystemRoot\system32\CI.dll
0x829B4000 \SystemRoot\system32\drivers\Wdf01000.sys
0x82A30000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x82A3D000 \SystemRoot\system32\drivers\acpi.sys
0x82A83000 \SystemRoot\system32\drivers\WMILIB.SYS
0x82A8C000 \SystemRoot\system32\drivers\msisadrv.sys
0x82A94000 \SystemRoot\system32\drivers\pci.sys
0x82ABB000 \SystemRoot\System32\drivers\partmgr.sys
0x82ACA000 \SystemRoot\system32\drivers\volmgr.sys
0x82AD9000 \SystemRoot\System32\drivers\volmgrx.sys
0x82B23000 \SystemRoot\system32\drivers\pciide.sys
0x82B2A000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82B38000 \SystemRoot\System32\drivers\mountmgr.sys
0x82B48000 \SystemRoot\system32\drivers\nvraid.sys
0x82B61000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x82B82000 \SystemRoot\system32\drivers\atapi.sys
0x82B8A000 \SystemRoot\system32\drivers\ataport.SYS
0x82BA8000 \SystemRoot\system32\drivers\vsmraid.sys
0x8A407000 \SystemRoot\system32\drivers\storport.sys
0x8A448000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A47A000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A48A000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8A494000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A505000 \SystemRoot\system32\drivers\ndis.sys
0x8A610000 \SystemRoot\system32\drivers\msrpc.sys
0x8A63B000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A676000 \SystemRoot\System32\drivers\tcpip.sys
0x8A760000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A803000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A913000 \SystemRoot\system32\drivers\wd.sys
0x8A91B000 \SystemRoot\system32\drivers\volsnap.sys
0x8A954000 \SystemRoot\System32\Drivers\spldr.sys
0x8A95C000 \SystemRoot\System32\Drivers\mup.sys
0x8A96B000 \SystemRoot\system32\drivers\GDBehave.sys
0x8A971000 \SystemRoot\System32\drivers\ecache.sys
0x8A998000 \SystemRoot\system32\drivers\disk.sys
0x8A9A9000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A9D2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A9DD000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8A9E6000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A9F5000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x8A9FD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8AA07000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8AA45000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8AA54000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8AAE1000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8AAF1000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8FC0E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x9066F000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x90671000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x90712000 \SystemRoot\System32\drivers\watchdog.sys
0x9071E000 \SystemRoot\system32\DRIVERS\PhilCap.sys
0x8AAFF000 \SystemRoot\system32\DRIVERS\ks.sys
0x907FB000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0x8AB29000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8FC00000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0x90C0B000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x90D08000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x90D11000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x90D40000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x90D4B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x90D62000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x90D6D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x90D90000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x90D9F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x90DB3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x90DC8000 \SystemRoot\system32\DRIVERS\termdd.sys
0x90DD8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x90DE3000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x90DEE000 \SystemRoot\system32\DRIVERS\swenum.sys
0x90DF0000 \SystemRoot\system32\DRIVERS\circlass.sys
0x90DFE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x90E08000 \SystemRoot\system32\DRIVERS\umbus.sys
0x90E15000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x90E4A000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x91004000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x911F3000 \SystemRoot\system32\drivers\portcls.sys
0x91220000 \SystemRoot\system32\drivers\drmk.sys
0x91245000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0x91268000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x91271000 \SystemRoot\System32\Drivers\Null.SYS
0x91278000 \SystemRoot\System32\Drivers\Beep.SYS
0x91288000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x9128F000 \SystemRoot\System32\drivers\vga.sys
0x9129B000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x912BC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x912C4000 \SystemRoot\system32\drivers\rdpencdd.sys
0x912CC000 \SystemRoot\System32\Drivers\Msfs.SYS
0x912D7000 \SystemRoot\System32\Drivers\Npfs.SYS
0x912E5000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x912EE000 \SystemRoot\system32\DRIVERS\tdx.sys
0x91304000 \SystemRoot\system32\DRIVERS\smb.sys
0x91318000 \SystemRoot\system32\drivers\afd.sys
0x91360000 \SystemRoot\System32\DRIVERS\netbt.sys
0x91392000 \SystemRoot\system32\DRIVERS\pacer.sys
0x913A8000 \SystemRoot\system32\DRIVERS\netbios.sys
0x913B6000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x913C9000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x913D2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x913E2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x90E5B000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
0x913E4000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x913EC000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
0x90E7D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x913F2000 \SystemRoot\system32\drivers\nsiproxy.sys
0x90EB9000 \??\C:\Windows\system32\drivers\GRD.sys
0x90ECF000 \SystemRoot\system32\DRIVERS\gdwfpcd32.sys
0x90EDC000 \SystemRoot\System32\Drivers\dfsc.sys
0x90EF3000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9127F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x90F1F000 \SystemRoot\system32\DRIVERS\sis163u.sys
0x90F55000 \SystemRoot\System32\Drivers\crashdmp.sys
0x90F62000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x90F6D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x81800000 \SystemRoot\System32\win32k.sys
0x90F75000 \SystemRoot\System32\drivers\Dxapi.sys
0x90F7F000 \SystemRoot\system32\DRIVERS\monitor.sys
0x81A20000 \SystemRoot\System32\TSDDD.dll
0x81A40000 \SystemRoot\System32\cdd.dll
0x81A50000 \SystemRoot\System32\ATMFD.DLL
0x90F8E000 \SystemRoot\system32\drivers\luafv.sys
0x8AB41000 \SystemRoot\system32\drivers\spsys.sys
0x90FB1000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x90FC1000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x90FEB000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8A9B2000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x8A77B000 \SystemRoot\system32\drivers\HTTP.sys
0x82BC6000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x82BE3000 \SystemRoot\system32\DRIVERS\bowser.sys
0x8A7E8000 \SystemRoot\System32\drivers\mpsdrv.sys
0xA200D000 \SystemRoot\system32\drivers\mrxdav.sys
0xA202E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA204D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0xA2086000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0xA209E000 \SystemRoot\System32\DRIVERS\srv2.sys
0xA20C5000 \SystemRoot\System32\DRIVERS\srv.sys
0xA2128000 \SystemRoot\System32\Drivers\adfs.SYS
0xA2139000 \SystemRoot\system32\drivers\peauth.sys
0xA2217000 \SystemRoot\System32\Drivers\secdrv.SYS
0xA2221000 \SystemRoot\System32\drivers\tcpipreg.sys
0xA2254000 \??\C:\Windows\system32\drivers\HookCentre.sys
0xA2261000 \??\C:\Windows\system32\drivers\MiniIcpt.sys
0xA226D000 \??\C:\Windows\system32\drivers\PktIcpt.sys
0xA227D000 \SystemRoot\system32\DRIVERS\cdfs.sys
0xA23A1000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xA2356000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0xA236B000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
0x770F0000 \Windows\System32\ntdll.dll

Processes (total 61):
0 System Idle Process
4 System
424 C:\Windows\System32\smss.exe
496 csrss.exe
556 C:\Windows\System32\wininit.exe
564 csrss.exe
600 C:\Windows\System32\services.exe
612 C:\Windows\System32\lsass.exe
620 C:\Windows\System32\lsm.exe
648 C:\Windows\System32\winlogon.exe
816 C:\Windows\System32\svchost.exe
860 C:\Windows\System32\nvvsvc.exe
888 C:\Windows\System32\svchost.exe
948 C:\Program Files\Microsoft Security Essentials\MsMpEng.exe
1144 C:\Windows\System32\svchost.exe
1172 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\svchost.exe
1272 C:\Windows\System32\audiodg.exe
1364 C:\Windows\System32\svchost.exe
1392 C:\Windows\System32\SLsvc.exe
1488 C:\Windows\System32\svchost.exe
1532 C:\Windows\System32\nvvsvc.exe
1616 C:\Windows\System32\svchost.exe
1888 C:\Windows\System32\spoolsv.exe
1912 C:\Windows\System32\svchost.exe
476 C:\Program Files\Common Files\AccSys\accvssvc.exe
800 C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
872 C:\Program Files\G DATA\InternetSecurity\AVK\AVKService.exe
1160 C:\Program Files\G DATA\InternetSecurity\AVK\AVKWCtl.exe
372 C:\Windows\System32\svchost.exe
1328 C:\Windows\System32\PSIService.exe
2060 C:\Program Files\Tobit Radio.fx\Server\rfx-server.exe
2084 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
2232 C:\Program Files\Sceneo\Bonavista\Services\PVR\pvrservice.exe
2268 C:\Windows\System32\svchost.exe
2372 C:\Windows\System32\svchost.exe
2468 C:\Windows\System32\SearchIndexer.exe
2748 C:\Program Files\Common Files\G DATA\GDScan\GDScan.exe
2864 C:\Program Files\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
3696 C:\Windows\System32\taskeng.exe
5016 WUDFHost.exe
5048 C:\Windows\servicing\TrustedInstaller.exe
5736 C:\Windows\System32\dwm.exe
5768 C:\Windows\explorer.exe
5852 C:\Windows\System32\taskeng.exe
6080 C:\Program Files\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
6092 C:\Program Files\G DATA\InternetSecurity\AVKTray\AVKTray.exe
6104 C:\Program Files\Sceneo\VistaTV\Services\ODSBC\ODSBCApp.exe
3872 C:\Program Files\Microsoft Security Essentials\msseces.exe
1904 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
3524 C:\Windows\ehome\ehtray.exe
3924 C:\Program Files\Sceneo\TVcentral-v4\Scemes\MediaMon.exe
1204 C:\Program Files\Windows Media Player\wmpnscfg.exe
3852 C:\Program Files\Windows Media Player\wmpnetwk.exe
3392 C:\Windows\System32\msfeedssync.exe
4124 C:\Windows\ehome\ehmsas.exe
4056 C:\Windows\System32\wuauclt.exe
2940 C:\Windows\System32\SearchProtocolHost.exe
4068 C:\Windows\System32\SearchFilterHost.exe
3340 C:\Users\Public\Desktop\MBRCheck.exe
708 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`ee100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000004e`c4400000 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAKS-07YGA0, Rev: 12.01C02

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

cosinus · 17.12.2010, 13:30

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Maistrovo · 18.12.2010, 16:01

Hä? Was soll denn bitte schön ok sein? Ich hab jetzt einen haufen Logs gemacht, aber das Problem ist völlig unverändert, nichts hat sich verändert

ich hab jetzt Malwarebytes aktualisiert und drüber laufen lassen, wie erwartet hat es nichts gefunden, wie die ganzen letzten Male auch
Und SAPW lass ich fast jeden Tag laufen, findet immer einen Haufen Schädlinge, die ich zwar lösche aber jedes mal von neuem da sind. der letzte von zahlreichen Logs: (ich weiß dass die version nicht ganz aktuell war, würde eh nix ändern, da es IMMER zahlreiche Funde meldet, die Schälinge sind für die Tabs in Firefox verantwortlich.) Also bei allem Respekt gegenüber den helfern und Experten hier, aber wir kommen der Lösung meines Problems nicht näher

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/17/2010 at 04:32 PM

Application Version : 4.46.1000

Core Rules Database Version : 5940
Trace Rules Database Version: 3632

Scan type : Complete Scan
Total Scan Time : 01:14:27

Memory items scanned : 690
Memory threats detected : 0
Registry items scanned : 8530
Registry threats detected : 0
File items scanned : 31866
File threats detected : 55

Adware.Tracking Cookie
C:\Windows\Temp\Cookies\system@dc.tremormedia[1].txt
C:\Windows\Temp\Cookies\system@doubleclick[1].txt
C:\Windows\Temp\Cookies\system@clicks.bestcoolsearch[1].txt
C:\Windows\Temp\Cookies\system@atdmt[2].txt
C:\Windows\Temp\Cookies\system@atdmt[1].txt
C:\Windows\Temp\Cookies\system@www.mediatraffic[1].txt
C:\Windows\Temp\Cookies\system@kontera[1].txt
C:\Windows\Temp\Cookies\system@overture[2].txt
C:\Windows\Temp\Cookies\system@my-adserver[1].txt
C:\Windows\Temp\Cookies\system@bizzclick[2].txt
C:\Windows\Temp\Cookies\system@ad.adc-serv[1].txt
C:\Windows\Temp\Cookies\system@adtech[1].txt
C:\Windows\Temp\Cookies\system@apmebf[1].txt
C:\Windows\Temp\Cookies\system@webmasterplan[3].txt
C:\Windows\Temp\Cookies\system@webmasterplan[2].txt
C:\Windows\Temp\Cookies\system@ads.creative-serving[1].txt
C:\Windows\Temp\Cookies\system@invitemedia[1].txt
C:\Windows\Temp\Cookies\system@www.my-adserver[2].txt
C:\Windows\Temp\Cookies\system@media6degrees[2].txt
C:\Windows\Temp\Cookies\system@ads.weboost[1].txt
C:\Windows\Temp\Cookies\system@mediaplex[2].txt
C:\Windows\Temp\Cookies\system@adserver.adtechus[1].txt
C:\Windows\Temp\Cookies\system@ad.zanox[2].txt
C:\Windows\Temp\Cookies\system@ad.zanox[3].txt
C:\Windows\Temp\Cookies\system@ad.yieldmanager[2].txt
C:\Windows\Temp\Cookies\system@ad.yieldmanager[1].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[4].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[1].txt
C:\Windows\Temp\Cookies\system@ads.gossipcenter[3].txt
C:\Windows\Temp\Cookies\system@fastclick[1].txt
C:\Windows\Temp\Cookies\system@tracking.mindshare[1].txt
C:\Windows\Temp\Cookies\system@ads.gossipcenter[1].txt
C:\Windows\Temp\Cookies\system@zanox[2].txt
C:\Windows\Temp\Cookies\system@mediatraffic[2].txt
C:\Windows\Temp\Cookies\system@tracking.foxnews[1].txt
C:\Windows\Temp\Cookies\system@tribalfusion[1].txt
C:\Windows\Temp\Cookies\system@www.burstnet[1].txt
C:\Windows\Temp\Cookies\system@www.googleadservices[1].txt
C:\Windows\Temp\Cookies\system@tracking.quisma[2].txt
C:\Windows\Temp\Cookies\system@questionmarket[1].txt
C:\Windows\Temp\Cookies\system@revsci[1].txt
C:\Windows\Temp\Cookies\system@www.zanox-affiliate[1].txt
C:\Windows\Temp\Cookies\system@eas.apm.emediate[3].txt
C:\Windows\Temp\Cookies\system@eas.apm.emediate[1].txt
C:\Windows\Temp\Cookies\system@tradedoubler[1].txt
C:\Windows\Temp\Cookies\system@clicks.mysearchdomain[1].txt
C:\Windows\Temp\Cookies\system@zanox-affiliate[3].txt
C:\Windows\Temp\Cookies\system@zanox-affiliate[1].txt
C:\Windows\Temp\Cookies\system@traffictrack[1].txt
C:\Windows\Temp\Cookies\system@ad.adition[2].txt
C:\Windows\Temp\Cookies\system@imrworldwide[2].txt
C:\Windows\Temp\Cookies\system@collective-media[1].txt
C:\Windows\Temp\Cookies\system@content.yieldmanager[3].txt
media.scanscout.com [ C:\Windows\System32\config\systemprofile\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\J2RYXPP2 ]
secure-us.imrworldwide.com [ C:\Windows\System32\config\systemprofile\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\J2RYXPP2 ]

16.12.2010, 20:33	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windowsupdates blockiert+Nebenerscheinungen Code: ATTFilter Size Device Name MBR Status -------------------------------------------- ERROR Opening: \\.\PhysicalDrive0 (32) Hast du mbrcheck per Rechtsklick als Admin ausgeführt? __________________ Logfiles bitte immer in CODE-Tags posten

17.12.2010, 13:30	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windowsupdates blockiert+Nebenerscheinungen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Windowsupdates blockiert+Nebenerscheinungen

Plagegeister aller Art und deren Bekämpfung: Windowsupdates blockiert+Nebenerscheinungen