AntiVirus Software Alert / Windows Security Alert

zauli88 · 09.01.2011, 20:17

Hallo,
ich hab seit heute Mittag ein Problem.

Wenn ich den PC hochfahre kommt unten aus der task leiste die meldung "windows security alert".
In diesem fenster steht: windows reports that computer is infected. antivirus software helps to protect your computer against viruses and other security threats. click here for the scan your computer. your system might be at risk now. Dieses Programm kenne ich aber nicht, da ich eigentlich die kostenlose avira antivir personal - free antivirus software habe.
Desweitern ercheinen immer "Angriffe" mit unterschiedlichen IPs auch wenn der PC keine Internetverbindung mehr hat.
Außerdem können alle mein Programme nicht gestartet werden weil immer die Fehlermeldung kommt die ... .exe (die zum dazugehörigen Programm) ist infiziert.
Eine weitere Fehlermeldung kommt im Internet Explorer:
internet explorer warning - visiting this web site may harm your computer!

most likely causes:
- the website contains exploits that can launch a malicious code on your computer
- suspicious network activity detected
- there might be an active spyware running on your computer

what can you try:

- purchase for secure internet surfing (recommended)
- check your computer for viruses and malware

more information...

Ich habe mich dann hier im Forum eingelesen und habe dann auch schon im abgesicherten Modus Malwarebytes laufen lassen im Anschluss OTL.
Die LOGs hänge ich an. Bei OTL hab ich noch nichts gefixt.

Es hatte dann den Anschein als ob es wieder laufen würde, denn die Meldungen bezüglich des Virus usw. kommen nicht mehr. Jedoch hat sich das Problem mit dem Internet Explorer nicht verändert und ich habe den Eindruck als ob alle Microsoft Programme keine Internetverbindung aufbauen können.

Ich habe außerdem noch Search&Destroy, HiJackThis sowie Ashampoo WinOptimizer2009 laufen lassen, die aber auch keine Verbesserung brachten.

Vielen Dank schonmal im Voraus, ich hoffe ihr könnt mir helfen.

cosinus · 09.01.2011, 22:22

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

zauli88 · 09.01.2011, 22:37

Ne tut mir leid ich habe nur die eine!!

cosinus · 09.01.2011, 22:49

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{a356fba8-0768-11df-9395-001fc6dc0154}\Shell - "" = AutoRun
O33 - MountPoints2\{a356fba8-0768-11df-9395-001fc6dc0154}\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\pushinst.exe -- File not found
[2010.12.22 01:17:17 | 000,000,000 | ---D | M] -- C:\Users\Zauli\AppData\Roaming\Faxyl
[2010.10.05 16:40:09 | 000,000,000 | ---D | M] -- C:\Users\Zauli\AppData\Roaming\Hyqeec
[2010.12.31 11:48:35 | 000,000,000 | ---D | M] -- C:\Users\Zauli\AppData\Roaming\Luesmu
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

zauli88 · 10.01.2011, 15:53

OK habe ich gemacht und hier ist das LOGfile im Anhang!

cosinus · 10.01.2011, 16:40

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

zauli88 · 10.01.2011, 17:55

Ok hier ist der log von combo fix!!

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-09.03 - Zauli 10.01.2011  17:43:49.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.8191.6668 [GMT 1:00]
ausgeführt von:: c:\users\Zauli\Desktop\Cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
	/wow section - STAGE 50
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "lockedB" kann nicht gefunden werden.
Das System kann den angegebenen Pfad nicht finden.
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "LockedB" kann nicht gefunden werden.


(((((((((((((((((((((((   Dateien erstellt von 2010-12-10 bis 2011-01-10  ))))))))))))))))))))))))))))))
.

2011-01-10 16:47 . 2011-01-10 16:47	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-10 14:46 . 2011-01-10 14:46	--------	d-----w-	C:\_OTL
2011-01-09 17:04 . 2011-01-09 17:04	--------	d-----w-	c:\program files (x86)\Feedback Tool
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Malwarebytes
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-09 14:33 . 2010-12-20 17:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-01-09 14:18 . 2011-01-09 14:18	--------	d-----w-	c:\users\Zauli\AppData\Local\{97D6A310-3EC0-4C67-855F-81D25FBF5947}
2011-01-09 14:04 . 2011-01-09 16:30	--------	d-----w-	c:\program files (x86)\PC Tools Security
2011-01-09 13:13 . 2011-01-09 13:13	--------	d-----w-	c:\users\Zauli\AppData\Local\{0570BF95-B37B-47B8-8C36-613B508E4CB6}
2011-01-09 13:04 . 2011-01-09 13:04	--------	d-----w-	c:\users\Zauli\AppData\Local\{5B3DC0D6-A527-45BA-B956-6AD383791607}
2011-01-09 11:59 . 2011-01-09 11:59	--------	d-----w-	c:\users\Zauli\AppData\Local\{D09C30AE-8CAB-4E26-86D4-1E0D510A1856}
2011-01-09 11:51 . 2010-05-23 10:15	1619456	----a-w-	c:\windows\SysWow64\WMVDECOD.DLL
2011-01-09 11:51 . 2010-05-23 10:11	196608	----a-w-	c:\windows\SysWow64\mfreadwrite.dll
2011-01-09 11:51 . 2010-05-23 10:11	3181568	----a-w-	c:\windows\SysWow64\mf.dll
2011-01-09 11:49 . 2011-01-09 13:13	--------	d-----w-	c:\users\Zauli\AppData\Local\Windows Live
2011-01-07 15:35 . 2010-11-10 05:35	8199504	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{ECD64190-3A85-4E0D-8E45-DE5BA25CD0D5}\mpengine.dll
2011-01-07 09:06 . 2011-01-07 09:06	--------	d-sh--w-	c:\windows\SysWow64\%APPDATA%
2011-01-06 10:54 . 2011-01-06 10:55	--------	d-----w-	C:\70c9424127a51232fa
2011-01-02 12:49 . 2011-01-02 12:49	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Uniblue
2011-01-02 12:46 . 2011-01-02 13:05	--------	d-----w-	C:\Sicherheit
2011-01-02 12:45 . 2011-01-09 14:23	--------	d-----w-	c:\users\Zauli\AppData\Local\ElevatedDiagnostics
2010-12-22 22:56 . 2010-12-22 22:56	--------	d-----w-	c:\program files (x86)\ProtectDisc Driver Installer
2010-12-22 22:56 . 2010-12-22 22:56	--------	d-----w-	c:\users\Zauli\AppData\Roaming\ProtectDisc
2010-12-21 23:35 . 2010-12-31 10:48	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Linkreg
2010-12-20 20:13 . 2010-12-20 20:13	--------	d-----w-	c:\users\Zauli\AppData\Local\uniGLext
2010-12-19 20:59 . 2010-12-19 20:59	--------	d-----w-	c:\users\Zauli\AppData\Local\Appmapplugin

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 163328]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2009-03-20 1904640]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-05-27 98304]
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 136176]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-03-20 14120]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
S1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-08-14 3147368]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 334344]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-05-27 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-05-27 6856192]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-05-27 264192]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2009-03-20 460800]

.
Inhalt des "geplante Tasks" Ordners

2011-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 19:57]

2011-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 19:57]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-11-03 182808]
"RtHDVCpl"="RAVCpl64.exe" [2008-03-26 6150656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:8074
IE: Free YouTube to Mp3 Converter - c:\users\Zauli\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\users\Zauli\AppData\Roaming\Mozilla\Firefox\Profiles\ztyubkqx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-10  17:50:26
ComboFix-quarantined-files.txt  2011-01-10 16:50

Vor Suchlauf: 14 Verzeichnis(se), 302.474.838.016 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 303.944.462.336 Bytes frei

- - End Of File - - 5DCE3D0CE4BFB7CC159DCBBBDD2C2DD5[/PHP]

--- --- ---

cosinus · 10.01.2011, 20:06

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Dirlook::
c:\users\Zauli\AppData\Local\{97D6A310-3EC0-4C67-855F-81D25FBF5947}
c:\users\Zauli\AppData\Local\{0570BF95-B37B-47B8-8C36-613B508E4CB6}
c:\users\Zauli\AppData\Local\{5B3DC0D6-A527-45BA-B956-6AD383791607}
c:\users\Zauli\AppData\Local\{D09C30AE-8CAB-4E26-86D4-1E0D510A1856}
C:\70c9424127a51232fa

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

zauli88 · 10.01.2011, 20:26

Hallo,
ich habe alles wie beschrieben gemacht. Es kam jedoch als bei combofix stand logfile wird erstellt das fenster: PEV.cfxxe funktioniert nicht mehr.
Hier ist die LOGfile:
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-10.04 - Zauli 10.01.2011  20:16:53.2.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.8191.6587 [GMT 1:00]
ausgeführt von:: c:\users\Zauli\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\users\Zauli\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
	/wow section - STAGE 50
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "lockedB" kann nicht gefunden werden.
Das System kann den angegebenen Pfad nicht finden.
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "LockedB" kann nicht gefunden werden.


(((((((((((((((((((((((   Dateien erstellt von 2010-12-10 bis 2011-01-10  ))))))))))))))))))))))))))))))
.

2011-01-10 19:19 . 2011-01-10 19:19	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-10 14:46 . 2011-01-10 14:46	--------	d-----w-	C:\_OTL
2011-01-09 17:04 . 2011-01-09 17:04	--------	d-----w-	c:\program files (x86)\Feedback Tool
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Malwarebytes
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-09 14:33 . 2010-12-20 17:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-09 14:33 . 2011-01-09 14:33	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-01-09 14:18 . 2011-01-09 14:18	--------	d-----w-	c:\users\Zauli\AppData\Local\{97D6A310-3EC0-4C67-855F-81D25FBF5947}
2011-01-09 14:04 . 2011-01-09 16:30	--------	d-----w-	c:\program files (x86)\PC Tools Security
2011-01-09 13:13 . 2011-01-09 13:13	--------	d-----w-	c:\users\Zauli\AppData\Local\{0570BF95-B37B-47B8-8C36-613B508E4CB6}
2011-01-09 13:04 . 2011-01-09 13:04	--------	d-----w-	c:\users\Zauli\AppData\Local\{5B3DC0D6-A527-45BA-B956-6AD383791607}
2011-01-09 11:59 . 2011-01-09 11:59	--------	d-----w-	c:\users\Zauli\AppData\Local\{D09C30AE-8CAB-4E26-86D4-1E0D510A1856}
2011-01-09 11:51 . 2010-05-23 10:15	1619456	----a-w-	c:\windows\SysWow64\WMVDECOD.DLL
2011-01-09 11:51 . 2010-05-23 10:11	196608	----a-w-	c:\windows\SysWow64\mfreadwrite.dll
2011-01-09 11:51 . 2010-05-23 10:11	3181568	----a-w-	c:\windows\SysWow64\mf.dll
2011-01-09 11:49 . 2011-01-09 13:13	--------	d-----w-	c:\users\Zauli\AppData\Local\Windows Live
2011-01-07 15:35 . 2010-11-10 05:35	8199504	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{ECD64190-3A85-4E0D-8E45-DE5BA25CD0D5}\mpengine.dll
2011-01-07 09:06 . 2011-01-07 09:06	--------	d-sh--w-	c:\windows\SysWow64\%APPDATA%
2011-01-06 10:54 . 2011-01-06 10:55	--------	d-----w-	C:\70c9424127a51232fa
2011-01-02 12:49 . 2011-01-02 12:49	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Uniblue
2011-01-02 12:46 . 2011-01-02 13:05	--------	d-----w-	C:\Sicherheit
2011-01-02 12:45 . 2011-01-09 14:23	--------	d-----w-	c:\users\Zauli\AppData\Local\ElevatedDiagnostics
2010-12-22 22:56 . 2010-12-22 22:56	--------	d-----w-	c:\program files (x86)\ProtectDisc Driver Installer
2010-12-22 22:56 . 2010-12-22 22:56	--------	d-----w-	c:\users\Zauli\AppData\Roaming\ProtectDisc
2010-12-21 23:35 . 2010-12-31 10:48	--------	d-----w-	c:\users\Zauli\AppData\Roaming\Linkreg
2010-12-20 20:13 . 2010-12-20 20:13	--------	d-----w-	c:\users\Zauli\AppData\Local\uniGLext
2010-12-19 20:59 . 2010-12-19 20:59	--------	d-----w-	c:\users\Zauli\AppData\Local\Appmapplugin

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\70c9424127a51232fa ----

2011-01-06 10:55 . 2011-01-06 10:55	20304384	----a-w-	c:\70c9424127a51232fa\Silverlight.msp
2011-01-06 10:55 . 2011-01-06 10:55	788	---ha-w-	c:\70c9424127a51232fa\$shtdwn$.req
2010-12-04 01:10 . 2010-12-04 01:10	6053805	----a-w-	c:\70c9424127a51232fa\silverlight.7z
2010-12-04 01:07 . 2010-12-04 01:07	201080	----a-w-	c:\70c9424127a51232fa\install.exe
2010-12-04 01:04 . 2010-12-04 01:04	355840	----a-w-	c:\70c9424127a51232fa\install.res.dll
2010-12-03 23:36 . 2010-12-03 23:36	41984	----a-w-	c:\70c9424127a51232fa\silverlight.msi

---- Directory of c:\users\Zauli\AppData\Local\{0570BF95-B37B-47B8-8C36-613B508E4CB6} ----


---- Directory of c:\users\Zauli\AppData\Local\{5B3DC0D6-A527-45BA-B956-6AD383791607} ----


---- Directory of c:\users\Zauli\AppData\Local\{97D6A310-3EC0-4C67-855F-81D25FBF5947} ----


---- Directory of c:\users\Zauli\AppData\Local\{D09C30AE-8CAB-4E26-86D4-1E0D510A1856} ----



(((((((((((((((((((((((((((((   SnapShot@2011-01-10_16.47.43   )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:54 . 2011-01-09 17:19	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-01-10 17:19	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-01-09 17:19	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-01-10 17:19	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-01-10 17:19	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-01-09 17:19	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 163328]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2009-03-20 1904640]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-05-27 98304]
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-03-04 311296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 136176]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2009-03-20 14120]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2009-03-20 460800]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]
S1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-08-14 3147368]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 334344]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-05-27 203264]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-05-27 6856192]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-05-27 264192]

.
Inhalt des "geplante Tasks" Ordners

2011-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 19:57]

2011-01-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-17 19:57]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-11-03 182808]
"RtHDVCpl"="RAVCpl64.exe" [2008-03-26 6150656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:8074
IE: Free YouTube to Mp3 Converter - c:\users\Zauli\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
FF - ProfilePath - c:\users\Zauli\AppData\Roaming\Mozilla\Firefox\Profiles\ztyubkqx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-10  20:21:48
ComboFix-quarantined-files.txt  2011-01-10 19:21
ComboFix2.txt  2011-01-10 16:50

Vor Suchlauf: 22 Verzeichnis(se), 303.975.591.936 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 303.906.476.032 Bytes frei

- - End Of File - - BC705EDD5255AF019180EDA3A0F5DF24

--- --- ---

cosinus · 10.01.2011, 20:35

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

zauli88 · 10.01.2011, 21:09

Also:
GMER läuft und er scannt auch, aber ich bekomme kein LOGfile hin, er erstellt nichts! Es kommt am Schluss nur eine Meldung das er nichts gefunden hat. die ich mit ok bestätige.
MBRCheck hänge ich an!

PHP-Code:

  MBRCheck, version 1.2.3

(c) 2010, AD

 
Command-line:            

Windows Version:        Windows 7 Home Premium Edition

Windows Information:         (build 7600), 64-bit

Base Board Manufacturer:    PEGATRON CORPORATION

BIOS Manufacturer:        American Megatrends Inc.

System Manufacturer:        HP-Pavilion

System Product Name:        KX597AA-ABD a6539.de

Logical Drives Mask:        0x0000079c

 
Kernel Drivers (total 154):

  0x02E60000 \SystemRoot\system32\ntoskrnl.exe

  0x02E17000 \SystemRoot\system32\hal.dll

  0x00B9E000 \SystemRoot\system32\kdcom.dll

  0x00CFB000 \SystemRoot\system32\mcupdate_GenuineIntel.dll

  0x00D3F000 \SystemRoot\system32\PSHED.dll

  0x00D53000 \SystemRoot\system32\CLFS.SYS

  0x00C00000 \SystemRoot\system32\CI.dll

  0x00EBB000 \SystemRoot\system32\drivers\Wdf01000.sys

  0x00F5F000 \SystemRoot\system32\drivers\WDFLDR.SYS

  0x00F6E000 \SystemRoot\system32\DRIVERS\ACPI.sys

  0x00FC5000 \SystemRoot\system32\DRIVERS\WMILIB.SYS

  0x00FCE000 \SystemRoot\system32\DRIVERS\msisadrv.sys

  0x00E00000 \SystemRoot\system32\DRIVERS\pci.sys

  0x00E33000 \SystemRoot\system32\DRIVERS\vdrvroot.sys

  0x00E40000 \SystemRoot\System32\drivers\partmgr.sys

  0x00E55000 \SystemRoot\system32\DRIVERS\volmgr.sys

  0x01071000 \SystemRoot\System32\drivers\volmgrx.sys

  0x010CD000 \SystemRoot\System32\drivers\mountmgr.sys

  0x01288000 \SystemRoot\system32\DRIVERS\iaStor.sys

  0x013A4000 \SystemRoot\system32\DRIVERS\amdxata.sys

  0x013AF000 \SystemRoot\system32\drivers\fltmgr.sys

  0x01200000 \SystemRoot\system32\drivers\fileinfo.sys

  0x01428000 \SystemRoot\System32\Drivers\Ntfs.sys

  0x01214000 \SystemRoot\System32\Drivers\msrpc.sys

  0x015CB000 \SystemRoot\System32\Drivers\ksecdd.sys

  0x010E7000 \SystemRoot\System32\Drivers\cng.sys

  0x015E5000 \SystemRoot\System32\drivers\pcw.sys

  0x015F6000 \SystemRoot\System32\Drivers\Fs_Rec.sys

  0x0163B000 \SystemRoot\system32\drivers\ndis.sys

  0x0172D000 \SystemRoot\system32\drivers\NETIO.SYS

  0x0178D000 \SystemRoot\System32\Drivers\ksecpkg.sys

  0x01801000 \SystemRoot\System32\drivers\tcpip.sys

  0x0115A000 \SystemRoot\System32\drivers\fwpkclnt.sys

  0x011A4000 \SystemRoot\system32\DRIVERS\volsnap.sys

  0x017B8000 \SystemRoot\System32\Drivers\spldr.sys

  0x017C0000 \SystemRoot\System32\drivers\rdyboost.sys

  0x01600000 \SystemRoot\System32\Drivers\mup.sys

  0x01612000 \SystemRoot\System32\drivers\hwpolicy.sys

  0x01000000 \SystemRoot\System32\DRIVERS\fvevol.sys

  0x0161B000 \SystemRoot\system32\DRIVERS\disk.sys

  0x0103A000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS

  0x02DA5000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0x02DCF000 \SystemRoot\System32\Drivers\Null.SYS

  0x02DD8000 \SystemRoot\System32\Drivers\Beep.SYS

  0x02DDF000 \SystemRoot\System32\drivers\vga.sys

  0x02C00000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

  0x02C25000 \SystemRoot\System32\drivers\watchdog.sys

  0x02C35000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0x02C3E000 \SystemRoot\system32\drivers\rdpencdd.sys

  0x02C47000 \SystemRoot\system32\drivers\rdprefmp.sys

  0x02C50000 \SystemRoot\System32\Drivers\Msfs.SYS

  0x02C5B000 \SystemRoot\System32\Drivers\Npfs.SYS

  0x00E6A000 \SystemRoot\system32\DRIVERS\tdx.sys

  0x02DED000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0x03EA7000 \SystemRoot\system32\drivers\afd.sys

  0x03F31000 \SystemRoot\System32\DRIVERS\netbt.sys

  0x03F76000 \SystemRoot\system32\DRIVERS\wfplwf.sys

  0x03F7F000 \SystemRoot\system32\DRIVERS\pacer.sys

  0x03FA5000 \SystemRoot\system32\DRIVERS\netbios.sys

  0x03FB4000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0x03FCF000 \SystemRoot\system32\DRIVERS\termdd.sys

  0x03E00000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0x03E51000 \SystemRoot\system32\drivers\nsiproxy.sys

  0x03E5D000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0x03E68000 \SystemRoot\System32\drivers\discache.sys

  0x03E77000 \SystemRoot\System32\Drivers\dfsc.sys

  0x03E95000 \SystemRoot\system32\DRIVERS\blbdrive.sys

  0x04017000 \SystemRoot\System32\Drivers\appdrv01.sys

  0x0431C000 \SystemRoot\system32\DRIVERS\tunnel.sys

  0x04342000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0x04358000 \SystemRoot\system32\DRIVERS\atikmpag.sys

  0x04823000 \SystemRoot\system32\DRIVERS\atikmdag.sys

  0x04EFF000 \SystemRoot\System32\drivers\dxgkrnl.sys

  0x0439E000 \SystemRoot\System32\drivers\dxgmms1.sys

  0x00E88000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0x04FF3000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0x04475000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0x044CB000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0x044DC000 \SystemRoot\system32\DRIVERS\Rtlh64.sys

  0x04507000 \SystemRoot\system32\DRIVERS\1394ohci.sys

  0x04545000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0x04563000 \SystemRoot\system32\DRIVERS\PS2.sys

  0x0456C000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0x0457B000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys

  0x04588000 \SystemRoot\system32\DRIVERS\CompositeBus.sys

  0x04598000 \SystemRoot\system32\DRIVERS\AgileVpn.sys

  0x045AE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0x045D2000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0x04400000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0x0442F000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0x0444A000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0x045DE000 \SystemRoot\system32\DRIVERS\rassstp.sys

  0x04800000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0x045F8000 \SystemRoot\system32\DRIVERS\swenum.sys

  0x00DB1000 \SystemRoot\system32\DRIVERS\ks.sys

  0x0480F000 \SystemRoot\system32\DRIVERS\umbus.sys

  0x052C2000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0x0531C000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0x05331000 \SystemRoot\system32\drivers\AtiHdmi.sys

  0x05354000 \SystemRoot\system32\drivers\portcls.sys

  0x05391000 \SystemRoot\system32\drivers\drmk.sys

  0x053B3000 \SystemRoot\system32\drivers\ksthunk.sys

  0x0640A000 \SystemRoot\system32\drivers\RTKVHD64.sys

  0x065EB000 \SystemRoot\System32\Drivers\crashdmp.sys

  0x02C6C000 \SystemRoot\System32\Drivers\dump_iaStor.sys

  0x053B9000 \SystemRoot\System32\Drivers\dump_dumpfve.sys

  0x05200000 \SystemRoot\system32\DRIVERS\fwlanusb.sys

  0x065F9000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0x05275000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0x05283000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0x06400000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0x0529C000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

  0x053CC000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0x00010000 \SystemRoot\System32\win32k.sys

  0x053D9000 \SystemRoot\System32\drivers\Dxapi.sys

  0x053E5000 \SystemRoot\system32\DRIVERS\monitor.sys

  0x004D0000 \SystemRoot\System32\TSDDD.dll

  0x006E0000 \SystemRoot\System32\cdd.dll

  0x01400000 \SystemRoot\system32\drivers\luafv.sys

  0x043E4000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0x00FD8000 \SystemRoot\system32\drivers\WudfPf.sys

  0x04000000 \SystemRoot\system32\DRIVERS\lltdio.sys

  0x02A9F000 \SystemRoot\system32\DRIVERS\nwifi.sys

  0x02AF2000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0x02B05000 \SystemRoot\system32\DRIVERS\rspndr.sys

  0x02B1D000 \SystemRoot\system32\drivers\HTTP.sys

  0x02A00000 \SystemRoot\system32\DRIVERS\bowser.sys

  0x02A1E000 \SystemRoot\System32\drivers\mpsdrv.sys

  0x02A36000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0x0745F000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys

  0x074AD000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys

  0x074D0000 \??\C:\Windows\system32\drivers\acedrv11.sys

  0x07526000 \SystemRoot\system32\drivers\peauth.sys

  0x075CC000 \SystemRoot\System32\Drivers\secdrv.SYS

  0x07400000 \SystemRoot\System32\DRIVERS\srvnet.sys

  0x0742D000 \SystemRoot\System32\drivers\tcpipreg.sys

  0x07C5A000 \SystemRoot\System32\DRIVERS\srv2.sys

  0x07CC1000 \SystemRoot\System32\DRIVERS\srv.sys

  0x07D57000 \SystemRoot\system32\DRIVERS\WUDFRd.sys

  0x07D88000 \SystemRoot\system32\drivers\spsys.sys

  0x07C00000 \SystemRoot\system32\DRIVERS\asyncmac.sys

  0x77080000 \Windows\System32\ntdll.dll

  0x476C0000 \Windows\System32\smss.exe

  0xFF3A0000 \Windows\System32\apisetschema.dll

  0xFF4F0000 \Windows\System32\autochk.exe

  0xFF380000 \Windows\System32\nsi.dll

  0xFF330000 \Windows\System32\ws2_32.dll

  0xFF290000 \Windows\System32\clbcatq.dll

  0xFF160000 \Windows\System32\wininet.dll

  0xFF140000 \Windows\System32\sechost.dll

  0x77250000 \Windows\System32\psapi.dll

  0xFF0C0000 \Windows\System32\difxapi.dll

  0xFF0B0000 \Windows\System32\lpk.dll

  0x77240000 \Windows\System32\normaliz.dll

 
Processes (total 57):

       0 System Idle Process

       4 System

     316 C:\Windows\System32\smss.exe

     444 csrss.exe

     508 C:\Windows\System32\wininit.exe

     532 csrss.exe

     568 C:\Windows\System32\services.exe

     584 C:\Windows\System32\lsass.exe

     592 C:\Windows\System32\lsm.exe

     668 C:\Windows\System32\winlogon.exe

     756 C:\Windows\System32\svchost.exe

     872 C:\Windows\System32\svchost.exe

     940 C:\Windows\System32\atiesrxx.exe

    1000 C:\Windows\System32\svchost.exe

     328 C:\Windows\System32\svchost.exe

     436 C:\Windows\System32\svchost.exe

    1044 C:\Windows\System32\svchost.exe

    1148 C:\Windows\System32\svchost.exe

    1240 C:\Windows\System32\atieclxx.exe

    1460 C:\Windows\System32\dwm.exe

    1512 C:\Windows\System32\spoolsv.exe

    1548 C:\Windows\System32\taskhost.exe

    1556 C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

    1592 C:\Windows\explorer.exe

    1636 C:\Windows\System32\svchost.exe

    1756 C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

    1824 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

    1896 C:\Program Files (x86)\avmwlanstick\WLanNetService.exe

    1924 C:\Program Files (x86)\Bonjour\mDNSResponder.exe

    1964 C:\Windows\System32\svchost.exe

    2012 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe

     452 C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe

    1092 C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe

    1096 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    2124 C:\Windows\RAVCpl64.exe

    2180 C:\Windows\System32\svchost.exe

    2316 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    2480 C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe

    2552 C:\Program Files (x86)\avmwlanstick\WLanGUI.exe

    2820 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

    3056 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

    2680 C:\Windows\System32\SearchIndexer.exe

    3176 WUDFHost.exe

    3248 WmiPrvSE.exe

    3856 C:\Windows\System32\svchost.exe

    3976 C:\Program Files\Windows Media Player\wmpnetwk.exe

    2372 C:\Program Files (x86)\Mozilla Firefox\firefox.exe

    3244 C:\Program Files (x86)\Hewlett-Packard\HP Health Check\HPHC_Service.exe

    3140 C:\Windows\System32\sppsvc.exe

     868 C:\Windows\System32\svchost.exe

    1160 C:\Windows\servicing\TrustedInstaller.exe

     980 C:\Windows\System32\SearchProtocolHost.exe

    2620 C:\Windows\System32\SearchFilterHost.exe

    3956 C:\Windows\System32\audiodg.exe

    4000 C:\Users\Zauli\Desktop\MBRCheck.exe

    3636 C:\Windows\System32\conhost.exe

    3732 C:\Windows\System32\dllhost.exe

 
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000071`856e9a00  (NTFS)

 
PhysicalDrive0 Model Number: ST3500620AS, Rev: HP21    

 
      Size  Device Name          MBR Status

  --------------------------------------------

    465 GB  \\.\PhysicalDrive0   Windows 7 MBR code detected

            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

 
 
Done!

cosinus · 10.01.2011, 21:12

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

zauli88 · 10.01.2011, 23:01

Soooo,
hat ein bischen länger gedauert aber SUPERAntiSpyware hat so lange gescannt. Hier die Logfile:

PHP-Code:

  SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com

 
Generated 01/10/2011 at 10:56 PM

 
Application Version : 4.47.1000

 
Core Rules Database Version : 6135

Trace Rules Database Version: 3947

 
Scan type       : Complete Scan

Total Scan Time : 01:27:41

 
Memory items scanned      : 741

Memory threats detected   : 0

Registry items scanned    : 13816

Registry threats detected : 1

File items scanned        : 188755

File threats detected     : 3

 
Rogue.Pallidium

    (x86) HKU\S-1-5-21-304170363-425726566-3550152844-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT

 
Trojan.VXGame-Variant/D

    C:\GAMES\DIE GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE

    C:\USERS\ZAULI\GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE

 
Trojan.Agent/Gen

    C:\USERS\ZAULI\APPDATA\LOCAL\UNIGLEXT\CRLHELPXX.DLL

und die logfile malware:

PHP-Code:

  Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 
Datenbank Version: 5499

 
Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 
10.01.2011 21:18:19

mbam-log-2011-01-10 (21-18-19).txt

 
Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 156845

Laufzeit: 1 Minute(n), 59 Sekunde(n)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

cosinus · 11.01.2011, 11:19

Code:

ATTFilter

Trojan.VXGame-Variant/D
	C:\GAMES\DIE GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE
	C:\USERS\ZAULI\GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE

Wasndas?

zauli88 · 11.01.2011, 17:25

Das ist von einem Spiel DIE GILDE denke ich!!
Kann ich aber alles deinstallieren!!!

09.01.2011, 22:22	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVirus Software Alert / Windows Security Alert Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes. __________________ __________________

10.01.2011, 21:12	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVirus Software Alert / Windows Security Alert Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

11.01.2011, 11:19	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AntiVirus Software Alert / Windows Security Alert Code: ATTFilter Trojan.VXGame-Variant/D C:\GAMES\DIE GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE C:\USERS\ZAULI\GILDE\DIE.GILDE.2.GERMAN.EMUDVD-IND\ASR.EXE Wasndas? __________________ Logfiles bitte immer in CODE-Tags posten

AntiVirus Software Alert / Windows Security Alert

Plagegeister aller Art und deren Bekämpfung: AntiVirus Software Alert / Windows Security Alert