System mit System-Tool befallen

tjodan · 01.03.2011, 20:48

Hallo

seit gestern abend ist mein Notebook-System mit dem Virus(trojaner)programm "system tool" befallen. Ich hab Malewarebytes und Otl durchlaufen lassen und die infizierten dateien gelöscht.. nach dem neustart gabs keine anzeichen von der Spyware.
Die Logdateien hab ich angehängt.
danke im vorraus für die Hilfe.

MFG tjodan

cosinus · 02.03.2011, 12:35

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.02.28 23:04:40 | 000,000,000 | ---D | C] -- C:\ProgramData\lJaAjOb06504
[2011.02.23 13:40:30 | 000,000,000 | ---D | C] -- C:\ProgramData\pDlMpAf06504
[2011.02.17 22:40:29 | 000,000,000 | ---D | C] -- C:\Users\MED2425\AppData\Roaming\5011
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

tjodan · 02.03.2011, 16:47

All processes killed
========== OTL ==========
Folder C:\ProgramData\lJaAjOb06504\ not found.
C:\ProgramData\pDlMpAf06504 folder moved successfully.
C:\Users\MED2425\AppData\Roaming\5011\components folder moved successfully.
C:\Users\MED2425\AppData\Roaming\5011 folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: MED2425
->Temp folder emptied: 273697121 bytes
->Temporary Internet Files folder emptied: 389014655 bytes
->Java cache emptied: 53303822 bytes
->FireFox cache emptied: 45313138 bytes
->Flash cache emptied: 43775 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 58586 bytes
RecycleBin emptied: 29846645 bytes

Total Files Cleaned = 755,00 mb

OTL by OldTimer - Version 3.2.22.2 log created on 03022011_164052

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 02.03.2011, 18:47

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

tjodan · 02.03.2011, 18:57

???
Also hab ich das jetzt richtig verstanden, ich soll erneut otl
das hier ausführen:
:OTL
[2011.02.28 23:04:40 | 000,000,000 | ---D | C] -- C:\ProgramData\lJaAjOb06504
[2011.02.23 13:40:30 | 000,000,000 | ---D | C] -- C:\ProgramData\pDlMpAf06504
[2011.02.17 22:40:29 | 000,000,000 | ---D | C] -- C:\Users\MED2425\AppData\Roaming\5011
:Commands
[purity]
[resethosts]
[emptytemp]

gruß tjodan

cosinus · 02.03.2011, 19:06

Was bitte hast du an meinen Ausführungen nicht verstanden? Zu unverständlich? Ich will den Ordner C:\_OTL in eine Datei gezippt und auf der oben genannten Seite hochgeladen sehen!!

Wie kann man das als "erneut OTL ausführen" verstehen?

tjodan · 02.03.2011, 19:18

Warum ich das falsch vestanden habe ist der Punkt1 in deinem Kommentar dachte ich soll das erneut mach da der Virenscanner an war ^^

Okay hab die zip datei hochgeladen

Gruß tjodan

cosinus · 02.03.2011, 19:54

Ok

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

tjodan · 02.03.2011, 20:11

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-03-02.01 - MED2425 02.03.2011  20:03:33.1.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3511.2579 [GMT 1:00]
ausgeführt von:: c:\users\MED2425\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\MED2425\AppData\Roaming\desktop.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-02 bis 2011-03-02  ))))))))))))))))))))))))))))))
.

2011-03-02 18:57 . 2011-03-02 18:57	--------	d-----w-	c:\program files\CCleaner
2011-03-02 15:40 . 2011-03-02 15:40	--------	d-----w-	C:\_OTL
2011-03-01 17:28 . 2011-03-01 17:28	--------	d-----w-	c:\users\MED2425\AppData\Roaming\Malwarebytes
2011-03-01 17:28 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-01 17:28 . 2011-03-01 17:28	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-01 17:28 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-01 15:15 . 2011-03-01 15:15	--------	d-----w-	c:\users\MED2425\AppData\Local\ElevatedDiagnostics
2011-02-28 22:04 . 2011-03-01 17:53	--------	d-----w-	c:\programdata\lJaAjOb06504
2011-02-18 20:30 . 2011-02-28 21:22	--------	d-----w-	c:\users\MED2425\AppData\Roaming\UAs
2011-02-17 21:40 . 2011-02-17 21:40	236496	----a-w-	c:\users\MED2425\AppData\Roaming\AcroIEHelpe.dll
2011-02-17 21:40 . 2011-02-17 21:40	112	----a-w-	c:\users\MED2425\AppData\Roaming\srvblck2.tmp
2011-02-17 21:40 . 2011-02-28 21:26	--------	d-----w-	c:\users\MED2425\AppData\Roaming\xmldm
2011-02-17 21:40 . 2011-02-17 21:40	--------	d-----w-	c:\users\MED2425\AppData\Roaming\kock
2011-02-03 18:52 . 2011-02-03 18:52	--------	d-----w-	c:\users\MED2425\AppData\Roaming\MathWorks
2011-02-01 19:58 . 2011-02-01 19:58	--------	d-----w-	c:\users\MED2425\AppData\Roaming\Template

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 21:46 . 2010-05-11 17:27	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-01 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-03-02 8522272]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-03-02 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-08 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-08 168472]
"avgnt"="j:\avira10\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware (reboot)"="j:\malwarebytes' anti-malware\mbam.exe" [2010-12-20 963976]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 136176]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [2010-04-09 16472]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [2010-04-09 11104]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-31 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;j:\avira10\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 Apache2.2;Apache2.2;j:\virtserver\xampp\apache\bin\httpd.exe [2009-12-19 29416]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-10 132352]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-01-08 232448]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-12-22 65576]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]

.
Inhalt des "geplante Tasks" Ordners

2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 21:05]

2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 21:05]

2011-02-27 c:\windows\Tasks\Norton Security Scan for MED2425.job
- c:\program files\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-12-03 08:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100914154950
FF - ProfilePath - c:\users\MED2425\AppData\Roaming\Mozilla\Firefox\Profiles\ot0mnmkw.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-02  20:07:45
ComboFix-quarantined-files.txt  2011-03-02 19:07

Vor Suchlauf: 7 Verzeichnis(se), 32.840.306.688 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 32.748.249.088 Bytes frei

- - End Of File - - AA8B680781F684CE2490C489B567B3CF

--- --- ---

cosinus · 02.03.2011, 20:44

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

Folder::
c:\programdata\lJaAjOb06504
c:\users\MED2425\AppData\Roaming\xmldm
c:\users\MED2425\AppData\Roaming\kock

File::
c:\users\MED2425\AppData\Roaming\srvblck2.tmp

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

tjodan · 02.03.2011, 21:00

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-03-02.01 - MED2425 02.03.2011  20:53:46.2.4 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3511.2425 [GMT 1:00]
ausgeführt von:: c:\users\MED2425\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\MED2425\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\users\MED2425\AppData\Roaming\srvblck2.tmp"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\lJaAjOb06504
c:\programdata\lJaAjOb06504\lJaAjOb06504
c:\users\MED2425\AppData\Roaming\kock
c:\users\MED2425\AppData\Roaming\srvblck2.tmp
c:\users\MED2425\AppData\Roaming\xmldm

.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-02 bis 2011-03-02  ))))))))))))))))))))))))))))))
.

2011-03-02 19:57 . 2011-03-02 19:57	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-02 19:07 . 2011-03-02 19:57	--------	d-----w-	c:\users\MED2425\AppData\Local\temp
2011-03-02 18:57 . 2011-03-02 18:57	--------	d-----w-	c:\program files\CCleaner
2011-03-02 15:40 . 2011-03-02 15:40	--------	d-----w-	C:\_OTL
2011-03-01 17:28 . 2011-03-01 17:28	--------	d-----w-	c:\users\MED2425\AppData\Roaming\Malwarebytes
2011-03-01 17:28 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-01 17:28 . 2011-03-01 17:28	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-01 17:28 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-01 15:15 . 2011-03-01 15:15	--------	d-----w-	c:\users\MED2425\AppData\Local\ElevatedDiagnostics
2011-02-18 20:30 . 2011-02-28 21:22	--------	d-----w-	c:\users\MED2425\AppData\Roaming\UAs
2011-02-17 21:40 . 2011-02-17 21:40	236496	----a-w-	c:\users\MED2425\AppData\Roaming\AcroIEHelpe.dll
2011-02-03 18:52 . 2011-02-03 18:52	--------	d-----w-	c:\users\MED2425\AppData\Roaming\MathWorks
2011-02-01 19:58 . 2011-02-01 19:58	--------	d-----w-	c:\users\MED2425\AppData\Roaming\Template

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 21:46 . 2010-05-11 17:27	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-01 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-03-02 8522272]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-03-02 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-08 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-08 168472]
"avgnt"="j:\avira10\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware (reboot)"="j:\malwarebytes' anti-malware\mbam.exe" [2010-12-20 963976]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 136176]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [2010-04-09 16472]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [2010-04-09 11104]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-31 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;j:\avira10\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336]
S2 Apache2.2;Apache2.2;j:\virtserver\xampp\apache\bin\httpd.exe [2009-12-19 29416]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-10 132352]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-01-08 232448]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-12-22 65576]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
S3 X10Hid;X10 Hid Device;c:\windows\System32\Drivers\x10hid.sys [2009-05-13 13720]

.
Inhalt des "geplante Tasks" Ordners

2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 21:05]

2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-12-01 21:05]

2011-02-27 c:\windows\Tasks\Norton Security Scan for MED2425.job
- c:\program files\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-12-03 08:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay - eine der größten deutschen Shopping-Websites
DPF: {0972B098-DEE9-4279-AC7E-4BAAA029102D} - hxxp://assets.photobox.com/assets/aurigma/ImageUploader5.cab?20100914154950
FF - ProfilePath - c:\users\MED2425\AppData\Roaming\Mozilla\Firefox\Profiles\ot0mnmkw.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-02  20:58:20
ComboFix-quarantined-files.txt  2011-03-02 19:58
ComboFix2.txt  2011-03-02 19:07

Vor Suchlauf: 9 Verzeichnis(se), 32.775.241.728 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 32.728.317.952 Bytes frei

- - End Of File - - D958EEF042543C1655D84AC3C8C20981

--- --- ---

cosinus · 02.03.2011, 21:06

Ich brauch den Quarantäneordner von Combofix. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

tjodan · 02.03.2011, 21:15

Erledigt!

Gruß tjodan

cosinus · 02.03.2011, 21:34

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

tjodan · 02.03.2011, 23:05

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-03-02 23:02:36
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD50 rev.01.0
Running: u7gkz9pw.exe; Driver: C:\Users\MED2425\AppData\Local\Temp\pwddifob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD          82E5E599 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2   82E82F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90      B782D000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3      B782D123 629 Bytes  [85, 82, B7, FE, 05, 34, 85, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329      B782D399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F      B782D3FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 543B      B782D4AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE            ...                                      

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004a        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume10  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume10  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

02.03.2011, 19:06	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	System mit System-Tool befallen Was bitte hast du an meinen Ausführungen nicht verstanden? Zu unverständlich? Ich will den Ordner C:\_OTL in eine Datei gezippt und auf der oben genannten Seite hochgeladen sehen!! Wie kann man das als "erneut OTL ausführen" verstehen? __________________ --> System mit System-Tool befallen

System mit System-Tool befallen

Plagegeister aller Art und deren Bekämpfung: System mit System-Tool befallen