Hallo u. schönen guten Abend!

Ich bin neu hier und muss leider gleich vorweg sagen, dass ich nur EDV-Grundwissen habe und mit Fachbegriffen so gut wie garnichts anfangen kann.

Mein Problem ist folgendes:
Am 17. März meldete Kaspersky erstmals den Fund von Malware.
HEUR:Worm.Win32.Generic in M:\AutoRun.exe

Ich kann versuchen was ich will, Kaspersky ermöglicht kein Verschieben in Quarantäne oder gar ein Löschen. Ich habe nur die Möglichkeit „überspringen“ anzuklicken (obwohl in der vorherigen Anzeige „alle neutralisieren“ anzuklicken ist).

Daraufhin habe ich etwas gegoogelt.

Auf der Seite gutefrage.net bin ich auf pcsafedoctor.com gestoßen. Das Programm ist leider in Englisch und bringt mich mit sehr beschränktem Englischwissen arg in Bedrängnis. Nach Scan meines Computers mit der Free-Version wird u. a. folgendes beanstandet:

Trojan.Win32.2589439723 in C:\Windows\System\qagent.dll
Trojan.Win32.1538067790 in C:\Windows\System\modemui.dll
Backdoor.Win32.1614424368 in C:\Windows\System32\kernel32.dll

…und noch weitere 8 Trojan/Backdoor (die ich auch soweit lesbar "abgemalt" habe). Entweder es ist in der Gratisversion wirklich nicht möglich, ein Logfile zu speichern oder ich war zu patschert.

Auf der Seite pcfreunde.de bin ich auf spybot-search-destroy gestoßen.
Das Programm habe ich auch herunter geladen und einen Scan begonnen. Allerdings habe ich mittendrin aufgehört, weil ich mit diesem Programm heillos überfordert bin. Bei jeder Handlung werden irgendwelche Meldungen aufgezeigt, was wann wo verändert oder wo was Neues eingetragen wird. Ich habe keine Ahnung, was mir da zur Bestätigung vorgeschlagen wird.

Übers Herumgoogeln bin ich auch hier bei Trojaner-Board.de gelandet.

Es gibt vom 02.10.2010 einen Eintrag von Rashtagul mit dem Thema „Kaspersky gibt Virenwarnung, Malwarebyte zeigt keine Detektion“.

Ich habe mir die Anweisung des Kompetenzlers cosinus zu Nutze gemacht und Malwarebytes und SUPERAntiSpyware herunter geladen. Bei der Gelegenheit DANKE an cosinus für die ausführlichen Angaben (soweit ich halt folgen konnte) bzw. auch DANKE an undoreal und daguru für die ausführlichen (oder anders gesagt – Entschuldigung! – dodelsicheren) Anwendungsbeschreibungen von SUPERAntiSpyware und Malwarebytes und DANKE an AdminBot für die OTL-Anleitung. So kapiert das auch jemand wie ich halbwegs…

Malwarebytes-Logfile sollte im Anhang sein.
SuperAntiSpyware-Logfile sollte auch im Anhang sein.

Die drei Funde von Malwarebytes bzw. die 400 Funde von SUPERAntiSpyware sind derzeit jeweils in Quarantäne.

An HijackThis habe ich mich auch herangewagt. Auch da habe ich ein Logfile gespeichert, welches im Anhang sein sollte.

Kaspersky-Fehlermeldung sollte auch im Anhang sein.

Weiters hoffentlich im Anhang: Die beiden OTL-Logfile bzw. Betriebssystemangaben.

„Sollte“ immer deshalb, weil ich sehr bezweifle, dass ich das alles so zustande bringe wie man es bei ordentlichen Anfragen zu Recht erwarten kann. Und ob die Zip-Anhänge brauchbar sind ist auch sehr fraglich, ich habe das erstmals versucht.

An Programme wie Load.exe oder GMER etc. habe ich mich nicht herangetraut und daher für die Alternativen Malwarebytes und OTL entschieden. Bitte nicht böse sein.

Seit dem 17.3. hat Kaspersky Ruhe gegeben. Ich dachte schon an eine Fehlmeldung und dass die sich halt geirrt haben. Fehlanzeige…seit heute 20.3. in der Früh murrt Kaspersky wieder mit derselben Meldung wie vom 17.3.

Leider ist meine Problemschilderung sehr ausführlich und lange geworden.
Ich bitte um Nachsicht, ich kann es nicht besser oder anders.
Ich wäre sehr dankbar, wenn sich ein „Opfer“ findet und man mir helfen könnte.

Ist der Kaspersky-Fund wirklich eine Gefahr und wenn ja, wie krieg ich den weg?
Warum finden alle Programme was anderes und keines das was Kaspersky aufzeigt?
...und warum findet Kaspersky "nur" die eine Bedrohung und nichts davon was die anderen Programme stört?

Tut mir wirklich leid, aber ich verstehe das nicht...kein bisschen!

Vielleicht ist alles falscher Alarm und ich kann alles „Gefundene“ wiederherstellen.
Vielleicht habe ich aber auch ein ernstes Sicherheitsproblem.

Schon einmal vorweg DANKE!!!

Liebe Grüsse,
Ilma

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hi!

Danke für die Rückmeldung.
Nein, leider nicht. Nur die beiden, die ich mitgeschickt habe. Die Version vom 19.3. ist jene vom umfassenden Suchlauf.
Soll ich nochmal einen Komplettlauf durchführen?
Langsam kann ich das immer besser...

Ich hoffe, das war der richtige Antwort-Button...
Mein erster Eintrag in einem Forum und damit auch meine erste Antwort.
Verzeihung, wenn's wo verkehrt steht...
Schande über mich.

LG ilma

Guten Morgen!

Bitte um Entschuldigung f. d. Doppelpost....konnte ihn beim besten Willen nicht löschen.

Im Anhang sende ich den neuerlichen Scan von Kaspersky bzw. das Logfile von Malwarebytes von heute nacht. Ich hoffe es ist zu brauchen.

Anmerken möchte ich, dass gestern bis vor das Update von Malware 3 Dinge in der Quarantäne gestanden haben. Danach waren die beiden Funde vom 18.3. (HKEY...) weg und nur mehr der Fehler vom 19.3. da. Ich habe ganz sicher nicht auf Löschen oder Wiederherstellen geklickt, weil ich keine Ahnung habe, was ich da löschen würde.
Bei dem neuerlichen Scan wurden wieder zwei andere Dinge gefunden.

Liebe Grüsse,
Ilma

Zitat:

-> No action taken.

Bitte alle Funde mit Malwarebytes immer löschen!! So steht es auch in der Anleitung!!

Hallo u. Guten Abend!
Lieber Cosinus!

Ich danke für die Antwort. Die Malwarebytes-Funde wurden gelöscht.

Wenn mir jemand der was davon versteht sagt, dass ich das löschen kann, dann mache ich das natürlich. Nichts ist mir lieber als diese Plagegeister los zu werden... nur alleine hätte ich das niemals gelöscht (auch wenns in der Beschreibung steht), da ich fürchte, dass mir sonst ein Programm um die Ohren fliegt... also DANKE!

Ich sende im Anhang die Werke des heutigen Abends... ich habe mich nochmals über die geforderte Auswertungsliste gewagt... Ich habe mich an die Anleitungen gehalten, aber im Grunde keine Ahnung was ich da getan habe.

Also:
o) TFC ist gelaufen,
o) ERDNT ist gelaufen, Defogger nicht vorhanden,
o) OTL + Extra Files sind im Anhang, OTL leider zweimal (OTL3), da es mir zweimal keine Extra file erstellt hat. Ich habe dann eine andere Anleitung von Euch genommen, da ist es gegangen. Hinterfragt habe ich es nicht, da ich es ohnehin nicht verstehe...
o) GMER File ist auch dabei.
o) Malwarebytes Schnellscan File erstellt.

Hoffentlich sind die Zip-Dateien lesbar. Das ist ein einziges Herumbasteln für mich... Die Programme dauern leider meist ewig - und ich brauche schon mehr als lange mich da irgendwie durch zu wurschteln...

Ich hoffe, mein Herumwerken war sinnvoll und du kannst damit was anfangen.

Heute Nacht lasse ich nochmals Malwarebytes Vollscan laufen...

Dank' Dir für Deine Geduld!!!
Liebe Grüsse!
Ilma

Guten Morgen!
Lieber Cosinus!

Ich möchte das neueste Malwarebytes File nachreichen,
Gefunden wurde nichts. Ich gehe aber davon aus, dass ich mich darüber zu früh freue...

Kaspersky strampft noch immer über das gleiche Problem.

Darf ich Dich auch recht herzlich um ein OK bitten, ob ich die SuperAntiSpyware-Funde (Anhang vom Erstpost) entfernen kann???
Bei den meisten würde mir EDV-Null mein Bauchgefühl sagen "Ja"....nur der Rest..... DANKESCHÖN!!!
Liebe Grüsse,
Ilma

Zitat:

Drive L: | 465,65 Gb Total Space | 377,85 Gb Free Space | 81,14% Space Free | Partition Type: FAT32

Was ist Laufwerk L? Eine externe Festplatte mit 500 GB Größe (=465 GiB)?
Für diese Laufwerke ist das Dateisystem FAT32 sehr ungünstig.


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [pcsafedoctor.exe] C:\Programme\PCSafeDoctor\pcsafedoctor.exe ()
O4 - HKLM..\Run: [PCDrProfiler]  File not found
O4 - HKCU..\Run: [updateMgr]  File not found
O32 - AutoRun File - [2006.01.28 20:28:09 | 000,000,087 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001.07.28 07:07:38 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 23:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2007.03.03 19:23:42 | 000,077,824 | R--- | M] () - M:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.03.18 17:05:56 | 000,000,046 | R--- | M] () - M:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell\AutoRun\command - "" = K:\.\Autorun.exe AUTORUN=1
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell\AutoRun\command - "" = C:\WINDOWS\explorer.exe -- [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
[2011.03.20 09:19:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PCSafeDoctor
[2011.03.20 09:18:49 | 000,000,000 | ---D | C] -- C:\Programme\PCSafeDoctor
[2011.03.17 21:53:29 | 000,000,022 | ---- | C] () -- C:\WINDOWS\tpcsd
[2011.03.20 09:19:12 | 000,000,713 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\pcsafedoctor.lnk
[2011.02.19 10:46:30 | 000,001,040 | -H-- | M] () -- C:\WINDOWS\Tasks\HubTask 0 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job
:Files
C:\Programme\PCSafeDoctor
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Guten Abend!

Es tut mir wirklich leid, aber das funktioniert so nicht...
Nach Drücken des Fix-Buttons kommt nach einigen Sekunden die Meldung "Cannot create file C:\WINDOWS\System32\drivers\etc\HOST."
Und dann ist Funkstille...
Sorry...


Ja, Laufwerk L ist meine externe Festplatte, weil ich mir den PC nicht (noch mehr) vollräumen möchte und recht platzintensive Hobbies habe. Auch mein Vater nutzt über diesen PC einige dieser Speichermedien wo Filme und Urlaubsbilder drauf sind. Es funktionierte bisher klaglos.
Was sollen wir tun? Auf kleinere Festplatten umstellen bzw. dann welche Grösse? Danke schon mal!!!

Liebe Grüsse,
Ilma

Zitat:

Was sollen wir tun? Auf kleinere Festplatten umstellen bzw. dann welche Grösse? Danke schon mal!!!

Es ging um das Dateisystem und nicht um die Größe!! Später dazu mehr. Jetzt ist das erstmal weniger wichtig.

Probier den OTL-Fix nochmal mit diesem Text hier:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [pcsafedoctor.exe] C:\Programme\PCSafeDoctor\pcsafedoctor.exe ()
O4 - HKLM..\Run: [PCDrProfiler]  File not found
O4 - HKCU..\Run: [updateMgr]  File not found
O32 - AutoRun File - [2006.01.28 20:28:09 | 000,000,087 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001.07.28 07:07:38 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 23:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2007.03.03 19:23:42 | 000,077,824 | R--- | M] () - M:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.03.18 17:05:56 | 000,000,046 | R--- | M] () - M:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0040ed7e-a7c0-11df-ad01-0013d32619be}\Shell\AutoRun\command - "" = K:\.\Autorun.exe AUTORUN=1
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bfc1d81c-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bfc1d81d-6df2-11dc-99d8-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c926b81c-71d7-11dc-99e5-0013d32619be}\Shell\AutoRun\command - "" = C:\WINDOWS\explorer.exe -- [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell - "" = AutoRun
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f00d3b62-6d19-11dc-99d6-0013d32619be}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\D\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
[2011.03.20 09:19:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\PCSafeDoctor
[2011.03.20 09:18:49 | 000,000,000 | ---D | C] -- C:\Programme\PCSafeDoctor
[2011.03.17 21:53:29 | 000,000,022 | ---- | C] () -- C:\WINDOWS\tpcsd
[2011.03.20 09:19:12 | 000,000,713 | ---- | C] () -- C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\pcsafedoctor.lnk
[2011.02.19 10:46:30 | 000,001,040 | -H-- | M] () -- C:\WINDOWS\Tasks\HubTask 0 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job
:Files
C:\Programme\PCSafeDoctor
:Commands
[purity]
[emptytemp]
         

Hallo und guten Abend!

HURRA....das hat jetzt geklappt. DANKE
File ist im Anhang.

Liebe Grüsse,
Ilma

Ich seh keinen Anhang

Bitte verzeih' mir......dieses Blechkastl ist nochmal mein Sargnagel...
Ich habe zwar den Anhang hochgeladen aber übersehen, dass ungültige Datei .log oder so ähnlich steht.....also umkopiert....
Du machst was mit mit mir.....

LG Ilma

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Guten Abend!

CCleaner Systembereinigung habe ich durchgeführt.

ComboFix gibt folgende Meldung:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-03-22.09 - HP_Besitzer 23.03.2011  18:43:59.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.44 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HP_Besitzer\Desktop\cofi.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_RKHIT
-------\Service_RkHit
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-23 bis 2011-03-23  ))))))))))))))))))))))))))))))
.
.
2011-03-23 17:22 . 2011-03-23 17:22	--------	d-----w-	c:\programme\CCleaner
2011-03-22 16:18 . 2011-03-22 16:18	--------	dc----w-	C:\_OTL
2011-03-21 16:53 . 2011-03-21 16:58	--------	d-----w-	c:\programme\ERUNT
2011-03-20 07:57 . 2011-03-20 07:57	388096	----a-r-	c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-03-20 07:57 . 2011-03-20 07:57	--------	d-----w-	c:\programme\Trend Micro
2011-03-19 18:02 . 2011-03-19 18:02	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-03-19 18:02 . 2011-03-19 18:02	--------	d-----w-	c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
2011-03-19 17:59 . 2011-03-19 18:02	--------	d-----w-	c:\programme\SUPERAntiSpyware
2011-03-19 13:16 . 2011-03-20 08:48	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-03-17 22:03 . 2011-03-17 22:03	--------	d-----w-	c:\dokumente und einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes
2011-03-17 22:02 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-17 22:02 . 2011-03-17 22:02	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-17 22:02 . 2011-03-21 14:58	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-03-17 22:02 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-02 18:54 . 2009-07-27 23:16	135680	------w-	c:\windows\system32\dllcache\shsvcs.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2004-08-04 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2004-08-04 12:00	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2004-08-04 12:00	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-04 12:00	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-08-04 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 68856]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-03-16 2423752]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-04-27 149280]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-03-05 5566464]
"nwiz"="nwiz.exe" [2005-03-05 1495040]
"HPHUPD08"="c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-01-02 180269]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-05-04 278528]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 57344]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-09-23 49152]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-11 406016]
"USB2Check"="c:\windows\system32\PCLECoInst.dll" [2004-09-21 73728]
"USBToolTip"="c:\programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe" [2005-06-13 192512]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"CamAppSTI.exe"="c:\programme\AVEO\AVEO USB2.0 PC Camera\CamAppSTI.exe" [2009-01-04 28672]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2009-06-19 195072]
.
c:\dokumente und einstellungen\HP_Besitzer\Startmen�\Programme\Autostart\
reminder-ScanSoft Produkt Registrierung.lnk - c:\programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE [2006-9-2 45056]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-9-23 282624]
HP Photosmart Premier - Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
PHOTOfunSTUDIO 4.0 HD Edition.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO 4.0 HD\AutoStartupService.exe [2010-7-5 146360]
ScanPanel.lnk - c:\scanpanel\ScnPanel.exe [2006-9-2 1748992]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14.10.2009 20:18 36880]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 13:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 18:39 19472]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.02.2010 20:02 135664]
S2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\drivers\ArtecGT.sys [13.04.2010 18:51 18120]
S3 AVEO;AVEO USB2.0 PC Camera;c:\windows\system32\drivers\aveodcnt.sys [30.07.2009 08:58 281600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [08.01.2008 13:17 1527900]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [08.01.2008 13:24 544768]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-08 19:02]
.
2011-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-08 19:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://kurier.at/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-RegisterDropHandler - c:\progra~1\TEXTBR~1.0\Bin\REGIST~1.EXE
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
AddRemove-SammlerScout - k:\i l s e\Neuer Ordner\SammlerScout\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-23 18:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(908)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
- - - - - - - > 'explorer.exe'(872)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\progra~1\TEXTBR~1.0\Bin\TBMHOOK.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PSIService.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\ALCXMNTR.EXE
c:\progra~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-23  18:58:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-23 17:58
.
Vor Suchlauf: 13 Verzeichnis(se), 135.903.137.792 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 136.025.436.160 Bytes frei
.
- - End Of File - - C8DD09A1F28EFB723FEAD067C5266B5B
         

--- --- ---


Bitte was nun???

Irgendwie ist das wie wenn du mir sagst "Spring aus dem Fenster" und ich mache es...
Ich habe nur eine ganz leise Ahnung von dem was ich da tue...und bin ganz baff, wenn es sogar funktioniert.

Liebe Grüsse,
Ilma