Probleme nach BKA-Malware! vssadmin.exe

ViedelNNN · 20.04.2011, 11:59

Hey

Also Punkt 1 - Erledigt!

Hier die neue Log-Datei:
(Das Problem hab ich nun so gelöst das ich die Datei jeweils umbenne, da Spybot den HijackThis Eintrag automatisch dort reinschreibt!)

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:13:03, on 20.04.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16766)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32Info.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Free YouTube Download - C:\Users\Alex\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Alex\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%systemroot%\system32\CISVC.EXE,-1 (CISVC) - Unknown owner - C:\Windows\system32\CISVC.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Hamachiiii\hamachi-2.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @mqutil.dll,-6102 (MSMQ) - Unknown owner - C:\Windows\system32\mqsvc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6689 bytes

--- --- ---

Punkt 2 - Erledigt

Allerdings hat Avira gestern noch 3 Java Trojaner gefunden,
gelöscht und in Quarantäne verschoben:
Bericht

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 19. April 2011  14:47

Es wird nach 2579604 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ALEX-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.635     31822 Bytes  07.03.2011 12:02:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  09.12.2010 14:18:07
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 11:42:16
LUKE.DLL       : 10.0.3.2      104296 Bytes  09.12.2010 14:18:07
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 15:01:32
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 15:05:28
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 12:14:34
VBASE004.VDF   : 7.11.5.226      2048 Bytes  07.04.2011 12:14:34
VBASE005.VDF   : 7.11.5.227      2048 Bytes  07.04.2011 12:14:34
VBASE006.VDF   : 7.11.5.228      2048 Bytes  07.04.2011 12:14:34
VBASE007.VDF   : 7.11.5.229      2048 Bytes  07.04.2011 12:14:34
VBASE008.VDF   : 7.11.5.230      2048 Bytes  07.04.2011 12:14:34
VBASE009.VDF   : 7.11.5.231      2048 Bytes  07.04.2011 12:14:34
VBASE010.VDF   : 7.11.5.232      2048 Bytes  07.04.2011 12:14:34
VBASE011.VDF   : 7.11.5.233      2048 Bytes  07.04.2011 12:14:34
VBASE012.VDF   : 7.11.5.234      2048 Bytes  07.04.2011 12:14:34
VBASE013.VDF   : 7.11.6.28     158208 Bytes  11.04.2011 15:20:23
VBASE014.VDF   : 7.11.6.74     116224 Bytes  13.04.2011 14:08:27
VBASE015.VDF   : 7.11.6.113    137728 Bytes  14.04.2011 12:25:27
VBASE016.VDF   : 7.11.6.150    146944 Bytes  18.04.2011 12:47:24
VBASE017.VDF   : 7.11.6.151      2048 Bytes  18.04.2011 12:47:24
VBASE018.VDF   : 7.11.6.152      2048 Bytes  18.04.2011 12:47:24
VBASE019.VDF   : 7.11.6.153      2048 Bytes  18.04.2011 12:47:24
VBASE020.VDF   : 7.11.6.154      2048 Bytes  18.04.2011 12:47:24
VBASE021.VDF   : 7.11.6.155      2048 Bytes  18.04.2011 12:47:24
VBASE022.VDF   : 7.11.6.156      2048 Bytes  18.04.2011 12:47:24
VBASE023.VDF   : 7.11.6.157      2048 Bytes  18.04.2011 12:47:24
VBASE024.VDF   : 7.11.6.158      2048 Bytes  18.04.2011 12:47:24
VBASE025.VDF   : 7.11.6.159      2048 Bytes  18.04.2011 12:47:24
VBASE026.VDF   : 7.11.6.160      2048 Bytes  18.04.2011 12:47:25
VBASE027.VDF   : 7.11.6.161      2048 Bytes  18.04.2011 12:47:25
VBASE028.VDF   : 7.11.6.162      2048 Bytes  18.04.2011 12:47:25
VBASE029.VDF   : 7.11.6.163      2048 Bytes  18.04.2011 12:47:25
VBASE030.VDF   : 7.11.6.164      2048 Bytes  18.04.2011 12:47:25
VBASE031.VDF   : 7.11.6.182    103936 Bytes  19.04.2011 12:47:25
Engineversion  : 8.2.4.208 
AEVDF.DLL      : 8.1.2.1       106868 Bytes  12.11.2010 15:09:58
AESCRIPT.DLL   : 8.1.3.58     1266042 Bytes  04.04.2011 12:01:48
AESCN.DLL      : 8.1.7.2       127349 Bytes  24.11.2010 18:19:00
AESBX.DLL      : 8.1.3.2       254324 Bytes  24.11.2010 18:19:00
AERDL.DLL      : 8.1.9.9       639347 Bytes  26.03.2011 22:19:00
AEPACK.DLL     : 8.2.6.0       549237 Bytes  08.04.2011 12:45:27
AEOFFICE.DLL   : 8.1.1.20      205177 Bytes  04.04.2011 12:01:39
AEHEUR.DLL     : 8.1.2.98     3441014 Bytes  16.04.2011 12:25:29
AEHELP.DLL     : 8.1.16.1      246134 Bytes  05.02.2011 21:37:18
AEGEN.DLL      : 8.1.5.4       397684 Bytes  04.04.2011 12:01:12
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 18:18:58
AECORE.DLL     : 8.1.20.2      196982 Bytes  08.04.2011 12:45:01
AEBB.DLL       : 8.1.1.0        53618 Bytes  12.11.2010 15:09:58
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 11:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 16:47:40
AVREG.DLL      : 10.0.3.2       53096 Bytes  12.11.2010 15:09:58
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  09.12.2010 14:18:07
AVARKT.DLL     : 10.0.22.6     231784 Bytes  09.12.2010 14:18:07
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 09:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 13:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  12.11.2010 15:09:58

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Dienstag, 19. April 2011  14:47

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '100' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Alex\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\48e15bc6-6a888eab
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BI
--> blor/hytji.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BI
--> blor/loom.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BF
--> poml/noobl.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BG
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 48ef0864.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Volume>
Beginne mit der Suche in 'E:\' <Backup>


Ende des Suchlaufs: Dienstag, 19. April 2011  17:27
Benötigte Zeit:  2:39:13 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  30567 Verzeichnisse wurden überprüft
 594254 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 594251 Dateien ohne Befall
   5538 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 749092 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Punkt 3 - Erledigt

Punkt 4 - Erledigt

Punkt 5 - Erledigt

Hier die Log-Datei:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=a34d122d93a17b409a5bedab24b7f240
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-04-20 10:47:23
# local_time=2011-04-20 12:47:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7600 NT 
# compatibility_mode=1797 16775165 100 94 329719 39820985 63275 0
# compatibility_mode=5893 16776573 100 94 69188 55693400 0 0
# compatibility_mode=8192 67108863 100 0 162 162 0 0
# scanned=154747
# found=4
# cleaned=4
# scan_time=8714
C:\Users\Alex\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\7bb99554-69343316	möglicherweise Variante von Win32/Agent.DYXWUMY Trojaner (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Alex\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-754b9019	möglicherweise Variante von Win32/Agent.DYXWUMY Trojaner (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C
C:\Users\Alex\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\5483cf77-7a5e2e47	Variante von Java/TrojanDownloader.OpenStream.NBM Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)	00000000000000000000000000000000	C
E:\ALEX-PC\Backup Set 2011-02-07 164609\Backup Files 2011-02-07 164609\Backup files 2.zip	möglicherweise Variante von Win32/Agent.DYXWUMY Trojaner (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C

Naja Häufigkeit und Art des Problems ist eigentlich das mein PC an sich langsamer läuft und auch bei bestimmten Spielen mittendrin Hänger kommen bei dem beim PC nichts mehr geht und ich auf die Reaktion erstmal warten muss.

Im Anhang hab ich noch den Screen von dem Fund von Spybot hochgeladen, den komischerweise sonst KEIN PROGRAMM findet?!

So Danke schonmal

und wie soll ich jetzt weiter verfahren?
grüße ViedelNNN

kira · 20.04.2011, 12:20

Zitat:

Zitat von ViedelNNN

Im Anhang hab ich noch den Screen von dem Fund von Spybot hochgeladen, den komischerweise sonst KEIN PROGRAMM findet?!

Kann ein Fehlalarm sein, aber trotz allem sollte man nicht gleich direkt auf löschen gehen, sondern alle Meldungen ernst nehmen und nachgehen
das machen wir jetzt:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - nklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren::
→ Tipps für die Suche nach Dateien

Code:

ATTFilter

C\Windows\System32\vssadmin.exe

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Code:

ATTFilter

Datei  File name:
<hier kommt die Dateiname>
Submission date:
2010-10-22 03:34:01 (UTC)
Current status:
queued queued analysing finished
Result:
.....%
    
VT Community

goodware/badware
 Safety score: 100.0% 
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.10.22.00    2010.10.21    -
AntiVir    7.10.13.15    2010.10.21    -
Antiy-AVL    2.0.3.7    2010.10.22    -
Authentium    5.2.0.5    2010.10.22    -
Avast    4.8.1351.0    2010.10.21    -
Avast5    5.0.594.0    2010.10.21    -
usw........

...werden geprüft v. mehr wie 40 Online Virus Scanner...also Geduld!!

ViedelNNN · 20.04.2011, 12:38

Also ich lass die eine Datei jetzt schon bestimmt 15 minuten lang da "hochladen" ...

es tut sich nichts.

Hängt das evtl auch damit zusammen das, wie ich weiter oben beschrieben habe, sich auch mein Explorer aufhängt wenn ich einen Rechtsklick auf die Datei mache?
Zudem langsamen PC sind nun auch "hänger" sowohl beim Laden Datein und Ordner als auch im FireFox aufgetretten, d.h. die Meldung "Keine Rückmeldung" erscheint bis er sich dann wieder beruhigt! ...

Hilfe? ^^

ViedelNNN · 20.04.2011, 20:05

Ich korregiere

es sind gut und gerne über 2 Stunden die er versucht hat es hochzuladen

ich hab zudem noch versucht die Datei zu ersetzen ... geht nicht
löschen ebensowenig, auch nicht im Abgesicherten Modus.

Was jetzt?

HILFE

kira · 20.04.2011, 22:47

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:filefind
vssadmin.exe
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

ViedelNNN · 20.04.2011, 23:55

Gut hab ich gemacht.
Wusste nicht genau ob es schon direkt als "Admin starten" gild wenn das Windows-Wappen auf dem Icon ist, daher hab ich 2 durlcuahfen lassen.
Den ersten einfach mit Doppelklick, den zweiten mit "Als Administrator starten".

1.

Code:

ATTFilter

SystemLook 04.09.10 by jpshortstuff
Log created at 00:43 on 21/04/2011 by Alex
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "vssadmin.exe"
C:\Windows\System32\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B
C:\Windows\SysWOW64\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B
C:\Windows\winsxs\amd64_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_207247174b54af00\vssadmin.exe	--a---- 167424 bytes	[23:37 13/07/2009]	[01:39 14/07/2009] E23DD973E1444684EB36365DEFF1FC74
C:\Windows\winsxs\x86_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_c453ab9392f73dca\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B

-= EOF =-

2.

Code:

ATTFilter

SystemLook 04.09.10 by jpshortstuff
Log created at 00:47 on 21/04/2011 by Alex
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== filefind ==========

Searching for "vssadmin.exe"
C:\Windows\System32\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B
C:\Windows\SysWOW64\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B
C:\Windows\winsxs\amd64_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_207247174b54af00\vssadmin.exe	--a---- 167424 bytes	[23:37 13/07/2009]	[01:39 14/07/2009] E23DD973E1444684EB36365DEFF1FC74
C:\Windows\winsxs\x86_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_c453ab9392f73dca\vssadmin.exe	--a---- 115200 bytes	[23:23 13/07/2009]	[01:14 14/07/2009] B157E727FFA48BAA4BE7165F38B1FF7B

-= EOF =-

Was mir auch noch Aufgefallen ist, ist das das Windows-Wartungcenter immer wieder Nachrichten anzeigt, nach dennen zu Folge Avira Inaktiv und wieder Aktiv geschaltet wird! Auch kam die Nachricht das bei Avira "erfolgreich die neuen Einstellungen festgelegt wurden" und dann wird zum PC Neustart aufgefordert(also via Ja Nein Button)

MfG

kira · 21.04.2011, 06:04

Zitat:

Zitat von ViedelNNN

ich hab zudem noch versucht die Datei zu ersetzen ... geht nicht
löschen ebensowenig, auch nicht im Abgesicherten Modus.

Keine unüberlegten Aktionen zu starten! Beachte bitte folgendes!:
► Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet nicht,dass sie so harmlos sind, wie (oft) dargestellt wird

Zitat:

Arbeitsweise:
Um schädliche Software zu erkennen, hat jeder Virenscanner eine Liste mit Beispielen aller ihm bekannten Viren und anderer schädlicher Software (Virensignaturen oder auch Virendefinitionen genannt), mit der er die zu überprüfende Software vergleicht. Stimmt eine Datei oder ein Teil einer Datei mit einem Beispiel aus der Liste überein, werden Schritte zur Neutralisierung und gegebenenfalls zur Reparatur der infizierten Datei und zur Beseitigung der schädlichen Software unternommen.

Daher kämen auch Fehlalarme immer wieder vor

- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- Wichtig!:[/u] muss auf dem Desktop installiert werden!
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten

Zitat:

** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung

**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

ViedelNNN · 21.04.2011, 10:07

So habe alles so gemacht wie du gesagt hast und ich glaube diese Stelle in dem Bericht ist das wodrauf ich die ganze Zeit gewartet habe

Zitat:

Infizierte Kopie von c:\windows\System32\vssadmin.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\winsxs\amd64_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_207247174b54af00\vssadmin.exe wurde wiederhergestellt

Hier dier ganze Bericht

[code]
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-19.03 - Alex 21.04.2011  10:48:17.1.4 - x64
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.4094.2821 [GMT 2:00]
ausgeführt von:: c:\users\Alex\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
D:\install.exe
.
Infizierte Kopie von c:\windows\System32\vssadmin.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\amd64_microsoft-windows-vssadmin_31bf3856ad364e35_6.1.7600.16385_none_207247174b54af00\vssadmin.exe wurde wiederhergestellt
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-21 bis 2011-04-21  ))))))))))))))))))))))))))))))
.
.
2011-04-20 08:19 . 2011-04-20 08:19	--------	d-----w-	c:\program files (x86)\ESET
2011-04-19 21:57 . 2011-04-19 21:57	521448	----a-w-	c:\windows\system32\deployJava1.dll
2011-04-19 21:57 . 2011-04-19 21:57	--------	d-----w-	c:\program files\Java
2011-04-19 13:09 . 2011-04-11 08:21	8802128	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{203D906E-2FD1-49F5-8325-32B82E41B1C9}\mpengine.dll
2011-04-19 09:06 . 2011-04-19 09:06	388096	----a-r-	c:\users\Alex\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-04-19 09:06 . 2011-04-19 09:06	--------	d-----w-	c:\program files (x86)\Trend Micro
2011-04-18 20:09 . 2011-04-18 20:09	--------	d-----w-	c:\programdata\WinZip
2011-04-17 10:05 . 2011-04-17 10:06	--------	d-----w-	c:\users\Alex\AppData\Roaming\DVDVideoSoft
2011-04-17 10:05 . 2011-04-17 10:05	--------	d-----w-	c:\program files (x86)\DVDVideoSoft
2011-04-15 14:24 . 2011-02-24 06:30	476160	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-04-15 14:24 . 2011-02-24 05:32	288256	----a-w-	c:\windows\SysWow64\XpsGdiConverter.dll
2011-04-15 14:24 . 2011-02-18 06:37	612352	----a-w-	c:\windows\system32\vbscript.dll
2011-04-15 14:24 . 2011-02-18 05:36	428032	----a-w-	c:\windows\SysWow64\vbscript.dll
2011-04-15 14:24 . 2011-03-03 03:58	3133440	----a-w-	c:\windows\system32\win32k.sys
2011-04-15 14:24 . 2011-03-11 06:19	1395712	----a-w-	c:\windows\system32\mfc42.dll
2011-04-15 14:24 . 2011-03-11 06:19	1359872	----a-w-	c:\windows\system32\mfc42u.dll
2011-04-15 14:24 . 2011-03-11 05:40	1137664	----a-w-	c:\windows\SysWow64\mfc42.dll
2011-04-15 14:24 . 2011-03-11 05:40	1164288	----a-w-	c:\windows\SysWow64\mfc42u.dll
2011-04-15 14:23 . 2011-02-23 05:16	461312	----a-w-	c:\windows\system32\drivers\srv.sys
2011-04-15 14:23 . 2011-02-23 05:16	401920	----a-w-	c:\windows\system32\drivers\srv2.sys
2011-04-15 14:23 . 2011-02-23 05:15	161792	----a-w-	c:\windows\system32\drivers\srvnet.sys
2011-04-15 14:23 . 2011-02-19 06:36	46080	----a-w-	c:\windows\system32\atmlib.dll
2011-04-15 14:23 . 2011-02-19 05:32	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2011-04-15 14:23 . 2011-02-19 04:13	367104	----a-w-	c:\windows\system32\atmfd.dll
2011-04-15 14:23 . 2011-02-19 03:37	294912	----a-w-	c:\windows\SysWow64\atmfd.dll
2011-04-12 16:51 . 2011-04-12 16:51	--------	d-----w-	c:\program files (x86)\Gigabyte
2011-04-12 16:51 . 2005-04-03 21:02	69714	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-04-12 16:51 . 2005-04-03 21:01	274432	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-04-12 16:51 . 2005-04-03 21:00	184320	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-04-12 16:51 . 2005-04-03 21:00	63488	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ISBEW64.exe
2011-04-12 16:51 . 2005-04-03 20:59	5632	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-04-12 16:51 . 2011-04-12 16:51	331908	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-04-12 16:51 . 2011-04-12 16:51	200836	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-04-12 16:51 . 2005-04-03 21:02	753664	----a-w-	c:\program files (x86)\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-04-11 13:57 . 2011-04-13 08:06	--------	d-----w-	c:\program files (x86)\ICQ7.4
2011-04-09 22:38 . 2011-04-10 08:13	--------	d-----w-	c:\users\Alex\AppData\Roaming\Ahil
2011-04-09 22:38 . 2011-04-09 22:43	--------	d-----w-	c:\users\Alex\AppData\Roaming\Dunua
2011-03-22 18:38 . 2011-03-22 18:38	12800	----a-w-	c:\program files (x86)\Mozilla Firefox\plugins\npwachk.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-21 08:53 . 2009-12-30 18:03	4194304	----a-w-	c:\windows\ServiceProfiles\NetworkService\msmqlog.bin
2011-04-21 08:53 . 2009-12-19 11:43	25640	----a-w-	c:\windows\gdrv.sys
2011-04-12 16:33 . 2010-01-07 20:46	126464	----a-w-	c:\windows\SysWow64\Setup.dll
2011-02-19 06:37 . 2011-03-09 13:38	1135104	----a-w-	c:\windows\system32\FntCache.dll
2011-02-19 06:37 . 2011-03-09 13:38	1540608	----a-w-	c:\windows\system32\DWrite.dll
2011-02-19 06:36 . 2011-03-09 13:38	902656	----a-w-	c:\windows\system32\d2d1.dll
2011-02-19 05:32 . 2011-03-09 13:38	1074176	----a-w-	c:\windows\SysWow64\DWrite.dll
2011-02-19 05:32 . 2011-03-09 13:38	739840	----a-w-	c:\windows\SysWow64\d2d1.dll
2011-02-18 15:36 . 2011-02-18 15:36	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2011-02-18 15:36 . 2011-02-18 15:36	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
2011-02-16 21:15 . 2011-02-16 21:15	560	----a-w-	C:\aaw7boot.cmd
2011-02-02 16:11 . 2009-12-19 12:04	270720	------w-	c:\windows\system32\MpSigStub.exe
2011-01-26 06:53 . 2011-02-09 13:25	982912	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-01-26 06:53 . 2011-02-09 13:25	265088	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-01-26 06:31 . 2011-02-09 13:25	144384	----a-w-	c:\windows\system32\cdd.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-04 98304]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-12 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 LVPr2M64;Logitech LVPr2M64 Driver;c:\windows\system32\DRIVERS\LVPr2M64.sys [x]
R3 LVUSBS64;Logitech USB Monitor Filter;c:\windows\system32\drivers\LVUSBS64.sys [x]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 LVPrcS64;Process Monitor;c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe [2009-10-06 191000]
R4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2009-12-09 1394504]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-11-12 135336]
S2 ES lite Service;ES lite Service for program management.;c:\program files (x86)\Gigabyte\EasySaver\ESSVR.EXE [2009-08-24 68136]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\hamachiiii\hamachi-2.exe [2011-03-28 2111368]
S2 iprip;RIP-Überwachung;c:\windows\System32\svchost.exe [2009-07-14 27136]
S3 Ph3xIB64;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB64.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
iissvcs	REG_MULTI_SZ   	w3svc was
apphost	REG_MULTI_SZ   	apphostsvc
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-01-20 6963744]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-01-20 1833504]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Alex\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\Alex\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.4\ICQ.exe
FF - ProfilePath - c:\users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\jwncnph2.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - www.google.de
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-RecordNow! - (no file)
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-21  10:56:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-21 08:56
.
Vor Suchlauf: 10 Verzeichnis(se), 45.806.731.264 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 46.579.851.264 Bytes frei
.
- - End Of File - - 7EDC1AE989C7260B7A4047DA5949E590

--- --- ---

Ich Danke dir nochmal recht Herzlich für deine Hilfe!
Hoffe das jetzt alles wieder funktioniert

Bzw. gilt es noch etwas wichtiges zu beachten?

MfG
ViedelNNN

kira · 21.04.2011, 10:42

na fein, schön es geklappt hat

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:

Code:

ATTFilter

HijackThis/Trend Micro
filelist.bat
CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Wenn alles gut verlaufen und dein System läuft stabil,mache folgendes:
Systemsteuerung/System und Sicherheit/System/Computerschutz/Systemeigenschaften poppt auf und dann einen Sicherungspunkt erstellen
Systemwiederherstellung deaktivieren: Windows 7 - einen manuellen Systemwiederherstellungspunkt erstellen
also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder aktiviert sein!

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Zum Schluss, Systemreinigung mit SAS:
4.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

Probleme nach BKA-Malware! vssadmin.exe

Plagegeister aller Art und deren Bekämpfung: Probleme nach BKA-Malware! vssadmin.exe