Trojaner-Board - Problem beim Entfernen des BKA Virus über registry

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem beim Entfernen des BKA Virus über registry (https://www.trojaner-board.de/105382-problem-beim-entfernen-bka-virus-registry.html)

Problem beim Entfernen des BKA Virus über registry

Hallo, ich habe folgendes Problem:
Gestern abend habe ich mir den BKA Virus eingefangen. Im Internet sind nun sämtliche Anleitungen zum entfernen, ich wollte den Virus also über regedit.exe im abgesicherten Modus entfernen. Nach längerem durchklicken exakt nach der Anleitung soll man den Pfad von "Shell" nun durch einen Doppelklick in "explorer.exe" umbenennen. Mein Problem besteht jetzt darin, dass der Pfad von "Shell" bereits "explorer.exe" heißt. Was soll ich jetzt machen ? Besteht die Möglichkeit den Pfad anderweitig umzubenennen ? Ich werde später auch die rescue Disc mal einlegen... Ich würde mich sehr über Hilfe freuen. Danke im vorraus.

Grüße
Jonas

hi
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

Doppelklick auf die
OTL.exe

Vista und Win7 User mit Rechtsklick "als Administrator starten"
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan
links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Das Programm im "abgesicherten Modus" herunterladen ? Weil beim normalen Hochfahren öffnet sich unmittelbar nach Laden des Hintergrundes der Virus ich kann also nichts machen...
Danke schonmal für die schnelle Antwort!

Habe einen Anhang erstellt...

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKCU..\Run: [vasja] C:\Users\Ginsberg\AppData\Local\Temp\upd.exe ()

:Files

C:\Users\Ginsberg\AppData\Local\Temp\upd.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
pc sollte normal starten, falls ja weiter hiermit:

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Ich werds probieren. Vielen Dank für die viele Mühe, ich weiß das sehr zu schätzen!

Windows ist nun normal gestartet, wie meinst du das mit der otl.txt, sollte diese sich von alleine öffnen ? wenn ja ist das nicht der fall bei mir. Oder soll ich otl nochmal durchlaufen lassen ? entschuldige aber ich kenne mich kaum aus ._.

nein, wenn sie das nicht macht, mache mal mit dem nächsten schritt, dem upload, weiter.

Entschuldigung aber ich muss nochmal fragen: Was soll ich bei "verdächtige Dateien suchen" genau machen ?

na du musst vorher auf moved files gehen und das archiv erstellen.
dann den beitrag lesen, in den upload channel gehen, durchsuchen, in _OTL navigieren, movedfiles archiv auswählen und hochladen.

habe ein archiv erstellt aber wo ist es zu finden ? unter "_otl" ist nur der ordner "movedfiles"

es muss aber schon da sein, wenn du den ordner moved files gepackt hast. wenn nicht machs halt noch mal

bei "zu archiv hinzufügen" -> art der aktualisierung: -hinzufügen und ersetzen
-aktualisieren und hinzufügen
-vohandene dateien aktualisieren
was muss ich davon nehmen ?

-aktualisieren und hinzufügen

warum nimmst du nicht enfach zu moved files.rar hinzufügen wenn du winrar nutzt bzw bei 7zip geht das auch, über rechtsklick

hmm passiert immernoch nichts -.-
es gibt beim erstellen noch optionen wie:
-zum schreiben geöffnete dateien einbeziehen (zum "anhaken")
- in teildaten aufsplitten (bytes):

kann es damit was zu tun haben ? ansonsten kann ich mir das nicht erklären..
wie soll ich weiter fortfahren wenn das mit dem archiv nicht klappt ?

na was ist denn da so schwer drann nen archiv zu erstellen...
du machst nen rechtsklick, du hast 7zip wie sich das anhört.dann wählst du 7zip klappst das menü auf, hinzufügen zu movedfiles.7zip und dann sollte auch schon das archiv erstellt werden :-)

okay es hing mit dem usb stick zusammen...
hab jetzt eine bloße "7z" datei und hab zusätzlich noch nen zip komprimierten ordner..
die datei einfach hochladen ?

genau
http://www.trojaner-board.de/54791-a...ner-board.html
und zwar im upload channel wie beschrieben in dem link

okay ist hochgeladen

danke dir

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Combofix Logfile:

Code:

ComboFix 11-11-24.01 - Ginsberg 24.11.2011  20:55:16.1.1 - x86

Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.2046.1294 [GMT 1:00]

ausgeführt von:: c:\users\Ginsberg\Downloads\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-10-24 bis 2011-11-24  ))))))))))))))))))))))))))))))

.

.

2011-11-24 20:05 . 2011-11-24 20:05        --------        d-----w-        c:\users\Ginsberg\AppData\Local\temp

2011-11-24 20:05 . 2011-11-24 20:05        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-11-24 19:07 . 2011-11-24 19:07        --------        d-----w-        c:\users\Ginsberg\AppData\Local\Apps

2011-11-24 18:31 . 2011-11-24 18:31        --------        d-----w-        c:\program files\_OTL

2011-11-24 18:24 . 2011-11-24 18:24        56200        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{375413EF-C6C8-4A47-9B20-7E7738F6A801}\offreg.dll

2011-11-22 13:16 . 2011-10-07 03:48        6668624        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{375413EF-C6C8-4A47-9B20-7E7738F6A801}\mpengine.dll

2011-11-19 18:01 . 2004-10-22 01:18        749568        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll

2011-11-19 18:01 . 2004-10-22 01:17        69715        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll

2011-11-19 18:01 . 2004-10-22 01:17        274432        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll

2011-11-19 18:01 . 2004-10-22 01:16        180224        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll

2011-11-19 18:01 . 2004-10-22 01:16        5632        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe

2011-11-19 18:01 . 2004-10-22 01:13        32768        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\Objectps.dll

2011-11-19 18:00 . 2011-11-19 18:00        323716        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll

2011-11-19 18:00 . 2011-11-19 18:00        192644        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll

2011-11-14 20:27 . 2011-11-14 20:27        --------        d-----w-        c:\program files\THQ

2011-11-14 18:51 . 2011-11-14 18:52        --------        d-----w-        c:\program files\7-Zip

2011-11-13 15:26 . 2011-11-13 16:41        --------        d-----w-        c:\programdata\NFS Underground

2011-11-12 22:52 . 2011-11-13 10:16        --------        d-----w-        c:\program files\Common Files\Steam

2011-11-09 14:42 . 2011-09-29 16:03        1290608        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2011-11-09 14:42 . 2011-10-01 04:37        708608        ----a-w-        c:\program files\Common Files\System\wab32.dll

2011-11-09 14:42 . 2011-09-29 03:37        2341888        ----a-w-        c:\windows\system32\win32k.sys

2011-11-02 11:58 . 2011-11-02 12:01        --------        d-----w-        c:\program files\Safari

2011-11-01 12:14 . 2011-11-01 12:14        --------        d-----w-        c:\programdata\boost_interprocess

2011-11-01 02:19 . 2011-11-01 02:19        --------        d-----w-        c:\users\Ginsberg\AppData\Local\Ilivid Player

2011-11-01 02:18 . 2011-11-01 02:18        --------        dc-h--w-        c:\programdata\{1B0B54CA-AA7D-41D3-A84A-29E7C9CB13A2}

2011-11-01 02:16 . 2011-11-01 02:16        --------        d-----w-        c:\program files\Windows iLivid Toolbar

2011-11-01 02:16 . 2011-11-01 02:17        --------        d-----w-        c:\program files\SearchCore for Browsers

2011-11-01 02:16 . 2011-11-01 02:16        --------        d-----w-        c:\users\Ginsberg\AppData\Local\PackageAware

2011-10-28 00:03 . 2011-11-02 12:06        --------        d-----w-        c:\program files\Audacity

2011-10-26 10:38 . 2011-08-13 04:18        6144        ----a-w-        c:\program files\Internet Explorer\iecompat.dll

2011-10-26 10:28 . 2011-10-26 10:28        --------        d-----w-        C:\found.001

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-24 16:16 . 2011-10-24 16:16        0        ---ha-w-        c:\users\Ginsberg\AppData\Local\BITEFBF.tmp

2011-10-24 15:57 . 2011-10-24 15:57        0        ---ha-w-        c:\users\Ginsberg\AppData\Local\BITFF21.tmp

2011-10-01 02:42 . 2011-10-13 13:01        1638912        ----a-w-        c:\windows\system32\mshtml.tlb

2011-09-18 11:14 . 2009-07-14 02:05        152576        ----a-w-        c:\windows\system32\msclmd.dll

2011-09-12 20:22 . 2011-09-12 20:22        107888        ----a-w-        c:\windows\system32\CmdLineExt.dll

2011-08-27 04:26 . 2011-10-13 13:02        571904        ----a-w-        c:\windows\system32\oleaut32.dll

2011-08-27 04:26 . 2011-10-13 13:02        233472        ----a-w-        c:\windows\system32\oleacc.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2009-04-14 604704]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

"AVMWlanClient"="c:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\SEARCH~1\SEARCH~1\datamngr.dll c:\progra~1\SEARCH~1\SEARCH~1\IEBHO.dll

.

[HKLM\~\startupfolder\C:^Users^Ginsberg^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]

path=c:\users\Ginsberg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk

backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]

c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-08-18 23:07        421736        ----a-w-        c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]

2011-08-04 07:50        966712        ----a-w-        c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2011-07-05 16:36        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-04-08 10:59        254696        ----a-w-        c:\program files\Common Files\Java\Java Update\jusched.exe

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-07-21 135664]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-07-21 135664]

R3 netr73;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-07-13 545792]

R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2011-05-18 137600]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 15872]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]

R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]

R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-07-03 136360]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]

S3 KovaPlusFltr;ROCCAT Kova[+] Mouse;c:\windows\system32\drivers\KovaPlusFltr.sys [2010-01-25 11:23 12928]

.

.

Inhalt des "geplante Tasks" Ordners

.

2011-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-21 14:23]

.

2011-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-21 14:23]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.searchqu.com/406

uInternet Settings,ProxyOverride = *.local

IE: Free YouTube to MP3 Converter - c:\users\Ginsberg\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\Ginsberg\AppData\Roaming\Mozilla\Firefox\Profiles\n38mjjni.default\

FF - prefs.js: browser.search.defaulturl - hxxp://plasmoo.com/index.htm?SearchMashine=true&amp;q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.arcor.de/

FF - prefs.js: keyword.URL - hxxp://www.searchqu.com/web?src=ffb&appid=101&systemid=406&sr=0&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}

FF - Ext: Plasmoo Search Engine: engine@plasmoo.com - %profile%\extensions\engine@plasmoo.com

FF - Ext: SearchquToolbar: {99079a25-328f-4bd4-be04-00955acaa0a7} - %profile%\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}

FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-10 - (no file)

HKCU-Run-Steam - c:\program files\Steam\Steam.exe

AddRemove-Steam App 440 - c:\program files\Steam\steam.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.download\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="SafariDownload"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

@Denied: (2) (S-1-5-21-3503340517-2431221921-1227171203-1001)

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

@Denied: (2) (S-1-5-21-3503340517-2431221921-1227171203-1001)

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.safariextz\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="SafariExtension"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]

@Denied: (2) (S-1-5-21-3503340517-2431221921-1227171203-1001)

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="SafariHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.webarchive\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="SafariHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]

@Denied: (2) (S-1-5-21-3503340517-2431221921-1227171203-1001)

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]

@Denied: (2) (S-1-5-21-3503340517-2431221921-1227171203-1001)

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="SafariHTML"

.

[HKEY_USERS\S-1-5-21-3503340517-2431221921-1227171203-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:85,13,b9,13,a1,ac,b3,d9,88,ae,7f,9f,31,80,4e,29,11,c3,82,c9,e4,f2,bd,

   d4,c0,91,db,f9,7a,4e,0e,a8,8f,05,4a,36,99,7a,93,df,7e,2c,60,6f,0f,4d,57,1c,\

"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-11-24  21:09:35

ComboFix-quarantined-files.txt  2011-11-24 20:09

.

Vor Suchlauf: 5.524.152.320 Bytes frei

Nach Suchlauf: 5.444.767.744 Bytes frei

.

- - End Of File - - 1744DD339CDA1420E853731C247D1B60

--- --- ---

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

kann ich den computer eigentlich wieder ganz normal nutzen oder muss ich noch auf weiter schritte warten ? danke nochmal für die viele mühe !

wieso warten, sind doch schon weitere schritte gepostet.
kann ich dir noch nicht sagen ob du ihn nutzen kannst, auf jeden fall für nichts wichtiges, man weis ja nie.

ja sind sie bevor ich den kommentar geschrieben hab stand noch nichts da, und dann haben wir wohl fast zeitgleich geschrieben...

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8234

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

24.11.2011 23:14:55
mbam-log-2011-11-24 (23-14-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 255690
Laufzeit: 1 Stunde(n), 4 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\_OTL\movedfiles\11242011_192000\C_Users\Ginsberg\AppData\Local\Temp\upd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

sieht gut aus.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.12.1572
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

7-Zip 9.20 13.11.2011(notwendig)
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 07.07.2011 6,00MB 10.3.181.34(notwendig)
Adobe Reader X (10.1.0) - Deutsch Adobe Systems Incorporated 30.07.2011 165,3MB 10.1.0(notwendig)
Apple Application Support Apple Inc. 01.11.2011 61,2MB 2.1.5(unnötig)
Apple Mobile Device Support Apple Inc. 25.09.2011 22,1MB 3.4.1.2(unnötig)
Apple Software Update Apple Inc. 25.09.2011 2,38MB 2.1.3.127(unnötig)
Avira AntiVir Personal - Free Antivirus Avira GmbH 19.10.2011 70,7MB 10.2.0.704(notwendig)
Battlefield 2(TM) 18.11.2011(notwendig)
Bonjour Apple Inc. 25.09.2011 1,02MB 3.0.0.2(unbekannt)
CCleaner Piriform 17.09.2011 3.10(notwendig)
DotAzilla Dota-League.com 18.10.2011(notwendig)
iTunes Apple Inc. 25.09.2011 141,2MB 10.4.1.10(notwendig)
Java(TM) 6 Update 26 Sun Microsystems, Inc. 04.12.2010 97,2MB 6.0.260(notwendig)
Malwarebytes' Anti-Malware Version 1.51.2.1300 Malwarebytes Corporation 23.11.2011 13,8MB 1.51.2.1300(notwendig)
Microsoft .NET Framework 1.1 24.10.2011(unbekannt)
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 07.07.2011 38,8MB 4.0.30319(unbekannt)
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 07.07.2011 2,94MB 4.0.30319(unbekannt)
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 24.10.2011 0,29MB 8.0.61001(unbekannt)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 04.12.2010 0,58MB 9.0.30729.4148(unbekannt)
Mozilla Firefox (3.6.24) Mozilla 09.11.2011 3.6.24 (de)(notwendig)
Mozilla Thunderbird (3.1.6) Mozilla 04.12.2010 3.1.6 (de)(notwendig)
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 04.09.2011 35,00KB 4.20.9870.0(unbekannt)
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 04.09.2011 1,33MB 4.20.9876.0(unbekannt)
Nokia Connectivity Cable Driver Nokia 01.09.2011 3,61MB 7.1.45.0(notwendig)
Nokia Ovi Suite Nokia 01.09.2011 3.1.1.85(notwendig)
Nokia Ovi Suite Software Updater Nokia Corporation 01.09.2011 44,6MB 02.07.004.45780(notwendig)
NVIDIA Display Control Panel NVIDIA Corporation 06.07.2011 129,0MB 6.14.12.5896(notwendig)
NVIDIA Drivers NVIDIA Corporation 06.07.2011 63,0MB 1.10.62.40(notwendig)
OpenOffice.org 3.2 OpenOffice.org 04.12.2010 379MB 3.2.9502(notwendig)
PC Connectivity Solution Nokia 01.09.2011 13,0MB 11.4.19.0(notwendig)
PhotoScape 20.07.2011(notwendig)
QuickTime Apple Inc. 25.09.2011 73,0MB 7.70.80.34(notwendig)
ROCCAT Kova[+] Mouse Driver Roccat GmbH 21.07.2011 13,0MB 1.10(notwendig)
Safari Apple Inc. 01.11.2011 43,2MB 5.34.51.22(notwendig)
Skype Click to Call Skype Technologies S.A. 12.10.2011 18,6MB 5.6.8312(unnötig)
Skype™ 5.5 Skype Technologies S.A. 12.10.2011 17,0MB 5.5.119(notwendig)
Warcraft III Blizzard Entertainment 07.04.2011(notwendig)
Windows iLivid Toolbar Bandoo Media, Inc 31.10.2011 3.0.0.115554(unnötig)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) Nokia 01.09.2011 08/22/2008 7.0.0.0(notwendig)

deinstaliere:
Adobe Flash Player 10
neueste laden:
Adobe - Andere Version des Adobe Flash Player installieren
deinstaliere:
Bonjour
Java
downloade java jre:
Download der kostenlosen Java-Software
instaliere es
deinstaliere:
Mozilla Firefox
neueste:
Webbrowser Firefox auf Deutsch | Schneller, sicherer und anpassbar
thunderbird:
download:
Herunterladen
deinstaliere:
Skype Click to Call
Windows iLivid

bereinige mit dem ccleaner.

Alles gemacht Chef !

ok meiner meinung nach sieht alles gut aus.
öffne mal otl klicke bereinigen neustarten.
falls keine probleme auftreten haben wirs

VIELEN DANK für die viele Mühe und Zeit. Wirklich tolle Sache das Forum hier ! :-))
werde für deine arbeit mal was auf euer konto überweisen und das hier nur weiterempfehlen ;)

danke schön :-) ein schönes wochenende wünsche ich noch.

Hallo,
bis jetzt läuft eigentlich alles gut...
Habe noch eine Frage: Beim Öffnen des TaskManagers ist mir neulich aufgefallen,
dass zwei Prozesse namens "csrss.exe" und "nvvsvc.exe" laufen.
Diese haben doch nichts mehr mit dem Virus zu tun oder ?