Trojaner-Board - System Check und Redirect Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - System Check und Redirect Virus (https://www.trojaner-board.de/107755-system-check-redirect-virus.html)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=867034"

FF - prefs.js..browser.startup.homepage: "System Check und Redirect Virus

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2

[2011.05.08 19:45:20 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Mozilla\Firefox\Profiles\ovxpikc8.default\extensions\engine@conduit.com

O4 - HKLM..\Run: [MSConfig] C:\windows\System32\msconfig.exe (Microsoft Corporation)

O4 - HKCU..\Run: [{C70E256C-FE93-E222-BF64-C9297291F16D}] C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Evhie\owqoce.exe (Mirko Böer)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.12.22 16:12:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2012.01.13 20:24:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Opetdo

[2012.01.13 20:24:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Evhie

[2012.01.04 00:33:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

[2009.03.15 16:17:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}

[2010.05.12 10:45:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2009.10.15 11:25:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}

[2009.04.15 10:18:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:0C60DA15A04A68CD

@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
 

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hab ich gemacht. Allerdings bekam ich ne Fehlermeldung von OTL:
"Cannot create file C:\windows\System32\drivers\etc\Hosts."
Ich klickte auf "OK" und sehe nun mein Wallpaper (keine Desktop-Symbole, Taskleiste etc.) und OTL in dessen Fußleiste zu lesen ist "Resetting HOSTS file. DO NOT INTERRUPT..."

OTL steckt wohl fest.
Schließen, Neustarten und mal im abgesichtern Modus probieren?

Ich hab jetzt einfach mal getan, was ich in meinem letzten Post beschrieben habe: OTL schließen, Neustarten, OTL im abgesichterten Modus den Fix durchführen lassen. Das scheint funktioniert zu haben. Es wurde ein Reboot durchgeführt und dieses Log ausgegeben:

Code:

All processes killed

========== OTL ==========

Prefs.js: "chr-greentree_ff&type=867034" removed from browser.search.param.yahoo-fr

Prefs.js: "System Check und Redirect Virus removed from browser.startup.homepage

Prefs.js: engine@conduit.com:3.2.5.2 removed from extensions.enabledItems

Folder C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Mozilla\Firefox\Profiles\ovxpikc8.default\extensions\engine@conduit.com\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MSConfig not found.

File C:\windows\System32\msconfig.exe not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{C70E256C-FE93-E222-BF64-C9297291F16D} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C70E256C-FE93-E222-BF64-C9297291F16D}\ not found.

File C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Evhie\owqoce.exe not found.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File C:\AUTOEXEC.BAT not found.

Folder C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Opetdo\ not found.

Folder C:\Dokumente und Einstellungen\Maxelinho\Anwendungsdaten\Evhie\ not found.

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP\ not found.

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}\ not found.

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\ not found.

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}\ not found.

Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\ not found.

Unable to delete ADS C:\WINDOWS:0C60DA15A04A68CD .

Unable to delete ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 .

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Maxelinho

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 1261027 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 12527212 bytes

->Flash cache emptied: 456 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 483 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 13,00 mb

 

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.31.0 log created on 01142012_183429
 

Files\Folders moved on Reboot...

File\Folder C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temp\2011-10-04-1188123514_04-RG.PDF  not found!

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P35M1PX2\terms[1].html moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FYEV8FGU\ads[1].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FYEV8FGU\si[1].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CS62L785\ac7[2].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CS62L785\ads[1].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CS62L785\ads[2].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CS62L785\si[1].htm moved successfully.

C:\Dokumente und Einstellungen\Maxelinho\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CS62L785\WebAuth[1].htm moved successfully.
 

Registry entries deleted on Reboot...

Ja hat alles geklappt

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Habe mir das Programm "tdsskiller.exe" heruntergeladen. Wenn ich es starte, kommt eine Sicherheitswarnung und ich klicke auf "Ausführen". Danach passiert gar nichts. Das Programm scheint sich nicht zu öffnen.

Nachdem ich es ausprobiert habe, kann ich auch sagen, dass das Programm leider weder funktioniert, wenn es auf C: direkt, noch wenn es auf dem Desktop liegt, noch wenn es im abgesicherten Modus ausgeführt wird.

Zitat:

Wenn ich es starte, kommt eine Sicherheitswarnung und ich klicke auf "Ausführen"

Du machst es auch ganz sicher mit Adminrechten?

Auf dem WinXP-Startbildschirm wird nur ein Konto angegeben. Wenn ich im abgesichterten Modus starte wird noch ein Admin-Konto angegeben. Logge ich mich in dieses ein, kann ich aber auf die tdsskiller.exe nicht zugreifen. Starte ich WinXP wie gewohnt normal über das dann einzig angezeigte Konto und versuche die Datei durch "Ausführen als..." als Admin auszuführen, bekomme ich eine Fehlermeldung, die den Pfad oder fehlende Rechte anprangert.

Gehe ich auf Systemsteuerung wird das Benutzerkonto, welches ich benutze und welches als einziges im Startbildschirm auftaucht (Maxelinho) als Computeradministrator ausgewiesen. Von daher bin ich mir sicher, dass ich das Programm min Adminrechten ausführe. Oder?!

Zitat:

"Ausführen als..." als Admin auszuführen,

Ausführen als wird bei WindowsXP nur benötigt, wenn man als eingeschränkter Benutzer unterwegs und etwas als Admin ausdführen oder andersrum: man will als eingeloggter Admin etwas mit weniger Rechten ausführen.
Ganz allgemein: mit ausführen als wird ein Programm in einem anderen Benutzerkontext gestartet. Das Programm erbt die Rechte die der Benutzer hat.

AFAIR kann man seit XPSP2 nicht mehr ausführen als mit einem User mit leerem Kennwort benutzen!

Lass den TDSS-Killer mal weg, den versuchen wir vllt nachher nochmal.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Danke Arne!
Ich bin leider bis Donnerstagabend unterwegs, sodass ich erst wieder am Donnerstag an meinen PC kann. Ich werde dann umgehend CF ausführen und das Log hier posten.

Hi Arne!
Kann Avira nicht ausschalten. Wenn ich versuche avguard im Taskmanager zu beenden, erhalte ich folgende Meldung: "Der Vorgang konnte nicht beendet werden. Zugriff verweigert." Combofix mahnt das Laufen dieses Virenwächters als Risiko an (so wie du). Ich weiß nicht was ich machen soll.

Wenn der Wächter deaktiviert ist kannst du CF laufen lassen, notfalls Avira deinstallieren

Ok. Avira deinstalliert. Combofix gestartet. Nachdem Fenster, welches mich über das Downloaden und Installieren der Wiederherstellungskonsole informierte, bekam ich ne Fehlermeldung "Boot Partition kann nicht richtig enummeriert werden." Nahc bestätigen der Meldung ging es scheinbar normal weiter. Anbei das Log:

Code:

ComboFix 12-01-19.01 - Maxelinho 20.01.2012   1:25.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1590 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Maxelinho\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Mozilla\Firefox\firefox.exe

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\1.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\a.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\b.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\c.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\d.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\e.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\f.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\g.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\h.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\i.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\J.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\k.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\l.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\m.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\n.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\o.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\p.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\q.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\r.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\s.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\t.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\u.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\v.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\w.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\x.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\y.xml

c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\PriceGong\Data\z.xml

c:\windows\iun6002.exe

c:\windows\system32\config\msconfig.exe

c:\windows\system32\drivers\npf.sys

c:\windows\system32\Packet.dll

c:\windows\system32\PowerToyReadme.htm

c:\windows\system32\pthreadVC.dll

c:\windows\system32\WanPacket.dll

c:\windows\system32\wpcap.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-12-20 bis 2012-01-20  ))))))))))))))))))))))))))))))

.

.

2072-04-03 12:13 . 2008-03-21 13:46        607296        ------w-        d:\programme\Microsoft Games\Age of Empires III\deformerdllyD.dll

2012-01-15 18:46 . 2012-01-15 18:46        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache

2012-01-14 16:23 . 2012-01-14 16:23        --------        d-----w-        C:\_OTL

2012-01-14 01:49 . 2012-01-14 01:49        626688        ----a-w-        d:\programme\Mozilla Firefox\msvcr80.dll

2012-01-14 01:49 . 2012-01-14 01:49        548864        ----a-w-        d:\programme\Mozilla Firefox\msvcp80.dll

2012-01-14 01:49 . 2012-01-14 01:49        479232        ----a-w-        d:\programme\Mozilla Firefox\msvcm80.dll

2012-01-14 01:49 . 2012-01-14 01:49        43992        ----a-w-        d:\programme\Mozilla Firefox\mozutils.dll

2012-01-13 19:16 . 2012-01-13 19:16        --------        d-----w-        d:\programme\ESET

2012-01-07 23:36 . 2012-01-07 23:36        --------        d-----w-        c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\SUPERAntiSpyware.com

2012-01-07 23:35 . 2012-01-07 23:36        --------        d-----w-        d:\programme\SUPERAntiSpyware

2012-01-07 23:35 . 2012-01-07 23:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2012-01-04 01:40 . 2012-01-04 01:40        --------        d-----w-        d:\programme\CCleaner

2012-01-03 20:50 . 2012-01-03 23:33        --------        d-----w-        d:\programme\GridinSoft Trojan Killer

2012-01-03 20:34 . 2012-01-03 23:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-16 12:14 . 2011-05-12 22:28        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-12-10 14:24 . 2010-11-11 22:33        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-11-25 21:57 . 2004-08-04 12:00        293888        ----a-w-        c:\windows\system32\winsrv.dll

2011-11-23 14:40 . 2004-08-04 12:00        1859712        ----a-w-        c:\windows\system32\win32k.sys

2011-11-20 06:12 . 2004-08-04 12:00        61952        ----a-w-        c:\windows\system32\packager.exe

2011-11-04 19:13 . 2004-08-04 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2011-11-04 19:13 . 2004-08-04 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-11-04 19:13 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2011-11-04 11:23 . 2004-08-04 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-11-03 15:28 . 2004-08-04 12:00        387072        ----a-w-        c:\windows\system32\qdvd.dll

2011-11-03 15:28 . 2004-08-04 12:00        1297920        ----a-w-        c:\windows\system32\quartz.dll

2011-11-01 16:07 . 2004-08-04 12:00        1288704        ----a-w-        c:\windows\system32\ole32.dll

2011-10-28 05:31 . 2004-08-04 12:00        33280        ----a-w-        c:\windows\system32\csrsrv.dll

2011-10-26 10:49 . 2004-08-04 12:00        2151424        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-10-26 10:49 . 2004-08-04 00:50        2029568        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-01-14 01:49 . 2011-05-04 08:56        121816        ----a-w-        d:\programme\mozilla firefox\components\browsercomps.dll

2006-05-03 10:06        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30        216064        --sh--r-        c:\windows\system32\nbDX.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Play Wireless USB Adapter Utility.lnk - d:\programme\Belkin\F7D4101\V1\PBN.exe [2009-11-25 110592]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "d:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2011-05-04 17:54        551296        ----a-w-        d:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-01-03 07:37        843712        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]

2009-02-19 23:55        2292672        ----a-w-        d:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]

2010-04-13 00:29        47392        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]

2007-04-04 01:50        1603152        ----a-w-        d:\programme\Canon\MyPrinter\BJMYPRT.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]

2007-05-15 01:01        644696        ----a-w-        d:\programme\Canon\SolutionMenu\CNSLMAIN.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

2009-01-29 22:20        57344        ----a-w-        d:\programme\SlySoft\CloneCD\CloneCDTray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DisplayFusion]

2011-05-20 10:28        1949088        ----a-w-        d:\programme\DisplayFusion\DisplayFusion.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2008-10-25 10:44        31072        ----a-w-        d:\programme\Microsoft Office\Office12\GrooveMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-09-24 00:10        421160        ----a-w-        d:\programme\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Name of App]

2010-08-04 13:55        692317        ----a-w-        d:\programme\SAMSUNG\FW LiveUpdate\FWManager.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2010-01-11 21:17        110696        ----a-w-        c:\windows\system32\nvmctray.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-09-08 09:17        421888        ----a-w-        d:\programme\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ResChanger 2005]

2005-05-27 00:30        885248        ------w-        c:\programme\ResChanger 2005\ResChanger2005.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2006-04-02 01:44        16120832        ------r-        c:\windows\RTHDCPL.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-04-08 10:59        254696        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

2011-12-09 00:44        4616064        ----a-w-        d:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Internet Explorer\\iexplore.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Programme\\Mozilla Firefox\\firefox.exe"=

"d:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"d:\\Programme\\Trillian\\trillian.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"d:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=

"d:\\Programme\\Java\\jre6\\bin\\java.exe"=

"d:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=

"d:\\Programme\\ICQ6.5\\ICQ.exe"=

"d:\\Programme\\TVAnts\\Tvants.exe"=

"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"d:\\Programme\\SopCast\\SopCast.exe"=

"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"d:\\Programme\\devolo\\easyshare\\easyshare.exe"=

"d:\\Programme\\StarCraft II\\StarCraft II.exe"=

"d:\\Programme\\Bonjour\\mDNSResponder.exe"=

"d:\\Programme\\iTunes\\iTunes.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=

"d:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"d:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Dokumente und Einstellungen\\Maxelinho\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

"%windir%\explorer.exe"= %windir%\explorer.exe

.

R1 SASDIFSV;SASDIFSV;d:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 17:27 12880]

R1 SASKUTIL;SASKUTIL;d:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 22:55 67664]

R2 !SASCORE;SAS Core Service;d:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 00:38 116608]

R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [14.11.2008 03:11 17184]

R3 BCMH43XX;N+ Wireless USB Adapter Driver;c:\windows\system32\drivers\bcmwlhigh5.sys [06.11.2009 07:26 642432]

S2 WLANBelkinService;Belkin WLAN service;d:\programme\Belkin\F7D4101\V1\wlansrv.exe [28.12.2009 16:25 36864]

S4 Ipcmobvrviq;Ipcmobvrviq; [x]

.

Inhalt des "geplante Tasks" Ordners

.

2011-12-26 c:\windows\Tasks\AppleSoftwareUpdate.job

- d:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = local

IE: Free YouTube Download - c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1 83.169.185.97

FF - ProfilePath - c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Mozilla\Firefox\Profiles\ovxpikc8.default\

FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/107755-...tml#post750515

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

MSConfigStartUp-Adobe Reader Speed Launcher - d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

MSConfigStartUp-avgnt - d:\programme\Avira\AntiVir Desktop\avgnt.exe

MSConfigStartUp-Firefox helper - c:\dokumente und einstellungen\Maxelinho\Anwendungsdaten\Mozilla\Firefox\firefox.exe

MSConfigStartUp-nwiz - nwiz.exe

AddRemove-InstallShield_{C43C1415-3DFC-4089-9A32-0BECF28A6046} - d:\programme\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\autorun.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-01-20 01:59

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

.

c:\dokume~1\MAXELI~1\LOKALE~1\Temp\catchme.dll 53248 bytes executable

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 1

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1547161642-1979792683-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:f0,99,4b,7f,62,c1,9f,44,e2,14,58,26,ff,ef,a2,77,3b,c9,f1,50,2e,

   19,87,14,77,bb,40,10,7f,2e,27,55,62,c6,ab,2f,76,83,e3,ae,3d,ad,a5,61,56,ca,\

"rkeysecu"=hex:ab,cd,e6,90,60,75,dc,21,90,7b,44,b7,a8,ec,0a,5b

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(696)

d:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

Zeit der Fertigstellung: 2012-01-20  02:16:24

ComboFix-quarantined-files.txt  2012-01-20 01:16

ComboFix2.txt  2008-12-27 15:56

.

Vor Suchlauf: 4.170.199.040 Bytes frei

Nach Suchlauf: 4.292.419.584 Bytes frei

.

- - End Of File - - 6C43BC4CC3E6F593A8082EC07D7B2205

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Als ich Gmer startete bekam ich die Meldung "Ein dauerhafter Unterschlüssel kann nicht unter einem temporären übergeordneten Schlüssel erstellt werden." In der GUI des Programms konnte ich dann nicht bei allen Punkten der rechten Leiste Haken setzen. Ich klickte auf Scan und am Ende des Scans bekam ich die Meldung "Gmer hasn't found any system modification". Ein Log wurde nicht erstellt. So ging das zwei Mal. Dann versuchte ich es im abgesichtern Modus, auch das schlug fehl und als ich neustartete ging gar nicht mehr. Windows startet nicht mehr "Windows konnte nicht gestartet werden, weil folgende Datei fehlt oder beschädigt ist: <Windows root>\system32\hal.dll. Installieren Sie ein Exemplar der oben genannten Datei erneut.":confused: