Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Viren Befall TR/ATRAPS.Gen2 (https://www.trojaner-board.de/110923-viren-befall-tr-atraps-gen2.html)

bitshift 05.03.2012 03:17
Viren Befall TR/ATRAPS.Gen2
 
Hallo, ich habe mir Malware eingefangen, vermutlich am Sonntag.

Mit Avira Antivir wurden 3 Viren gefunden:
TR/ATRAPS.Gen2
BDS/ZAccess.Q (Meldungen tauchten häufiger auf)
BDS/Maxplus.B

Ich verwende Windows 7 x64 und benutze Firefox Portable 10.0.2 (neuste Version).
Das Java Plugin ist dabei automatisch installiert: Java(TM) Platform SE 6 U29 6.0.290.11


Im Verzeichnis C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\U
habe ich 2 verdächtige Dateien entdeckt, die nicht von AntiVir als Malware erkannt wurden:
800000cb.@
80000000.@ (wurde später von Malwarebytes in Quarantäne gesteckt)
Die beiden Dateien wurden am Sonntag um 16 Uhr geändert.



Scanbericht Avira Antivir:
Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 4. März 2012  16:29

Es wird nach 3515858 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  :

Versionsinformationen:
BUILD.DAT      : 12.0.0.898    41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE    : 12.1.0.20    492496 Bytes  15.02.2012 21:26:02
AVSCAN.DLL    : 12.1.0.18      65744 Bytes  15.02.2012 21:26:00
LUKE.DLL      : 12.1.0.19      68304 Bytes  15.02.2012 21:26:03
AVSCPLR.DLL    : 12.1.0.22    100048 Bytes  15.02.2012 21:26:06
AVREG.DLL      : 12.1.0.29    228048 Bytes  15.02.2012 21:26:05
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 05:29:15
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 20:49:37
VBASE004.VDF  : 7.11.21.239    2048 Bytes  01.02.2012 20:49:41
VBASE005.VDF  : 7.11.21.240    2048 Bytes  01.02.2012 20:49:42
VBASE006.VDF  : 7.11.21.241    2048 Bytes  01.02.2012 20:49:42
VBASE007.VDF  : 7.11.21.242    2048 Bytes  01.02.2012 20:49:42
VBASE008.VDF  : 7.11.21.243    2048 Bytes  01.02.2012 20:49:42
VBASE009.VDF  : 7.11.21.244    2048 Bytes  01.02.2012 20:49:43
VBASE010.VDF  : 7.11.21.245    2048 Bytes  01.02.2012 20:49:44
VBASE011.VDF  : 7.11.21.246    2048 Bytes  01.02.2012 20:49:44
VBASE012.VDF  : 7.11.21.247    2048 Bytes  01.02.2012 20:49:44
VBASE013.VDF  : 7.11.22.33  1486848 Bytes  03.02.2012 20:51:01
VBASE014.VDF  : 7.11.22.56    687616 Bytes  03.02.2012 20:51:47
VBASE015.VDF  : 7.11.22.92    178176 Bytes  06.02.2012 21:25:01
VBASE016.VDF  : 7.11.22.154  144896 Bytes  08.02.2012 21:25:54
VBASE017.VDF  : 7.11.22.220  183296 Bytes  13.02.2012 21:25:34
VBASE018.VDF  : 7.11.23.34    202752 Bytes  15.02.2012 21:25:56
VBASE019.VDF  : 7.11.23.98    126464 Bytes  17.02.2012 21:26:07
VBASE020.VDF  : 7.11.23.150  148480 Bytes  20.02.2012 22:04:11
VBASE021.VDF  : 7.11.23.224  172544 Bytes  23.02.2012 22:03:39
VBASE022.VDF  : 7.11.24.52    219648 Bytes  28.02.2012 22:04:09
VBASE023.VDF  : 7.11.24.53      2048 Bytes  28.02.2012 22:04:09
VBASE024.VDF  : 7.11.24.54      2048 Bytes  28.02.2012 22:04:10
VBASE025.VDF  : 7.11.24.55      2048 Bytes  28.02.2012 22:04:10
VBASE026.VDF  : 7.11.24.56      2048 Bytes  28.02.2012 22:04:10
VBASE027.VDF  : 7.11.24.57      2048 Bytes  28.02.2012 22:04:10
VBASE028.VDF  : 7.11.24.58      2048 Bytes  28.02.2012 22:04:11
VBASE029.VDF  : 7.11.24.59      2048 Bytes  28.02.2012 22:04:11
VBASE030.VDF  : 7.11.24.60      2048 Bytes  28.02.2012 22:04:11
VBASE031.VDF  : 7.11.24.142  131584 Bytes  02.03.2012 22:04:28
Engineversion  : 8.2.10.8 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  26.10.2011 05:04:44
AESCRIPT.DLL  : 8.1.4.7      442746 Bytes  23.02.2012 22:03:58
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 17:45:18
AESBX.DLL      : 8.2.4.5      434549 Bytes  02.12.2011 01:01:33
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL    : 8.2.16.3      799094 Bytes  09.02.2012 21:27:35
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  30.12.2011 14:38:18
AEHEUR.DLL    : 8.1.4.0      4436342 Bytes  23.02.2012 22:03:57
AEHELP.DLL    : 8.1.19.0      254327 Bytes  20.01.2012 01:35:06
AEGEN.DLL      : 8.1.5.21      409971 Bytes  03.02.2012 20:52:25
AEEXP.DLL      : 8.1.0.23      70005 Bytes  23.02.2012 22:03:59
AEEMU.DLL      : 8.1.3.0      393589 Bytes  01.09.2011 21:46:01
AECORE.DLL    : 8.1.25.4      201079 Bytes  13.02.2012 21:25:38
AEBB.DLL      : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  11.10.2011 12:59:41
AVPREF.DLL    : 12.1.0.17      51920 Bytes  11.10.2011 12:59:38
AVREP.DLL      : 12.1.0.17    179408 Bytes  11.10.2011 12:59:38
AVARKT.DLL    : 12.1.0.23    209360 Bytes  15.02.2012 21:25:59
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  11.10.2011 12:59:37
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  11.10.2011 12:59:51
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  11.10.2011 12:59:39
NETNT.DLL      : 12.1.0.17      17104 Bytes  11.10.2011 12:59:47
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  11.10.2011 13:00:00
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 4. März 2012  16:29

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeVirt.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvh.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPAdvisor.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'FirefoxPortable.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPMSGSVC.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstStub.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWMISVC.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPDrvMntSvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezSharedSvcHost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '729' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\U\800000cf.@
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.Q
C:\Users\BENUTZERNAME\Downloads\Firefox Setup\Firefox Setup 6.0(3).exe
  --> Object
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
  [WARNUNG]  Die Datei konnte nicht gelesen werden!
C:\Users\BENUTZERNAME\Downloads\Firefox Setup\Firefox Setup 6.0.exe
  --> Object
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
  [WARNUNG]  Die Datei konnte nicht gelesen werden!
C:\Windows\System32\consrv.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
Beginne mit der Suche in 'D:\' <RECOVERY>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert

Beginne mit der Desinfektion:
C:\Windows\System32\consrv.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen2
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499f0d11.qua' verschoben!
C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\U\800000cf.@
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.Q
  [HINWEIS]  Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]  Die Datei existiert nicht!


Ende des Suchlaufs: Sonntag, 4. März 2012  18:54

Der Suchlauf wurde vollständig durchgeführt.

      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      4 Warnungen
      2 Hinweise
      0 Versteckte Objekte wurden gefunden
Scanbericht Malwarebytes:
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.04.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BENUTZERNAME :: BENUTZERNAME [Administrator]

04.03.2012 20:03:38
mbam-log-2012-03-04.txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421013
Laufzeit: 2 Stunde(n), 18 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\X -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\X (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Users\BENUTZERNAME\AppData\Local\88ed2d6c\U\80000000.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Users\BENUTZERNAME\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C6VS8B68\3[1].exe (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
Scanbericht defogger:
Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 00:29 on 05/03/2012 (BENUTZERNAME)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

markusg 05.03.2012 11:13
hi
also java ist zb schon mal nicht aktuell, aber das sind die geringsten sorgen im moment.
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtigem wie beruflichem?

bitshift 06.03.2012 00:03
Nein, ich mache keine Zahlungsabwicklungen an diesem PC.
Nutze ihn aber für email und Studium.

markusg 06.03.2012 12:32
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

bitshift 11.03.2012 07:35
In den letzten Tagen ist Combofix immer abgestürzt. Ich habe jedes Mal die Antiviren Software ausgeschaltet,
aber Combofix gab ständig die Meldung, dass die Antiviren Software noch aktiv sei.

Erst am Samstag kam keine Meldung über die Antiviren Software mehr und das Program lief problemlos bis zum Neustart.
Es gab mir folgende Log Datei aus:

Code:
ComboFix 12-03-08.04 - BENUTZERNAME 10.03.2012  17:31:02.3.2 - x64
Microsoft Windows 7 Home Premium  6.1.7601.1.1252.49.1031.18.3835.2393 [GMT 1:00]
ausgeführt von:: c:\users\BENUTZERNAME\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
AV: Norton Internet Security *Disabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Norton Internet Security *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Norton Internet Security *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\BENUTZERNAME\AppData\Local\88ed2d6c\U
c:\users\BENUTZERNAME\AppData\Local\88ed2d6c\U\800000cb.@
c:\users\BENUTZERNAME\videos\vlc-1.1.11-win32.exe
c:\windows\assembly\tmp\U
c:\windows\SysWow64\Gdiplus.dll
c:\windows\SysWow64\muzapp.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-02-10 bis 2012-03-10  ))))))))))))))))))))))))))))))
.
.
2012-03-10 17:15 . 2012-03-10 17:15        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-03-04 19:01 . 2012-03-04 19:01        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Roaming\Malwarebytes
2012-03-04 19:01 . 2012-03-04 19:01        --------        d-----w-        c:\programdata\Malwarebytes
2012-03-04 19:01 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-03-04 19:01 . 2012-03-04 19:01        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-04 15:14 . 2012-03-10 17:14        --------        d-sh--w-        c:\users\BENUTZERNAME\AppData\Local\88ed2d6c
2012-03-04 15:03 . 2012-02-08 07:13        8643640        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{B1BDC48B-639C-45A6-BB9F-0CD8BE32E6FA}\mpengine.dll
2012-02-23 00:42 . 2012-02-23 00:46        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Roaming\Apple Computer
2012-02-23 00:42 . 2012-02-23 00:42        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Local\Apple Computer
2012-02-23 00:42 . 2009-05-18 12:17        34152        ----a-w-        c:\windows\system32\drivers\GEARAspiWDM.sys
2012-02-23 00:42 . 2008-04-17 11:12        126312        ----a-w-        c:\windows\system32\GEARAspi64.dll
2012-02-23 00:42 . 2008-04-17 11:12        107368        ----a-w-        c:\windows\SysWow64\GEARAspi.dll
2012-02-23 00:41 . 2012-02-23 00:41        --------        d-----w-        c:\program files\iPod
2012-02-23 00:41 . 2012-02-23 00:42        --------        d-----w-        c:\programdata\{93E26451-CD9A-43A5-A2FA-C42392EA4001}
2012-02-23 00:41 . 2012-02-23 00:42        --------        d-----w-        c:\program files\iTunes
2012-02-23 00:41 . 2012-02-23 00:42        --------        d-----w-        c:\program files (x86)\iTunes
2012-02-23 00:41 . 2012-02-23 00:41        --------        d-----w-        c:\programdata\Apple Computer
2012-02-23 00:40 . 2012-02-23 00:40        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Local\Apple
2012-02-23 00:40 . 2012-02-23 00:40        --------        d-----w-        c:\program files (x86)\Apple Software Update
2012-02-23 00:37 . 2012-02-23 00:37        --------        d-----w-        c:\program files\Common Files\Apple
2012-02-23 00:37 . 2012-02-23 00:37        --------        d-----w-        c:\program files\Bonjour
2012-02-23 00:37 . 2012-02-23 00:37        --------        d-----w-        c:\program files (x86)\Bonjour
2012-02-23 00:36 . 2012-02-23 00:41        --------        d-----w-        c:\program files (x86)\Common Files\Apple
2012-02-23 00:36 . 2012-02-23 00:38        --------        d-----w-        c:\programdata\Apple
2012-02-18 09:38 . 2012-02-18 09:38        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Local\MediaMonkey
2012-02-18 09:37 . 2012-03-04 08:38        --------        d-----w-        c:\users\BENUTZERNAME\AppData\Roaming\MediaMonkey
2012-02-18 09:37 . 2012-02-18 09:37        --------        d-----w-        c:\programdata\MediaMonkey
2012-02-18 09:37 . 2012-02-18 09:37        --------        d-----w-        c:\program files (x86)\MediaMonkey
2012-02-15 02:02 . 2011-12-14 02:59        678912        ----a-w-        c:\program files (x86)\Internet Explorer\iedvtool.dll
2012-02-15 02:02 . 2011-12-14 07:07        887296        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll
2012-02-14 18:53 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll
2012-02-14 18:53 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll
2012-02-14 18:52 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl
2012-02-14 18:52 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl
2012-02-14 18:47 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys
2012-02-14 18:43 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys
2012-02-14 18:43 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll
2012-02-14 18:42 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-04 15:16 . 2011-08-17 16:09        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-15 21:26 . 2011-10-16 20:42        132320        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-01-29 04:10 . 2011-02-03 10:01        279656        ------w-        c:\windows\system32\MpSigStub.exe
2011-12-23 19:58 . 2012-02-09 12:43        4659712        ----a-w-        c:\windows\SysWow64\Redemption.dll
2011-12-23 19:58 . 2011-12-23 19:58        90112        ----a-w-        c:\windows\MAMCityDownload.ocx
2011-12-23 19:58 . 2011-12-23 19:58        325552        ----a-w-        c:\windows\MASetupCaller.dll
2011-12-23 19:58 . 2011-12-23 19:58        30568        ----a-w-        c:\windows\MusiccityDownload.exe
2011-12-23 19:58 . 2011-12-23 19:58        974848        ----a-w-        c:\windows\SysWow64\cis-2.4.dll
2011-12-23 19:58 . 2011-12-23 19:58        81920        ----a-w-        c:\windows\SysWow64\issacapi_bs-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58        65536        ----a-w-        c:\windows\SysWow64\issacapi_pe-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58        57344        ----a-w-        c:\windows\SysWow64\MTXSYNCICON.dll
2011-12-23 19:58 . 2011-12-23 19:58        57344        ----a-w-        c:\windows\SysWow64\MK_Lyric.dll
2011-12-23 19:58 . 2011-12-23 19:58        57344        ----a-w-        c:\windows\SysWow64\issacapi_se-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58        569344        ----a-w-        c:\windows\SysWow64\muzdecode.ax
2011-12-23 19:58 . 2011-12-23 19:58        491520        ----a-w-        c:\windows\SysWow64\muzapp.dll
2011-12-23 19:58 . 2011-12-23 19:58        49152        ----a-w-        c:\windows\SysWow64\MaJGUILib.dll
2011-12-23 19:58 . 2011-12-23 19:58        45056        ----a-w-        c:\windows\SysWow64\MaXMLProto.dll
2011-12-23 19:58 . 2011-12-23 19:58        45056        ----a-w-        c:\windows\SysWow64\MACXMLProto.dll
2011-12-23 19:58 . 2011-12-23 19:58        40960        ----a-w-        c:\windows\SysWow64\MTTELECHIP.dll
2011-12-23 19:58 . 2011-12-23 19:58        40960        ----a-w-        c:\windows\SysWow64\MAMACExtract.dll
2011-12-23 19:58 . 2011-12-23 19:58        352256        ----a-w-        c:\windows\SysWow64\MSLUR71.dll
2011-12-23 19:58 . 2011-12-23 19:58        258048        ----a-w-        c:\windows\SysWow64\muzoggsp.ax
2011-12-23 19:58 . 2011-12-23 19:58        245760        ----a-w-        c:\windows\SysWow64\MSCLib.dll
2011-12-23 19:58 . 2011-12-23 19:58        24576        ----a-w-        c:\windows\SysWow64\MASetupCleaner.exe
2011-12-23 19:58 . 2011-12-23 19:58        200704        ----a-w-        c:\windows\SysWow64\muzwmts.dll
2011-12-23 19:58 . 2011-12-23 19:58        155648        ----a-w-        c:\windows\SysWow64\MSFLib.dll
2011-12-23 19:58 . 2011-12-23 19:58        143360        ----a-w-        c:\windows\SysWow64\3DAudio.ax
2011-12-23 19:58 . 2011-12-23 19:58        135168        ----a-w-        c:\windows\SysWow64\muzaf1.dll
2011-12-23 19:58 . 2011-12-23 19:58        131072        ----a-w-        c:\windows\SysWow64\muzmpgsp.ax
2011-12-23 19:58 . 2011-12-23 19:58        122880        ----a-w-        c:\windows\SysWow64\muzeffect.ax
2011-12-23 19:58 . 2011-12-23 19:58        118784        ----a-w-        c:\windows\SysWow64\MaDRM.dll
2011-12-23 19:58 . 2011-12-23 19:58        110592        ----a-w-        c:\windows\SysWow64\muzmp4sp.ax
2011-12-23 19:58 . 2012-02-09 12:43        821824        ----a-w-        c:\windows\SysWow64\dgderapi.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-01-04 19:20        1514152        ----a-w-        c:\program files (x86)\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-01-04 1514152]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisorDock"="c:\program files (x86)\Hewlett-Packard\HP Advisor\Dock\HPAdvisorDock.exe" [2010-02-09 1712184]
"LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2010-05-19 2736128]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2010-05-07 26211624]
"KiesHelper"="c:\program files (x86)\Samsung\Kies\KiesHelper.exe" [2011-12-27 937360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-06-30 102400]
"Bing Bar"="c:\program files (x86)\MSN Toolbar\Platform\5.0.1438.0\mswinext.exe" [2010-04-13 243544]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-11-11 288088]
"HP Quick Launch"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe" [2010-07-02 602680]
"Norton Online Backup"="c:\program files (x86)\Symantec\Norton Online Backup\NOBuClient.exe" [2010-06-01 1155928]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-04 37296]
"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-06-02 61112]
"ApnUpdater"="c:\program files (x86)\Ask.com\Updater\Updater.exe" [2011-09-08 888488]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"KiesTrayAgent"="c:\program files (x86)\Samsung\Kies\KiesTrayAgent.exe" [2011-12-27 3508624]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-01-16 421736]
.
c:\users\BENUTZERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 netr28x;Ralink 802.11n-Drahtlostreiber für Windows Vista;c:\windows\system32\DRIVERS\netr28x.sys [x]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-23 225280]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [x]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [x]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [x]
R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1200000.080\SYMDS64.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1200000.080\SYMEFA64.SYS [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\BASHDefs\20100522.001\BHDrvx64.sys [2010-05-19 942640]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\IPSDefs\20100518.002\IDSVia64.sys [2010-05-18 463408]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1200000.080\Ironx64.SYS [x]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\system32\drivers\NISx64\1200000.080\SYMNETS.SYS [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSr64.exe [2009-11-18 98208]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 AntiVirWebService;Avira Browser Schutz;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-10-11 463824]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]
S2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-06-18 103992]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-09-01 227896]
S2 HPWMISVC;HPWMISVC;c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2010-07-02 27192]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\18.0.0.128\ccSvcHst.exe [2010-05-23 126904]
S2 NOBU;Norton Online Backup;c:\program files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe SERVICE [x]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [x]
S2 RtVOsdService;RtVOsdService Installer;c:\program files\Realtek\RtVOsd\RtVOsdService.exe [2010-06-17 315392]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-05-19 09:36        451872        ----a-w-        c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-04 c:\windows\Tasks\HPCeeScheduleForBENUTZERNAME.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 01:53]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI64.exe" [2010-03-13 6234144]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-06-18 8192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\users\BENUTZERNAME\AppData\Roaming\Mozilla\Firefox\Profiles\8b3f2rhz.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
FF - Ext: Download Statusbar: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} - %profile%\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: Avira SearchFree Toolbar plus Web Protection: toolbar@ask.com - %profile%\extensions\toolbar@ask.com
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe
AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\18.0.0.128\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\18.0.0.128\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\SysWOW64\ezSharedSvcHost.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-10  18:58:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-10 17:58
.
Vor Suchlauf: 10 Verzeichnis(se), 409.489.371.136 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 409.378.156.544 Bytes frei
.
- - End Of File - - 9376EEEE22EAB02D9DB777820942B005
Danach habe ich es noch geschafft ins Bootmenü zu kommen und konnte die Anti Bot CD ausführen.
Das System startet von der CD aus.

Als der Suchlauf beendet war, hat es 2 verdächtige Dateien oder Bootsektoren gefunden und umbenannt.
Die Log Datei dazu habe ich noch. Falls erwünscht kann ich diese auch posten.

Schlussendlich habe ich neugestartet und es kam die Meldung, dass der Computer nicht gestartet werden konnte.
Im Fenster "Systemstartreperatur" wurde mir vorgeschlagen, den Computer mit der Systemwiederherstellung wiederherzustellen.
Was ich dann auch getan habe. ComboFix hatte zum Glück vorher einen Systemwiederherstellungspunkt erstellt.

Was war eigentlich der Grund, weshalb der Computer nicht normal gestartet werden konnte?
Liegt es daran, dass ich mit der Anti Bot CD, den versteckten Trojaner/Rootkit/Backdoorprogram gelöscht habe, der den Start des Computers möglicherweise kontrolliert hat?

Durch Systemwiederherstellung können aber versehentlich keine Viren wiederhergestellt werden, oder?

markusg 11.03.2012 19:41
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

bitshift 13.03.2012 05:21
Hier der Malwarebytes Log von gestern Abend.
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.12.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BENUTZERNAME :: BENUTZERNAME-HP [Administrator]

12.03.2012 22:26:37
mbam-log-2012-03-12 (22-26-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 424766
Laufzeit: 1 Stunde(n), 49 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

markusg 13.03.2012 10:31
welche probleme gibts aktuell noch

bitshift 15.03.2012 04:02
Ich habe an den infizierten Computer, als er noch nicht Virenfrei war, einen USB-Stick angeschlossen um wichtige Dateien auf meinen Laptop zu übertragen, an denen ich arbeiten muss.

Sicherheitshalber habe ich den USB-Stick mit Kaspersky und Avira überprüft und es kam keine Warnmeldung. Als ich den USB-Stick ein weiteres Mal an den Laptop angeschlossen habe tauchte jetzt eine Warnmeldung auf. Norton hat mit seiner Auto-Protect Funktion ein Sicherheitsrisiko Trojan.ADH.2 entfernt.

Hat sich der gleiche Trojaner über den USB-Stick auf den Laptop übertragen?
Muss ich jetzt die gleiche Prozedur nochmal machen und kann ich auch diesen Laptop nicht mehr für Geld-Transaktionen (amazon, ebay... etc.) verwenden?

markusg 15.03.2012 10:14
ich denke du machst kein onlinebanking und geld transaktionen, oder war das nur für das andere gerät gültig.
und, woher soll ich dir das sagen können ohne fundmeldungen...

bitshift 22.03.2012 06:34
wie schon gesagt online banking mache ich nicht, aber auf online shops wie zB. amazon und ebay möchte ich auf Dauer nicht verzichten.

Ich wollte nur wissen, ob sich ein Rootkit/Backdoorprogramm/Wurm über einen USB-Stick übertragen kann, ohne dass man auf eine ausführbare exe Datei auf dem USB-Stick geklickt hat. Normalerweise startet ein USB-Stick immer automatisch, wenn man ihn anschließt.
Norton hatte den USB-Stick überprüft und die Datei Combofix.exe auf dem USB-Stick als Trojan.ADH.2 identifiziert. Ob es eine Fehlmeldung war, weiß ich nicht.
Ich habe einige Tage vorher combofix auf den USB-Stick gespeichert. Das irgendein Trojaner die Combofix.exe auf dem USB-Stick gelöscht hat und sich als Combofix.exe dort getarnt hat halte ich für unwahrscheinlich.


Auf dem Laptop ist heute morgen ein Fund aufgetaucht: EXP/Pidief.ctk
Die Meldung ist mehrmals hintereinander erschienen. Ist das ein Exploit der Malware auf meinen PC laden kann?

Die Website, auf der ich während des Fundes war, ist eigentlich eine vertrauenswürdige Seite.

markusg 22.03.2012 10:57
combofix ist ein fehlalarm, sicher kann man über usb sticks malware verbreiten, dafür ist ja die autorun funktion da, dass hätte ich dir schon noch mitgeteilt, wenn wir bis zum ende gearbeitet hätten
da du aber shopping auf dem infiziertem pc betreibst, wird hier ein neu aufsetzen nötig sein, denn ein solches system ist nicht vertrauenswürdig, wenn es befallen war
als ich dich aber fragte, ob du mit dem gerät solches betreibst, hast du mit nein geantwortet, sonst hätten wir uns die arbeit sparen können und gleich neu aufgesetzt

bitshift 22.03.2012 22:21
Das hatte ich vergessen zu erwähnen, shopping betreibe ich nur auf dem Laptop und das auch eher selten.

Ich habe mit Malwarebytes heute morgen einen Scan auf dem Laptop gemacht (ohne Aktualisierung)
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BENUTZERNAME :: BENUTZERNAME-PC [Administrator]

22.03.2012 06:56:26
mbam-log-2012-03-22 (06-56-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 358217
Laufzeit: 1 Stunde(n), 5 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\BENUTZERNAME\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\095ZA6K6\info[1].exe (Trojan.LVBP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\BENUTZERNAME\AppData\Local\Temp\wpbt0.dll (Trojan.LVBP) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Heute Nachmittag nochmal (mit Aktualisierung)
Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.22.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BENUTZERNAME :: BENUTZERNAME-PC [Administrator]

22.03.2012 17:33:16
mbam-log-2012-03-22 (17-33-16).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 359012
Laufzeit: 1 Stunde(n), 19 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Bei jedem Neustart meldet sich Avira, dass der Browser Schutz deaktiviert wurde und der Laptop deswegen nicht sicher sei. Braucht man das?
Der Browser Schutz ist leider mit der Avira SearchFree Toolbar verknüpft und Toolbars sind ja bekanntlich hauptsächlich Spyware.

markusg 23.03.2012 11:42
scheint sauber. klick halt an, meldung nicht mehr anzeigen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131