Trojaner-Board - RunDLL Fehler NameFunEx IE Meldung Taskmanager gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - RunDLL Fehler NameFunEx IE Meldung Taskmanager gesperrt (https://www.trojaner-board.de/111413-rundll-fehler-namefunex-ie-meldung-taskmanager-gesperrt.html)

Nein wir sind noch nicht fertig. Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Code:

ComboFix 12-03-29.02 - luckyslevin 29.03.2012  20:33:24.1.3 - x64

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.4095.2387 [GMT 2:00]

ausgeführt von:: c:\users\luckyslevin\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-29  ))))))))))))))))))))))))))))))

.

.

2012-03-29 18:36 . 2012-03-29 18:36        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-03-29 16:35 . 2012-03-29 16:35        --------        d-----w-        c:\users\luckyslevin\AppData\Roaming\SciLor

2012-03-29 15:48 . 2012-03-14 03:27        8669240        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{CEF95328-A3A1-463C-8D20-48F5770966E2}\mpengine.dll

2012-03-21 17:42 . 2012-03-21 17:42        --------        d-----w-        c:\program files (x86)\FREE Word and Excel password recovery Wizard

2012-03-19 19:33 . 2010-07-12 13:39        302080        ----a-w-        c:\windows\lwd.exe

2012-03-19 19:33 . 2011-02-21 09:09        15872        ----a-w-        c:\windows\system32\drivers\anodlwfx.sys

2012-03-19 19:33 . 2012-03-19 19:33        --------        d-----w-        c:\program files (x86)\D-Link

2012-03-17 10:51 . 2012-03-17 10:51        --------        d-----w-        c:\program files (x86)\ESET

2012-03-15 16:22 . 2011-11-19 15:20        5559152        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-03-15 16:22 . 2011-11-19 14:50        3968368        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe

2012-03-15 16:22 . 2011-11-19 14:50        3913584        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe

2012-03-15 12:09 . 2012-03-15 12:09        --------        d-----r-        c:\users\luckyslevin\AppData\Roaming\Brother

2012-03-15 09:26 . 2012-02-03 04:34        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-03-15 09:26 . 2012-02-10 06:36        1544192        ----a-w-        c:\windows\system32\DWrite.dll

2012-03-15 09:26 . 2012-02-10 05:38        1077248        ----a-w-        c:\windows\SysWow64\DWrite.dll

2012-03-15 09:21 . 2012-01-25 06:38        77312        ----a-w-        c:\windows\system32\rdpwsx.dll

2012-03-15 09:21 . 2012-01-25 06:38        149504        ----a-w-        c:\windows\system32\rdpcorekmts.dll

2012-03-15 09:21 . 2012-01-25 06:33        9216        ----a-w-        c:\windows\system32\rdrmemptylst.exe

2012-03-15 09:21 . 2012-02-17 06:38        1031680        ----a-w-        c:\windows\system32\rdpcore.dll

2012-03-15 09:21 . 2012-02-17 05:34        826880        ----a-w-        c:\windows\SysWow64\rdpcore.dll

2012-03-15 09:21 . 2012-02-17 04:58        210944        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-03-15 09:21 . 2012-02-17 04:57        23552        ----a-w-        c:\windows\system32\drivers\tdtcp.sys

2012-03-13 18:22 . 2012-03-13 18:22        --------        d-----w-        c:\users\luckyslevin\AppData\Roaming\Malwarebytes

2012-03-13 18:22 . 2012-03-13 18:22        --------        d-----w-        c:\programdata\Malwarebytes

2012-03-13 18:22 . 2012-03-13 18:22        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2012-03-13 18:22 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-03-13 16:36 . 2011-04-28 13:20        1617472        ----a-w-        c:\windows\system32\drivers\Dnetr28ux.sys

2012-03-13 16:36 . 2011-04-28 13:17        327008        ----a-w-        c:\windows\system32\RaCoInstx.dll

2012-03-11 19:06 . 2006-07-07 11:40        73728        ------w-        c:\windows\SysWow64\BRCrypt.dll

2012-03-11 19:06 . 2008-10-17 19:04        179712        ------w-        c:\windows\system32\BrfxDA5b.dll

2012-03-11 19:06 . 2008-08-23 18:17        118784        ------w-        c:\windows\SysWow64\BrMfNt.dll

2012-03-11 19:06 . 2002-11-26 12:43        106496        ------w-        c:\windows\SysWow64\BrMuSNMP.dll

2012-03-11 19:06 . 2007-12-13 21:16        73728        ------w-        c:\windows\SysWow64\BrDctF2.dll

2012-03-11 19:06 . 2007-12-13 21:16        5632        ------w-        c:\windows\SysWow64\BrDctF2L.dll

2012-03-11 19:06 . 2007-12-13 21:16        3072        ------w-        c:\windows\SysWow64\BrDctF2S.dll

2012-03-11 19:06 . 2006-12-28 12:39        176128        ------w-        c:\windows\SysWow64\BroSNMP.dll

2012-03-11 19:06 . 2009-07-21 14:32        1560064        ----a-w-        c:\windows\system32\BrWia09b.dll

2012-03-11 19:06 . 2009-02-24 09:37        50176        ----a-w-        c:\windows\system32\BrUsi09a.dll

2012-03-11 19:06 . 2012-03-11 19:06        --------        d-----w-        c:\program files (x86)\Brother

2012-03-11 19:06 . 2008-06-17 14:33        167936        ------w-        c:\windows\SysWow64\NSSearch.dll

2012-03-11 19:05 . 2012-03-11 19:05        --------        d-----w-        c:\programdata\Brother

2012-03-11 12:18 . 2012-03-11 12:18        --------        d-----w-        c:\users\Default\AppData\Local\Microsoft Help

2012-03-11 10:43 . 2012-03-11 10:43        27176        ----a-w-        c:\windows\system32\drivers\ggsemc.sys

2012-03-11 10:43 . 2012-03-11 10:43        1490656        ----a-w-        c:\windows\system32\WdfCoInstaller01007.dll

2012-03-11 10:43 . 2012-03-11 10:43        13352        ----a-w-        c:\windows\system32\drivers\ggflt.sys

2012-03-11 10:43 . 2012-03-11 10:43        --------        d-----w-        c:\programdata\Sony Ericsson

2012-03-11 10:43 . 2012-03-11 10:43        --------        d-----w-        c:\program files (x86)\Sony Ericsson

2012-03-11 10:41 . 2012-03-11 10:41        --------        d-----w-        c:\programdata\Sony

2012-03-11 10:41 . 2012-03-11 10:41        --------        d-----w-        c:\program files (x86)\Sony

2012-03-11 10:19 . 2012-03-11 10:19        --------        d-----w-        c:\windows\SysWow64\wbem\en-US

2012-03-11 10:19 . 2012-03-11 10:19        --------        d-----w-        c:\windows\system32\wbem\en-US

2012-03-10 17:26 . 2011-07-16 05:37        421888        ----a-w-        c:\windows\system32\KernelBase.dll

2012-03-10 17:25 . 2012-03-24 22:17        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2012-03-10 17:25 . 2012-03-11 10:34        --------        d-----w-        c:\program files (x86)\Spybot - Search & Destroy

2012-03-10 16:50 . 2012-03-10 16:50        --------        d-----w-        c:\program files (x86)\Common Files\Steganos Online-Banking 2012

2012-03-10 16:49 . 2011-11-17 06:41        1731920        ----a-w-        c:\windows\system32\ntdll.dll

2012-03-10 16:49 . 2011-11-17 05:38        1292080        ----a-w-        c:\windows\SysWow64\ntdll.dll

2012-03-10 16:48 . 2012-03-29 18:30        --------        d-----w-        c:\users\luckyslevin\AppData\Roaming\KeePass

2012-03-10 16:47 . 2012-03-10 16:47        --------        d-----w-        c:\program files (x86)\KeePass Password Safe 2

2012-03-10 16:47 . 2012-03-21 17:52        --------        d-----w-        c:\program files (x86)\Steganos Online-Banking 2012

2012-03-10 16:47 . 2012-03-10 16:59        --------        d-----w-        c:\users\luckyslevin\AppData\Roaming\Steganos

2012-03-10 16:45 . 2011-11-19 14:58        77312        ----a-w-        c:\windows\system32\packager.dll

2012-03-10 16:45 . 2011-11-19 14:01        67072        ----a-w-        c:\windows\SysWow64\packager.dll

2012-03-10 16:42 . 2012-03-10 16:42        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-03-10 16:39 . 2012-03-07 00:04        819032        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2012-03-10 16:39 . 2012-03-07 00:02        53080        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys

2012-03-10 16:31 . 2009-03-18 15:35        33856        ---ha-w-        c:\windows\system32\hamachi.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-07 00:15 . 2011-02-17 16:43        41184        ----a-w-        c:\windows\avastSS.scr

2012-03-07 00:15 . 2011-02-17 16:43        201352        ----a-w-        c:\windows\SysWow64\aswBoot.exe

2012-03-07 00:15 . 2011-02-18 16:17        258520        ----a-w-        c:\windows\system32\aswBoot.exe

2012-03-07 00:04 . 2011-02-17 16:44        337240        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2012-03-07 00:01 . 2011-02-17 16:44        59224        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2012-03-07 00:01 . 2011-02-17 16:44        69976        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2012-03-07 00:01 . 2011-02-17 16:44        24408        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2012-02-23 08:18 . 2011-02-17 17:02        279656        ------w-        c:\windows\system32\MpSigStub.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"D-Link D-Link DWA-140"="c:\program files (x86)\D-Link\DWA-140 revB\AirNCFG.exe" [2011-06-29 1074496]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]

R3 BrSerIb;Brother MFC Serial Interface Driver(WDM);c:\windows\system32\DRIVERS\BrSerIb.sys [x]

R3 BrUsbSIb;Brother MFC Serial USB Driver(WDM);c:\windows\system32\DRIVERS\BrUsbSIb.sys [x]

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 31125880]

R3 netr28ux;D-Link dnetr28u USB Extensible Wireless LAN Card Driver;c:\windows\system32\DRIVERS\Dnetr28ux.sys [x]

R3 netr7364;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr7364.sys [x]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 Sony PC Companion;Sony PC Companion;c:\program files (x86)\Sony\Sony PC Companion\PCCService.exe [2012-01-18 155320]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]

R3 zghsdiag;ZTE General Handset Diagnostic Port;c:\windows\system32\DRIVERS\zghsdiag.sys [x]

R3 zghsmdm;ZTE General Handset USB Modem Proprietary;c:\windows\system32\DRIVERS\zghsmdm.sys [x]

R3 zghsnmea;ZTE General Handset NMEA Port;c:\windows\system32\DRIVERS\zghsnmea.sys [x]

S1 anodlwf;ANOD Network Security Filter driver;c:\windows\system32\DRIVERS\anodlwfx.sys [x]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]

S1 SLEE_17_DRIVER;Steganos Live Encryption Engine 17 [Driver];c:\windows\Sleen1764.sys [2010-02-17 13:21 108256]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-01-04 354304]

S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe [2010-06-17 194496]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]

S2 D_Link_DWA-140_WPS;D_Link_DWA-140_WPS Service;c:\program files (x86)\D-Link\DWA-140 revB\ANIWConnService.exe [2010-07-12 53248]

S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]

S2 RalinkRegistryWriter64;Ralink Registry Writer 64;c:\program files (x86)\TP-LINK\COMMON\RaRegistry64.exe [2010-06-25 212256]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]

S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [x]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-07 00:15        135408        ----a-w-        c:\program files\Alwil Software\Avast5\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = 

mLocal Page = 

TCP: DhcpNameServer = 192.168.0.1

FF - ProfilePath - c:\users\luckyslevin\AppData\Roaming\Mozilla\Firefox\Profiles\p9mbxf05.default\

FF - prefs.js: browser.search.selectedEngine - 

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\Alwil Software\Avast5\WebRep\FF

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10m.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10m.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10m.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10m.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files\Alwil Software\Avast5\AvastSvc.exe

c:\program files (x86)\TP-LINK\COMMON\RaRegistry.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-29  20:40:56 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-29 18:40

.

Vor Suchlauf: 9 Verzeichnis(se), 83.203.624.960 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 82.831.523.840 Bytes frei

.

- - End Of File - - BB245EE3C044602FC5B17F65CB3B0B78

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

hallo... scan läuft... aber dann kommt, dass ich das programm schließen soll.

es kommt... avast! Antirootkit funktioniert nicht mehr... Programm schließen

Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-03-29 21:59:37

-----------------------------

21:59:37.830    OS Version: Windows x64 6.1.7601 Service Pack 1

21:59:37.830    Number of processors: 3 586 0x402

21:59:37.831    ComputerName: LUCKYSLEVIN-PC  UserName: luckyslevin

21:59:38.062    Initialize success

21:59:40.851    AVAST engine defs: 12032901

21:59:50.233    The log file has been saved successfully to "C:\Users\luckyslevin\Desktop\aswMBR.txt"
 
 

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-03-31 11:50:03

-----------------------------

11:50:03.587    OS Version: Windows x64 6.1.7601 Service Pack 1

11:50:03.587    Number of processors: 3 586 0x402

11:50:03.587    ComputerName: LUCKYSLEVIN-PC  UserName: luckyslevin

11:50:03.791    Initialize success

11:50:07.212    AVAST engine defs: 12033100

11:50:10.837    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-7

11:50:10.853    Disk 0 Vendor: SAMSUNG_HD103SJ 1AJ100E5 Size: 953869MB BusType: 3

11:50:10.853    Disk 0 MBR read successfully

11:50:10.869    Disk 0 MBR scan

11:50:10.869    Disk 0 Windows 7 default MBR code

11:50:10.869    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS           94 MB offset 63

11:50:10.869    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       114941 MB offset 192780

11:50:10.884    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       308831 MB offset 235593728

11:50:10.884    Disk 0 Partition - 00     05     Extended            530001 MB offset 868079616

11:50:10.916    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       100000 MB offset 868081664

11:50:10.916    Disk 0 Partition - 00     05     Extended            430000 MB offset 1072881664

11:50:10.947    Disk 0 scanning C:\Windows\system32\drivers

11:50:15.431    Service scanning

11:50:25.681    Modules scanning

11:50:25.681    Disk 0 trace - called modules:

11:50:25.697    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 

11:50:25.697    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c48060]

11:50:25.697    3 CLASSPNP.SYS[fffff8800196643f] -> nt!IofCallDriver -> [0xfffffa8003dcedf0]

11:50:25.697    5 ACPI.sys[fffff88000f927a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-7[0xfffffa8003ddf680]

11:50:25.712    Scan finished successfully

12:04:46.431    Disk 0 MBR has been saved successfully to "C:\Users\luckyslevin\Desktop\MBR.dat"

12:04:46.431    The log file has been saved successfully to "C:\Users\luckyslevin\Desktop\aswMBR.txt"
 
 

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-03-31 11:50:03

-----------------------------

11:50:03.587    OS Version: Windows x64 6.1.7601 Service Pack 1

11:50:03.587    Number of processors: 3 586 0x402

11:50:03.587    ComputerName: LUCKYSLEVIN-PC  UserName: luckyslevin

11:50:03.791    Initialize success

11:50:07.212    AVAST engine defs: 12033100

11:50:10.837    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-7

11:50:10.853    Disk 0 Vendor: SAMSUNG_HD103SJ 1AJ100E5 Size: 953869MB BusType: 3

11:50:10.853    Disk 0 MBR read successfully

11:50:10.869    Disk 0 MBR scan

11:50:10.869    Disk 0 Windows 7 default MBR code

11:50:10.869    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS           94 MB offset 63

11:50:10.869    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       114941 MB offset 192780

11:50:10.884    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       308831 MB offset 235593728

11:50:10.884    Disk 0 Partition - 00     05     Extended            530001 MB offset 868079616

11:50:10.916    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       100000 MB offset 868081664

11:50:10.916    Disk 0 Partition - 00     05     Extended            430000 MB offset 1072881664

11:50:10.947    Disk 0 scanning C:\Windows\system32\drivers

11:50:15.431    Service scanning

11:50:25.681    Modules scanning

11:50:25.681    Disk 0 trace - called modules:

11:50:25.697    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 

11:50:25.697    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c48060]

11:50:25.697    3 CLASSPNP.SYS[fffff8800196643f] -> nt!IofCallDriver -> [0xfffffa8003dcedf0]

11:50:25.697    5 ACPI.sys[fffff88000f927a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-7[0xfffffa8003ddf680]

11:50:25.712    Scan finished successfully

12:04:46.431    Disk 0 MBR has been saved successfully to "C:\Users\luckyslevin\Desktop\MBR.dat"

12:04:46.431    The log file has been saved successfully to "C:\Users\luckyslevin\Desktop\aswMBR.txt"

12:04:54.206    Disk 0 MBR has been saved successfully to "C:\Users\luckyslevin\Desktop\MBR.dat"

12:04:54.206    The log file has been saved successfully to "C:\Users\luckyslevin\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 04/14/2012 at 12:56 PM
 

Application Version : 5.0.1146
 

Core Rules Database Version : 8458

Trace Rules Database Version: 6270
 

Scan type       : Complete Scan

Total Scan Time : 01:07:39
 

Operating System Information

Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 520

Memory threats detected   : 0

Registry items scanned    : 65946

Registry threats detected : 0

File items scanned        : 209430

File threats detected     : 41
 

Trojan.Agent/Gen-MSFake

        H:\PES\PES BACKUP\PES PATCH 15.06.2010\SB SELECTOR\SB SELECTOR.EXE

        I:\PES 6\SB SELECTOR\SB SELECTOR.EXE
 

Adware.Tracking Cookie

        .doubleclick.net [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        ad.yieldmanager.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .invitemedia.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .ru4.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .unrulymedia.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .at.atwola.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .invitemedia.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .stats.paypal.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .apmebf.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .mediaplex.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .mediaplex.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .mediaplex.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .imrworldwide.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .imrworldwide.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .tribalfusion.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .serving-sys.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        ad.yieldmanager.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .unrulymedia.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .v11media.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .serving-sys.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .serving-sys.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .atdmt.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .atdmt.com [ C:\USERS\LUCKYSLEVIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        video.unrulymedia.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\CH4DBQKW ]

        www.pornme.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\CH4DBQKW ]

        earlyexperience.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYCASINO\COOKIES.TXT ]

        .partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        .partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        earlyexperience.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

        secure.partyaccount.com [ C:\USERS\LUCKYSLEVIN\APPDATA\ROAMING\MOZILLA-CACHE\PARTY\PARTYPOKER\COOKIES.TXT ]

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.04.14.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

luckyslevin :: LUCKYSLEVIN-PC [Administrator]
 

14.04.2012 12:59:04

mbam-log-2012-04-14 (12-59-04).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 301903

Laufzeit: 26 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Zitat:

Trojan.Agent/Gen-MSFake
H:\PES\PES BACKUP\PES PATCH 15.06.2010\SB SELECTOR\SB SELECTOR.EXE
I:\PES 6\SB SELECTOR\SB SELECTOR.EXE

Das scheinen wohl eher Fehlalarme zu sein

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?