Trojaner-Board - TR/Kazy.174941

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Kazy.174941 (https://www.trojaner-board.de/135336-tr-kazy-174941-a.html)

Guten Morgen,

beim letzten virenscan wurden einige Viren gefunden. Nachdem ich es mit den Avira bordeigenen Mitteln versucht habe und diese nicht funktionieren stehe ich vor einem Problem.

Ich habe das Betriebssystem Windows XP 32-Bit installiert.

Vielen Dank für eure Hilfe schon im Voraus!:dankeschoen:

Anbei das Logfile

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Sonntag, 19. Mai 2013  14:16
 

Es wird nach 4648283 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Microsoft Windows XP

Windowsversion : (Service Pack 3)  [5.1.2600]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM
 
 

Versionsinformationen:

BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00

AVSCAN.EXE     : 12.3.0.48     468256 Bytes  15.11.2012 08:13:56

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  18.07.2012 16:04:38

LUKE.DLL       : 12.3.0.15      68304 Bytes  18.07.2012 16:04:31

AVSCPLR.DLL    : 12.3.0.27      97064 Bytes  18.07.2012 16:04:24

AVREG.DLL      : 12.3.0.33     232232 Bytes  18.07.2012 16:04:23

VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 12:56:31

VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 06:20:14

VBASE002.VDF   : 7.11.74.227     2048 Bytes  30.04.2013 06:20:14

VBASE003.VDF   : 7.11.74.228     2048 Bytes  30.04.2013 06:20:14

VBASE004.VDF   : 7.11.74.229     2048 Bytes  30.04.2013 06:20:14

VBASE005.VDF   : 7.11.74.230     2048 Bytes  30.04.2013 06:20:14

VBASE006.VDF   : 7.11.74.231     2048 Bytes  30.04.2013 06:20:14

VBASE007.VDF   : 7.11.74.232     2048 Bytes  30.04.2013 06:20:15

VBASE008.VDF   : 7.11.74.233     2048 Bytes  30.04.2013 06:20:15

VBASE009.VDF   : 7.11.74.234     2048 Bytes  30.04.2013 06:20:15

VBASE010.VDF   : 7.11.74.235     2048 Bytes  30.04.2013 06:20:15

VBASE011.VDF   : 7.11.74.236     2048 Bytes  30.04.2013 06:20:15

VBASE012.VDF   : 7.11.74.237     2048 Bytes  30.04.2013 06:20:15

VBASE013.VDF   : 7.11.74.238     2048 Bytes  30.04.2013 06:20:15

VBASE014.VDF   : 7.11.75.97    181248 Bytes  02.05.2013 06:20:15

VBASE015.VDF   : 7.11.75.183   217600 Bytes  03.05.2013 20:30:10

VBASE016.VDF   : 7.11.76.27    183808 Bytes  04.05.2013 20:30:16

VBASE017.VDF   : 7.11.76.101   194048 Bytes  06.05.2013 20:30:25

VBASE018.VDF   : 7.11.76.213   163328 Bytes  07.05.2013 20:30:32

VBASE019.VDF   : 7.11.77.41    134656 Bytes  08.05.2013 20:30:39

VBASE020.VDF   : 7.11.77.145   141312 Bytes  10.05.2013 20:30:45

VBASE021.VDF   : 7.11.77.225   155648 Bytes  12.05.2013 20:30:50

VBASE022.VDF   : 7.11.78.21    202752 Bytes  13.05.2013 20:31:00

VBASE023.VDF   : 7.11.78.71    140800 Bytes  13.05.2013 20:31:04

VBASE024.VDF   : 7.11.78.147   167936 Bytes  15.05.2013 20:31:11

VBASE025.VDF   : 7.11.78.207   147456 Bytes  16.05.2013 21:06:22

VBASE026.VDF   : 7.11.79.17    198656 Bytes  17.05.2013 11:46:37

VBASE027.VDF   : 7.11.79.18      2048 Bytes  17.05.2013 11:46:37

VBASE028.VDF   : 7.11.79.19      2048 Bytes  17.05.2013 11:46:37

VBASE029.VDF   : 7.11.79.20      2048 Bytes  17.05.2013 11:46:37

VBASE030.VDF   : 7.11.79.21      2048 Bytes  17.05.2013 11:46:37

VBASE031.VDF   : 7.11.79.68    147968 Bytes  19.05.2013 11:46:39

Engineversion  : 8.2.12.44 

AEVDF.DLL      : 8.1.2.10      102772 Bytes  03.09.2012 17:37:02

AESCRIPT.DLL   : 8.1.4.116     487805 Bytes  16.05.2013 21:07:11

AESCN.DLL      : 8.1.10.4      131446 Bytes  13.04.2013 12:58:17

AESBX.DLL      : 8.2.5.12      606578 Bytes  18.07.2012 16:04:20

AERDL.DLL      : 8.2.0.88      643444 Bytes  20.01.2013 22:14:02

AEPACK.DLL     : 8.3.2.12      754040 Bytes  15.05.2013 20:33:19

AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  09.03.2013 23:27:28

AEHEUR.DLL     : 8.1.4.368    5943673 Bytes  16.05.2013 21:07:08

AEHELP.DLL     : 8.1.25.10     258425 Bytes  15.05.2013 20:31:37

AEGEN.DLL      : 8.1.7.4       442741 Bytes  15.05.2013 20:31:33

AEEXP.DLL      : 8.4.0.30      201078 Bytes  16.05.2013 21:07:13

AEEMU.DLL      : 8.1.3.2       393587 Bytes  03.09.2012 17:36:56

AECORE.DLL     : 8.1.31.2      201080 Bytes  22.02.2013 17:50:54

AEBB.DLL       : 8.1.1.4        53619 Bytes  15.11.2012 08:13:19

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  18.07.2012 16:04:25

AVPREF.DLL     : 12.3.0.32      50720 Bytes  15.11.2012 08:13:54

AVREP.DLL      : 12.3.0.15     179208 Bytes  18.07.2012 16:04:23

AVARKT.DLL     : 12.3.0.33     209696 Bytes  15.11.2012 08:13:51

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  18.07.2012 16:04:22

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  18.07.2012 16:04:34

AVSMTP.DLL     : 12.3.0.32      63480 Bytes  18.07.2012 16:04:24

NETNT.DLL      : 12.3.0.15      17104 Bytes  18.07.2012 16:04:31

RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  18.07.2012 16:04:41

RCTEXT.DLL     : 12.3.0.32      98848 Bytes  15.11.2012 08:12:59
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert

Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
 

Beginn des Suchlaufs: Sonntag, 19. Mai 2013  14:16
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht

Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '82' Modul(e) wurden durchsucht

Durchsuche Prozess 'issch.exe' - '11' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.174941
 

Die Registry wurde durchsucht ( '614' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.174941

C:\System Volume Information\_restore{E317B0A7-CBB8-47F6-A2F4-6E9DB7A23BBB}\RP119\A0015037.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.174941
 

Beginne mit der Desinfektion:

C:\System Volume Information\_restore{E317B0A7-CBB8-47F6-A2F4-6E9DB7A23BBB}\RP119\A0015037.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.174941

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '528cc6cf.qua' verschoben!

Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mixeryo> wurde erfolgreich repariert.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.174941

  [HINWEIS]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [HINWEIS]   Die Datei existiert nicht!

  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mixeryo> wurde erfolgreich repariert.
 
 

Ende des Suchlaufs: Mittwoch, 22. Mai 2013  08:16

Benötigte Zeit:  1:08:16 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   6695 Verzeichnisse wurden überprüft

 155338 Dateien wurden geprüft

      3 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 155335 Dateien ohne Befall

   3896 Archive wurden durchsucht

      0 Warnungen

      2 Hinweise

 268464 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:

Bitte lesen:
Regeln für die Bereinigung

Illegal genutzte Software
Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
Keine Garantie
Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
Keine Alleingänge
Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
Aufmerksam lesen und nachfragen
Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
Richtig antworten
- Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
- Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss.
- Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
  [CODE] (Logfile) [/CODE]
- Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten.
Keine privaten Nachrichten
Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
Wie läuft die Bereinigung ab?
Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:
Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com
Schließe alle laufenden Programme und starte DDS mit Doppelklick.

Der Desktop wird verschwinden, das ist normal.

Stelle folgendes ein:

[X] dds.txt
[X] attach.txt
[ ] options for dds.txt

Ändere keine Einstellung ohne Anweisung.

Klicke auf Start.

Es werden 2 Logfiles auf deinem Desktop erstellt.
dds.txt

attach.txt

Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo ryder,

vielen Dank für deine Hilfe!

Ich habe nun leider ein großes Problem.
Nachdem ich den ersten und zweiten Schritt wie oben geschrieben durchgeführt habe und der Rechner sich neu startete, kommt eine Fehlermeldung auf und Windows führt immer selbstständig einen Neustart durch, den ich nicht verhindern kann.

Als erstes kommt das Fenster ``Generic Host Process for Win32 Services hat ein Problem festgestell und muss beendet werden´´. Wenn ich dann den Bericht nicht sende, öffnet sich das Fentr welches den Neustart erzwingt (ausgelöst von NT-Auorität\System.

Was kann ich jetzt noch tun?

Drücke beim starten F8 und wenn ein Textmenü kommt, dann versuche bitte "die letzte als funktionierend bekannte Konfiguration" und danach ... falls das nichts half ... den abgesicherten Modus.

So funktioniert es - Windows XP, Vista und 7:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

So funktioniert es - Windows 8: Alternative Anleitung

Ich muss jedes mal manuell den Befehl ``shutdown -a´´ über das cmd eingeben, dann lässt sich das Fenster entfernen und Windows fährt sich nicht runter.

Nun aber endlich die Logs :)!

Code:

# AdwCleaner v2.301 - Datei am 22/05/2013 um 10:24:14 erstellt

# Aktualisiert am 16/05/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\user.js
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\IM

Schlüssel Gelöscht : HKCU\Software\ImInstaller

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}

Schlüssel Gelöscht : HKLM\Software\Conduit

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd

Schlüssel Gelöscht : HKLM\Software\IB Updater

Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb155?a=6R8J27gkep&i=26 --> hxxp://www.google.com
 

-\\ Mozilla Firefox v20.0.1 (de)
 

Datei : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\p1xymgok.default-1351013476882\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1776 octets] - [22/05/2013 10:22:57]

AdwCleaner[S1].txt - [1584 octets] - [22/05/2013 10:24:14]
 

########## EOF - C:\AdwCleaner[S1].txt - [1644 octets] ##########

Das erste Log von DDS

Code:

.

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.DDS Logfile:
 

        Code:


        
DDS (Ver_2012-11-20.01)

.

.

==== Disk Partitions =========================

.

.

==== Disabled Device Manager Items =============

.

==== System Restore Points ===================

.

No restore point in system.

.

==== Installed Programs ======================

.

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader X (10.1.7) - Deutsch

Apple Application Support

Apple Software Update

Avira Free Antivirus

AVS Screen Capture version 2.0.1

AVS Update Manager 1.0

AVS Video Editor 6

AVS Video Recorder 2.5

AVS4YOU Software Navigator 1.4

Bonjour

Broadcom Gigabit Integrated Controller

C-Major Audio

Conexant D480 MDC V.92 Modem

EVEREST Home Edition v2.20

Hotfix für Windows XP (KB2756822)

Hotfix für Windows XP (KB2779562)

Hotfix für Windows XP (KB952287)

Hotfix für Windows XP (KB961118)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix for Windows XP (KB954550-v5)

Hotfix for Windows XP (KB976002-v5)

Intel(R) Extreme Graphics 2 Driver

iTunes

Mein CEWE FOTOBUCH

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Garage Mouse without Borders

Microsoft Office 2000 Professional

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Mozilla Firefox 20.0.1 (x86 de)

Mozilla Maintenance Service

Paragon Backup & Recovery™ 2013 Free

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)

SES Driver

Sicherheitsupdate für Microsoft Windows (KB2564958)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2761465)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2792100)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2797052)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2799329)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2809289)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2817183)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2829530)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2847204)

Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)

Sicherheitsupdate für Windows Media Player (KB2378111)

Sicherheitsupdate für Windows Media Player (KB973540)

Sicherheitsupdate für Windows Media Player (KB975558)

Sicherheitsupdate für Windows XP (KB2115168)

Sicherheitsupdate für Windows XP (KB2229593)

Sicherheitsupdate für Windows XP (KB2296011)

Sicherheitsupdate für Windows XP (KB2347290)

Sicherheitsupdate für Windows XP (KB2360937)

Sicherheitsupdate für Windows XP (KB2387149)

Sicherheitsupdate für Windows XP (KB2393802)

Sicherheitsupdate für Windows XP (KB2419632)

Sicherheitsupdate für Windows XP (KB2423089)

Sicherheitsupdate für Windows XP (KB2440591)

Sicherheitsupdate für Windows XP (KB2443105)

Sicherheitsupdate für Windows XP (KB2476490)

Sicherheitsupdate für Windows XP (KB2478960)

Sicherheitsupdate für Windows XP (KB2478971)

Sicherheitsupdate für Windows XP (KB2479943)

Sicherheitsupdate für Windows XP (KB2481109)

Sicherheitsupdate für Windows XP (KB2483185)

Sicherheitsupdate für Windows XP (KB2506212)

Sicherheitsupdate für Windows XP (KB2507618)

Sicherheitsupdate für Windows XP (KB2507938)

Sicherheitsupdate für Windows XP (KB2508429)

Sicherheitsupdate für Windows XP (KB2509553)

Sicherheitsupdate für Windows XP (KB2510581)

Sicherheitsupdate für Windows XP (KB2535512)

Sicherheitsupdate für Windows XP (KB2536276-v2)

Sicherheitsupdate für Windows XP (KB2544521)

Sicherheitsupdate für Windows XP (KB2544893-v2)

Sicherheitsupdate für Windows XP (KB2566454)

Sicherheitsupdate für Windows XP (KB2570947)

Sicherheitsupdate für Windows XP (KB2584146)

Sicherheitsupdate für Windows XP (KB2585542)

Sicherheitsupdate für Windows XP (KB2592799)

Sicherheitsupdate für Windows XP (KB2598479)

Sicherheitsupdate für Windows XP (KB2603381)

Sicherheitsupdate für Windows XP (KB2618451)

Sicherheitsupdate für Windows XP (KB2619339)

Sicherheitsupdate für Windows XP (KB2620712)

Sicherheitsupdate für Windows XP (KB2624667)

Sicherheitsupdate für Windows XP (KB2631813)

Sicherheitsupdate für Windows XP (KB2646524)

Sicherheitsupdate für Windows XP (KB2653956)

Sicherheitsupdate für Windows XP (KB2655992)

Sicherheitsupdate für Windows XP (KB2659262)

Sicherheitsupdate für Windows XP (KB2661637)

Sicherheitsupdate für Windows XP (KB2676562)

Sicherheitsupdate für Windows XP (KB2686509)

Sicherheitsupdate für Windows XP (KB2691442)

Sicherheitsupdate für Windows XP (KB2698365)

Sicherheitsupdate für Windows XP (KB2705219-v2)

Sicherheitsupdate für Windows XP (KB2712808)

Sicherheitsupdate für Windows XP (KB2719985)

Sicherheitsupdate für Windows XP (KB2723135-v2)

Sicherheitsupdate für Windows XP (KB2724197)

Sicherheitsupdate für Windows XP (KB2727528)

Sicherheitsupdate für Windows XP (KB2731847-v2)

Sicherheitsupdate für Windows XP (KB2744842)

Sicherheitsupdate für Windows XP (KB2753842-v2)

Sicherheitsupdate für Windows XP (KB2753842)

Sicherheitsupdate für Windows XP (KB2757638)

Sicherheitsupdate für Windows XP (KB2758857)

Sicherheitsupdate für Windows XP (KB2761226)

Sicherheitsupdate für Windows XP (KB2770660)

Sicherheitsupdate für Windows XP (KB2778344)

Sicherheitsupdate für Windows XP (KB2779030)

Sicherheitsupdate für Windows XP (KB2780091)

Sicherheitsupdate für Windows XP (KB2799494)

Sicherheitsupdate für Windows XP (KB2802968)

Sicherheitsupdate für Windows XP (KB2807986)

Sicherheitsupdate für Windows XP (KB2808735)

Sicherheitsupdate für Windows XP (KB2813170)

Sicherheitsupdate für Windows XP (KB2813345)

Sicherheitsupdate für Windows XP (KB2820197)

Sicherheitsupdate für Windows XP (KB2820917)

Sicherheitsupdate für Windows XP (KB2829361)

Sicherheitsupdate für Windows XP (KB923789)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956744)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956844)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB960859)

Sicherheitsupdate für Windows XP (KB969059)

Sicherheitsupdate für Windows XP (KB970430)

Sicherheitsupdate für Windows XP (KB971657)

Sicherheitsupdate für Windows XP (KB972270)

Sicherheitsupdate für Windows XP (KB973507)

Sicherheitsupdate für Windows XP (KB973869)

Sicherheitsupdate für Windows XP (KB973904)

Sicherheitsupdate für Windows XP (KB974112)

Sicherheitsupdate für Windows XP (KB974318)

Sicherheitsupdate für Windows XP (KB974392)

Sicherheitsupdate für Windows XP (KB974571)

Sicherheitsupdate für Windows XP (KB975025)

Sicherheitsupdate für Windows XP (KB975467)

Sicherheitsupdate für Windows XP (KB975560)

Sicherheitsupdate für Windows XP (KB975713)

Sicherheitsupdate für Windows XP (KB977816)

Sicherheitsupdate für Windows XP (KB977914)

Sicherheitsupdate für Windows XP (KB978338)

Sicherheitsupdate für Windows XP (KB978542)

Sicherheitsupdate für Windows XP (KB979309)

Sicherheitsupdate für Windows XP (KB979482)

Sicherheitsupdate für Windows XP (KB979687)

Sicherheitsupdate für Windows XP (KB981322)

Sicherheitsupdate für Windows XP (KB981997)

Sicherheitsupdate für Windows XP (KB982132)

Sicherheitsupdate für Windows XP (KB982665)

Skype™ 5.10

TP-LINK-Clientinstallationsprogramm 

Update für Windows Internet Explorer 8 (KB2598845)

Update für Windows XP (KB2345886)

Update für Windows XP (KB2467659)

Update für Windows XP (KB2661254-v2)

Update für Windows XP (KB2736233)

Update für Windows XP (KB2749655)

Update für Windows XP (KB898461)

Update für Windows XP (KB951978)

Update für Windows XP (KB955759)

Update für Windows XP (KB968389)

Update für Windows XP (KB971029)

Update für Windows XP (KB973815)

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

USB54M

VLC media player 2.0.3

WebFldrs XP

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows XP Service Pack 3

.

==== End Of File ===========================

 
Das zweite Log von DDS:DDS Logfile:
 

        Code:


        
DDS (Ver_2012-11-20.01) - NTFS_x86 

Internet Explorer: 8.0.6001.18702

Run by Besitzer at 10:04:57 on 2013-05-23

#Option MBR scan  is disabled.

AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ================

.

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\WINDOWS\system32\svchost.exe -k imgsvc

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.com

uRun: [Skype] "c:\programme\skype\phone\Skype.exe" /minimized /regrun

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [videoz] "c:\dokumente und einstellungen\besitzer\anwendungsdaten\videoz.exe" -autorun

uRun: [mixeryo] -autorun

mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min

mRun: [igfxhkcmd] c:\windows\system32\hkcmd.exe

mRun: [igfxpers] c:\windows\system32\igfxpers.exe

mRun: [ISUSScheduler] "c:\programme\gemeinsame dateien\installshield\updateservice\issch.exe" -start

mRun: [ISUSPM Startup] c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe -startup

mRun: [igfxtray] c:\windows\system32\igfxtray.exe

mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"

mRun: [UserFaultCheck] c:\windows\system32\dumprep 0 -u

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\micros~1.lnk - c:\programme\microsoft office\office\OSA9.EXE

uPolicies-Explorer: NoDriveTypeAutoRun = dword:145

mPolicies-Windows\System: Allow-LogonScript-NetbiosDisabled = dword:1

mPolicies-Explorer: NoDriveTypeAutoRun = dword:145

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1346685020894

TCP: NameServer = 192.168.0.2 192.168.0.5

TCP: Interfaces\{17CD823B-81E6-4AD7-86BF-BB7FC08A722F} : DHCPNameServer = 192.168.0.2 192.168.0.5

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\programme\gemeinsame dateien\skype\Skype4COM.dll

Notify: igfxcui - igfxdev.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

IFEO: userinit.exe - c:\dokumente und einstellungen\besitzer\anwendungsdaten\videoz.exe

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\dokumente und einstellungen\besitzer\anwendungsdaten\mozilla\firefox\profiles\p1xymgok.default-1351013476882\

FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll

FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_7_700_202.dll

.

============= SERVICES / DRIVERS ===============

.

.

=============== Created Last 30 ================

.

2013-05-15 15:12:17        32128        -c--a-w-        c:\windows\system32\dllcache\usbccgp.sys

2013-05-15 15:12:17        32128        ----a-w-        c:\windows\system32\drivers\usbccgp.sys

2013-05-14 11:56:18        --------        d-----w-        c:\dokumente und einstellungen\besitzer\Utaogdljvx

2013-04-25 14:06:01        26520        ----a-w-        c:\programme\mozilla firefox\plugin-hang-ui.exe

.

==================== Find3M  ====================

.

30030-06-20 19:29:19        261632        ----a-w-        c:\dokumente und einstellungen\besitzer\anwendungsdaten\videoz.exe

2013-05-15 14:21:05        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-05-15 14:21:05        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-04-16 22:16:49        920064        ----a-w-        c:\windows\system32\wininet.dll

2013-04-16 22:16:49        43520        ------w-        c:\windows\system32\licmgr10.dll

2013-04-16 22:16:48        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2013-04-12 23:28:55        385024        ------w-        c:\windows\system32\html.iec

2013-04-12 14:00:54        1876480        ----a-w-        c:\windows\system32\win32k.sys

2013-03-08 08:36:10        293888        ----a-w-        c:\windows\system32\winsrv.dll

2013-03-07 15:56:53        2195712        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-03-07 15:56:53        2072320        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-02-27 07:56:45        2067456        ----a-w-        c:\windows\system32\mstscax.dll

.

============= FINISH: 10:05:53,90 ===============

--- --- ---
--- --- ---

Ja irgendwas stimmt da gar nicht.
Wir müssen da ein paar Sachen killen.

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich habe nun folgendes Problem. Ich habe alles wie du es beschrieben hast gemacht aber combofix bleibt bei ``Autoscan´´ hängen und irgendwann hängt sich das gesamte Windows auf...

Was kann ich tun?

Vielen Dank für deine Geduld :)!

Combofix umbenennen

Bitte benenne die Combofix(.exe) um in NoMBR(.exe) und probiere es nochmals.

Anbei das Log von Combofix:

Code:

ComboFix 13-05-23.02 - Besitzer 23.05.2013  18:15:28.1.1 - x86

ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-04-23 bis 2013-05-23  ))))))))))))))))))))))))))))))

.

.

2013-05-22 10:05 . 2013-05-23 07:49        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-05-19 12:28 . 2013-05-19 12:28        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2013-05-15 15:12 . 2008-04-13 22:15        32128        -c--a-w-        c:\windows\system32\dllcache\usbccgp.sys

2013-05-15 15:12 . 2008-04-13 22:15        32128        ----a-w-        c:\windows\system32\drivers\usbccgp.sys

2013-05-14 11:56 . 2013-05-17 04:45        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Utaogdljvx

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-05-15 14:21 . 2012-09-11 18:13        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-05-15 14:21 . 2012-09-11 18:13        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-04-16 22:16 . 2006-02-28 12:00        920064        ----a-w-        c:\windows\system32\wininet.dll

2013-04-16 22:16 . 2006-02-28 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2013-04-16 22:16 . 2006-02-28 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2013-04-12 23:28 . 2006-02-28 12:00        385024        ------w-        c:\windows\system32\html.iec

2013-04-12 14:00 . 2006-02-28 12:00        1876480        ----a-w-        c:\windows\system32\win32k.sys

2013-03-08 08:36 . 2006-02-28 12:00        293888        ----a-w-        c:\windows\system32\winsrv.dll

2013-03-07 15:56 . 2006-02-28 12:00        2195712        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-03-07 15:56 . 2004-08-04 00:50        2072320        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-02-27 07:56 . 2012-09-03 13:48        2067456        ----a-w-        c:\windows\system32\mstscax.dll

2013-04-25 14:06 . 2013-04-25 14:05        263064        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mixeryo"="-autorun" [X]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]

"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-1-17 65588]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]

"Debugger"=c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]

2012-05-30 18:06        59280        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2012-06-07 17:33        421776        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-14 05:52        1695232        ------w-        c:\programme\Messenger\msmsgs.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"MouseWithoutBordersSvc"=2 (0x2)

"iPod Service"=3 (0x3)

"Bonjour Service"=2 (0x2)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Microsoft Garage\\Mouse without Borders\\MouseWithoutBorders.exe"=

.

R2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [x]

R3 AR9271;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athuw.sys [x]

R3 MRVW225;USB54M Wireless LAN Dirver for Windows XP;c:\windows\system32\DRIVERS\MRVW225.sys [x]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]

R4 MouseWithoutBordersSvc;Mouse without Borders Service;c:\programme\Microsoft Garage\Mouse without Borders\MouseWithoutBordersSvc.exe [x]

S1 Uim_Vim;UIM Virtual Image Plugin;c:\windows\system32\Drivers\Uim_Vim.sys [x]

.

.

Inhalt des "geplante Tasks" Ordners

.

2013-05-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-11 14:21]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

uInternet Settings,ProxyOverride = *.local

TCP: DhcpNameServer = 192.168.0.2 192.168.0.5

FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\p1xymgok.default-1351013476882\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-videoz - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-05-23 18:21

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]

@="?????????????????? v1"

.

[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]

@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"

.

[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]

@="?????????????????? v2"

.

[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]

@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"

.

Zeit der Fertigstellung: 2013-05-23  18:23:29

ComboFix-quarantined-files.txt  2013-05-23 16:23

.

Vor Suchlauf: 9 Verzeichnis(se), 11.439.104.000 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 11.858.124.800 Bytes frei

.

- - End Of File - - FE7017EE97F1BCCE1C95E01162226505

Soooo da ist noch was übrig:

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

Folder:: c:\dokumente und einstellungen\Besitzer\Utaogdljvx DDS:: uRun: [mixeryo] -autorun

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2:
Scan mit MBAR
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Kann ich da auch wieder die exe Datei voher umbenennen in ``NoMBR´´ oder geht es da nicht mehr?

Ja sicher zu ziehst es in die umbenannte Datei.

Nachdem nun ersteres Programm gelaufen ist, sich dies jedoch irgendwann wieder aufhängte, lässt der Rechner nun kein normales Anmelden mehr zu. Sobald ich mich anmelde logt sich der Benutzer selbstständig wieder aus und ich kann dies auch nicht durch den gesicherten Modus umgehen....

Was kann man jetzt noch machen :(?

Danke für die Hilfe!!!

Auch nicht abgesichert mit Eingabeaufforderung?