internet explorer öffnet sich von selbst - welches programm muss weg?
 

Hi Leute
Seit ein paar Tagen öffnet sich mein internet explorer von alleine. Es ist immer die selbe Seite : www.raise-inc.com Kurz bevor ich die Seite sehe schliest sich der internet explorer und öffnet sich wieder. Hier ist der scan von hijack:

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\m.c.rezi\Desktop\HiJackThis204.exe
C:\Windows\system32\DllHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ATI Drivers] C:\Users\m.c.rezi\AppData\Local\ATI Drivers\ATI_graphics.exe
O4 - HKCU\..\Run: [Audio HD Driver] C:\Users\MCC0A1~1.REZ\AppData\Local\Temp\AutoStart.exe
O4 - HKCU\..\Run: [Sound Settings Service] C:\Users\m.c.rezi\AppData\Roaming\sounds.exe
O4 - HKCU\..\Run: [bZE165UrdWubConcffD] C:\Windows\system\sounds.exe
O4 - HKCU\..\Run: [LK4Verx5FJxOvJr7n] C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe
O4 - HKCU\..\Run: [HKCU] C:\Windows\System32\default\msnmsgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

was muss ich fxen?
danke im vorraus
M.C.rezi

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
eventuell musst du die auf 2 oder mehr beiträge aufteilen.

ich habe jetzt beide reports
OTL:
OTL Logfile:
--- --- ---

und extras:
OTL EXTRAS Logfile:
--- --- ---

VirusTotal - Free Online Virus and Malware Scan
b
dort prüfe
C:\Users\m.c.rezi\AppData\Local\ATI Drivers\ATI_graphics.exe
falls datei bereits analysiert, klicke erneut prüfen, ergebniss posten.

hier ist das ergebnis:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.26 2010.06.09 -
AhnLab-V3 2010.06.09.04 2010.06.09 -
AntiVir 8.2.2.6 2010.06.09 -
Antiy-AVL 2.0.3.7 2010.06.08 -
Authentium 5.2.0.5 2010.06.09 -
Avast 4.8.1351.0 2010.06.09 -
Avast5 5.0.332.0 2010.06.09 -
AVG 9.0.0.787 2010.06.09 -
BitDefender 7.2 2010.06.09 -
CAT-QuickHeal 10.00 2010.06.09 -
ClamAV 0.96.0.3-git 2010.06.09 -
Comodo 5040 2010.06.09 -
DrWeb 5.0.2.03300 2010.06.09 -
eSafe 7.0.17.0 2010.06.08 -
eTrust-Vet 36.1.7622 2010.06.09 -
F-Prot 4.6.0.103 2010.06.08 -
F-Secure 9.0.15370.0 2010.06.09 -
Fortinet 4.1.133.0 2010.06.09 -
GData 21 2010.06.09 -
Ikarus T3.1.1.84.0 2010.06.09 -
Jiangmin 13.0.900 2010.06.09 -
Kaspersky 7.0.0.125 2010.06.09 -
McAfee 5.400.0.1158 2010.06.09 -
McAfee-GW-Edition 2010.1 2010.06.09 -
Microsoft 1.5802 2010.06.09 -
NOD32 5184 2010.06.09 -
Norman 6.04.12 2010.06.09 -
nProtect 2010-06-09.02 2010.06.09 -
Panda 10.0.2.7 2010.06.08 -
PCTools 7.0.3.5 2010.06.09 -
Prevx 3.0 2010.06.09 -
Rising 22.51.02.03 2010.06.09 -
Sophos 4.53.0 2010.06.09 -
Sunbelt 6424 2010.06.09 -
Symantec 20101.1.0.89 2010.06.09 -
TheHacker 6.5.2.0.295 2010.06.08 -
TrendMicro 9.120.0.1004 2010.06.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
VBA32 3.12.12.5 2010.06.09 -
ViRobot 2010.6.9.2346 2010.06.09 -
VirusBuster 5.0.27.0 2010.06.08 -
weitere Informationen
File size: 39424 bytes
MD5...: 28c189f3c02afb9aa45cdc59a5f6f171
SHA1..: 591ede8324d5128633c1bf9c3a331a5244237af6
SHA256: 11cabde313734003ee95bc769fa62d3ef83756eee809b8faca01f6f368d7a896
ssdeep: 384:eINBsYkuUPDYhd8B1RzFOjXOF5JukLhiJzycbdkJFrcilnFQFFFFFFFFQQFF
Q2FE:FBiuU037S5MGhi9B69DbhBSvG8dEGU
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xaf92
timedatestamp.....: 0x4bf2f61a (Tue May 18 20:18:34 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x8f98 0x9000 6.03 888086d74b0fa54a2b0006c945aa0799
.reloc 0xc000 0xc 0x200 0.08 50d925e90380b366eed40019c442efbd
.rsrc 0xe000 0x574 0x600 4.00 8c95623e74eb5f68055e5bfe7c31c31a

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic CIL Executable (.NET, Mono, etc.) (78.4%)
Win32 Executable Generic (9.1%)
Win32 Dynamic Link Library (generic) (8.1%)
Generic Win/DOS Executable (2.1%)
DOS Executable Generic (2.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
sigcheck:
publisher....: Microsoft
copyright....: Copyright (c) Microsoft 2010
product......: ATI
description..: ATI
original name: ATI Driver.exe
internal name: ATI Driver.exe
file version.: 1.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Users\m.c.rezi\AppData\Local\Temp\AutoStart.exe ()
O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [Audio HD Driver] C:\Users\MCC0A1~1.REZ\AppData\Local\Temp\AutoStart.exe ()
O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [bZE165UrdWubConcffD] C:\Windows\system\sounds.exe File not found
O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [HKCU] C:\Windows\System32\default\msnmsgr.exe File not found
O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [LK4Verx5FJxOvJr7n] C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe (An)
O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [Sound Settings Service]
C:\Users\m.c.rezi\AppData\Roaming\sounds.exe (FLaEqrMsDkv)
O4 - HKCU\..\Run: [Audio HD Driver] C:\Users\MCC0A1~1.REZ\AppData\Local\Temp\AutoStart.exe
O4 - HKCU\..\Run: [Sound Settings Service] C:\Users\m.c.rezi\AppData\Roaming\sounds.exe
O4 - HKCU\..\Run: [bZE165UrdWubConcffD] C:\Windows\system\sounds.exe
O4 - HKCU\..\Run: [LK4Verx5FJxOvJr7n] C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe
O4 - HKCU\..\Run: [HKCU] C:\Windows\System32\default\msnmsgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe
:Files
C:\Users\m.c.rezi\AppData\Local\Temp\AutoStart.exe
C:\Windows\System32\default\msnmsgr.exe
C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe
C:\Users\m.c.rezi\AppData\Roaming\sounds.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[start explorer]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

ergebnis:
All processes killed
Error: Unable to interpret <PRC - C:\Users\m.c.rezi\AppData\Local\Temp\AutoStart.exe ()> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [Audio HD Driver] C:\Users\MCC0A1~1.REZ\AppData\Local\Temp\AutoStart.exe ()> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [bZE165UrdWubConcffD] C:\Windows\system\sounds.exe File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [HKCU] C:\Windows\System32\default\msnmsgr.exe File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [LK4Verx5FJxOvJr7n] C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe (An)> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-3440306680-3731255177-4239468505-1000..\Run: [Sound Settings Service]> in the current context!
Error: Unable to interpret <C:\Users\m.c.rezi\AppData\Roaming\sounds.exe (FLaEqrMsDkv)> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Run: [Audio HD Driver] C:\Users\MCC0A1~1.REZ\AppData\Local\Temp\AutoStart.exe> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Run: [Sound Settings Service] C:\Users\m.c.rezi\AppData\Roaming\sounds.exe> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Run: [bZE165UrdWubConcffD] C:\Windows\system\sounds.exe> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Run: [LK4Verx5FJxOvJr7n] C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Run: [HKCU] C:\Windows\System32\default\msnmsgr.exe> in the current context!
Error: Unable to interpret <O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe> in the current context!
Error: Unable to interpret <O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\default\msnmsgr.exe> in the current context!
========== FILES ==========
C:\Users\m.c.rezi\AppData\Local\Temp\AutoStart.exe moved successfully.
File\Folder C:\Windows\System32\default\msnmsgr.exe not found.
C:\Users\m.c.rezi\AppData\Roaming\updateservice.exe moved successfully.
C:\Users\m.c.rezi\AppData\Roaming\sounds.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41620 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: m.c.rezi
->Flash cache emptied: 43567 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: m.c.rezi
->Temp folder emptied: 29505707 bytes
->Temporary Internet Files folder emptied: 102457 bytes
->FireFox cache emptied: 91371881 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19576 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 115,00 mb


OTL by OldTimer - Version 3.2.5.3 log created on 06092010_145136

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

ah hatte nen fehler drinnen, ist aber nicht weiter schlimm.
bitte erstelle und poste ein combofix log.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

hier der log:
Combofix Logfile:
--- --- ---

start, programme, zubehör, editor.
kopiere rein:

Killall::
Folder::
c:\users\m.c.rezi\AppData\Roaming\spynet

datei speichern unter, typ, alle dateien, name
cfscript.txt
speicherort, dort wo sich combofix.exe befindet.
ziehe cfscript auf combofix, programm startet, log posten.

ich habe den editor ertsellt und ihn zu combifix gesteckt auf die exe gezogen und combofix hat gestartet. Combofix startete und hat den ordner entert danach hat mein pc neugestartet und ich hatte ein blackscreen. ich musste den explorer neustarten danach hatte sich auch kein logfile von combofix geöffnet. habe ich etwas falsch gemacht?

passiert das immernoch nach neustart?
öffne mal arbeitsplatz, laufwerk c: qoobox, quarantäne. dort ist eine combofix3.txt, sollte die aktuellste sein, die posten bitte.

nein das passierte mir zum ersten mal. in qoobox, quarantine ist keine combofix3.
nur im ordner qoobox ist eine combofix2 und das ist dan wohl die alte

probiere das script mal erneut.

da ist das selbe von eben wieder passiert. blackscreen kein logfile da steht aber das er den script benutzt hat

kannst du mal den inhalt der quarantained files.txt posten.

da sind zwei .txt datein drinne beide heißen catchme und nur eine hat nen text:

-------- 2010-06-09 - 16:03:05 -------------

error: 31

-------- 2010-06-10 - 14:06:14 -------------

error: 31

-------- 2010-06-10 - 14:44:04 -------------

error: 31

oder meinst du die txt datein im ganzen ordner qoobox?

da gibts auch ne quarantained files.txt

achso tut mir leid ich hab es falsch verstanden hier ist das richtige:
2010-06-09 14:11:53 . 2010-06-09 14:11:53 191 ----a-w- C:\Qoobox\Quarantine\Registry_backups\ActiveSetup-{B1ADDD9F-BD72-1CFF-CBFD-DEBF6DCB5DBB}.reg.dat
2010-06-09 14:11:53 . 2010-06-09 14:11:53 194 ----a-w- C:\Qoobox\Quarantine\Registry_backups\ActiveSetup-{W41680AS-73V3-T2GP-813Q-552YY6C5SP8C}.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 944 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-Pando Media Booster.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 924 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-msnmsgr.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 964 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-LogMeIn Hamachi Ui.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 934 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-LK4Verx5FJxOvJr7n.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 856 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-HKLM.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 934 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-G7yARTVYT2FHoHsb0.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 892 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-bZE165UrdWubConcffD.reg.dat
2010-06-09 14:11:50 . 2010-06-09 14:11:50 1,044 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-AdobeCS4ServiceManager.reg.dat
2010-06-09 14:11:44 . 2010-06-09 14:11:44 159 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-LK4Verx5FJxOvJr7n.reg.dat
2010-06-09 14:11:44 . 2010-06-09 14:11:44 136 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-bZE165UrdWubConcffD.reg.dat
2010-06-09 14:11:44 . 2010-06-09 14:11:44 157 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-Sound Settings Service.reg.dat
2010-06-09 14:09:32 . 2010-06-09 14:09:32 5,811 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-06-09 14:03:05 . 2010-06-09 14:04:48 62 ----a-w- C:\Qoobox\Quarantine\catchme.log
2010-06-01 12:41:48 . 2010-06-09 12:43:05 24,818 ----a-w- C:\Qoobox\Quarantine\C\Users\m.c.rezi\AppData\Roaming\data.dat.vir
2010-05-21 15:21:14 . 2010-05-21 15:21:14 0 ----a-w- C:\Qoobox\Quarantine\C\Users\m.c.rezi\AppData\Roaming\chrtmp.vir
2010-03-11 15:51:37 . 2010-01-14 03:32:48 60,416 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Cheat Engine\dbk32.sys.vir
2006-04-28 14:14:05 . 2010-06-08 15:45:08 101,346 ----a-w- C:\Qoobox\Quarantine\C\Users\m.c.rezi\AppData\Roaming\cglogs.dat.vir

ok. öffne arbeitsplatz, dort wähle _otl
rechtsklick, zu otl.zip oder rar hinzufügen wählen und das archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
unter punkt2.
wenn du damit fertig bist, melde dich, berichte wie der pc läuft.

so erledigt

nu sag mir noch wie er läuft.

also mein internetexplorer hat sich nicht wieder geöffnet und sonst keine fehlfunktionen alles super

danke für deine hilfe :)

wir sind noch nicht fertig. damit alle programme, auch dein antivirus programm richtig laufen, muss dein system aktuell sein, beginne mit windows updates. erst sp1, dann sp2, dann restliche updates + internet explorer 8. melde dich wenn fertig.

geht klar bin beim updaten

update erledigt

avira

avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

ich habe schon avira und spybot

du sollst prüfen, ob du avira 10 hast, wenn nein, instalieren, wenn ja, konfigurieren wie in der anleitung, dann updaten, dann lokaler schutz, lokale laufwerke, ein scan startet, funde in quarantäne, log posten.

okay mach ich

scan fertig hat ziemlich lang gedauert:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juni 2010 15:07

Es wird nach 2205030 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : m.c.rezi
Computername : MCREZI-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 12:35:06
AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:35:06
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:51:46
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 12:05:21
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 12:05:22
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 12:05:22
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 12:05:22
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 12:05:22
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 12:05:22
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 12:05:22
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 12:08:33
VBASE014.VDF : 7.10.8.38 2048 Bytes 10.06.2010 12:08:33
VBASE015.VDF : 7.10.8.39 2048 Bytes 10.06.2010 12:08:33
VBASE016.VDF : 7.10.8.40 2048 Bytes 10.06.2010 12:08:33
VBASE017.VDF : 7.10.8.41 2048 Bytes 10.06.2010 12:08:33
VBASE018.VDF : 7.10.8.42 2048 Bytes 10.06.2010 12:08:33
VBASE019.VDF : 7.10.8.43 2048 Bytes 10.06.2010 12:08:33
VBASE020.VDF : 7.10.8.44 2048 Bytes 10.06.2010 12:08:33
VBASE021.VDF : 7.10.8.45 2048 Bytes 10.06.2010 12:08:33
VBASE022.VDF : 7.10.8.46 2048 Bytes 10.06.2010 12:08:34
VBASE023.VDF : 7.10.8.47 2048 Bytes 10.06.2010 12:08:34
VBASE024.VDF : 7.10.8.48 2048 Bytes 10.06.2010 12:08:34
VBASE025.VDF : 7.10.8.49 2048 Bytes 10.06.2010 12:08:34
VBASE026.VDF : 7.10.8.50 2048 Bytes 10.06.2010 12:08:34
VBASE027.VDF : 7.10.8.51 2048 Bytes 10.06.2010 12:08:34
VBASE028.VDF : 7.10.8.52 2048 Bytes 10.06.2010 12:08:34
VBASE029.VDF : 7.10.8.53 2048 Bytes 10.06.2010 12:08:34
VBASE030.VDF : 7.10.8.54 2048 Bytes 10.06.2010 12:08:34
VBASE031.VDF : 7.10.8.59 34304 Bytes 11.06.2010 12:08:34
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 26.04.2010 13:22:46
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02.06.2010 12:01:39
AESCN.DLL : 8.1.6.1 127347 Bytes 15.05.2010 17:30:58
AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 13:22:46
AERDL.DLL : 8.1.4.6 541043 Bytes 17.04.2010 10:51:51
AEPACK.DLL : 8.2.1.1 426358 Bytes 26.03.2010 14:00:30
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 15.05.2010 17:30:58
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 05.06.2010 12:05:24
AEHELP.DLL : 8.1.11.5 242038 Bytes 02.06.2010 12:01:36
AEGEN.DLL : 8.1.3.10 377205 Bytes 02.06.2010 12:01:36
AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 13:22:45
AECORE.DLL : 8.1.15.3 192886 Bytes 15.05.2010 17:30:57
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 13:22:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 12:35:06
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 12:35:06
AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:35:06
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 12:35:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Freitag, 11. Juni 2010 15:07

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI_graphics.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StiD1210.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '328' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\m.c.rezi\Downloads\FarCry2_v1.0_(v0.1.0.1)_Trainer+6.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> NFO viewer.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Users\m.c.rezi\Downloads\M2 MultiversionHack by banjo1 v3.91.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Swisyn.afse.5
--> M2 MultiversionHack by banjo1 v3.91.exe
[FUND] Ist das Trojanische Pferd TR/Swisyn.afse.5
C:\Users\m.c.rezi\Downloads\Multihack Gex.rar
[0] Archivtyp: RAR
[FUND] Ist das Trojanische Pferd TR/Fakealert.8126
--> MULTIHACK-6.1.2.rar
[1] Archivtyp: RAR
--> MULTIHACK.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.8126
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\m.c.rezi\Downloads\Multihack Gex.rar
[FUND] Ist das Trojanische Pferd TR/Fakealert.8126
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '480bf982.qua' verschoben!
C:\Users\m.c.rezi\Downloads\M2 MultiversionHack by banjo1 v3.91.rar
[FUND] Ist das Trojanische Pferd TR/Swisyn.afse.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50d0d7ea.qua' verschoben!
C:\Users\m.c.rezi\Downloads\FarCry2_v1.0_(v0.1.0.1)_Trainer+6.zip
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02398cf1.qua' verschoben!


Ende des Suchlaufs: Freitag, 11. Juni 2010 17:56
Benötigte Zeit: 2:49:08 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

21393 Verzeichnisse wurden überprüft
318778 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
318775 Dateien ohne Befall
1334 Archive wurden durchsucht
0 Warnungen
3 Hinweise
98275 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

bei der nutzung illegaler software kann ich dir leider nicht mehr weiter helfen.
formatieren, passwörter endern, auf solche software verzichten. das sind die letzten tipps die ich dir noch gebe.

na ja danke für deine hilfe und alles andere :dankeschoen: