Trojaner-Board - TR/Kazy.mekml.1 eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Kazy.mekml.1 eingefangen - Logs erstellt (https://www.trojaner-board.de/97944-tr-kazy-mekml-1-eingefangen-logs-erstellt.html)

TR/Kazy.mekml.1 eingefangen - Logs erstellt

Hallo,

habe mir wie wohl einige andere auch den Trojaner TR/Kazy.mekml.1 eingefangen laut AntiVir.

Kurz darauf gings los mit Systemwarnungen, PC runtergefahren etc.

Entfernen mit AntiVir hat nicht wirklich funktioniert. Einmal nicht mehr weiter gegangen, beim zweiten Mal ist der PC auf einmal neu gestartet.

Daten vom Desktop sind weg, Hintergrund schwarz, beim Hochfahren werden mir Probleme mit dem Grafikkartentreiber gemeldet.

Habe jetzt gerade die ersten Schritte laut der Checkliste befolgt und Malwarebytes und OTL durchlaufen lassen. Die Logs habe ich diesem Posting angehängt!

Vielen Dank im Voraus! Tolle Sache, dass es so ein Forum gibt!

Gruß

Viktor

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hi,
danke für die Rückmeldung!

Voll-Scan habe ich vorhin auch schon durchlaufen lassen. Vorher hab ich Malwarebytes geupdatet.

Er hat eine infizierte Datei gefunden, die ich dann entfernt habe. Siehe Log hier:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6435

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

25.04.2011 15:08:43
mbam-log-2011-04-25 (15-08-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|I:\|)
Durchsuchte Objekte: 428091
Laufzeit: 3 Stunde(n), 13 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\LocalLow\Sun\Java\deployment\cache\6.0\42\783d75ea-122ffbf2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Nur noch diesen:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6435

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

25.04.2011 10:49:40
mbam-log-2011-04-25 (10-49-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 173474
Laufzeit: 6 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2011.04.03 14:38:49 | 000,000,000 | -H-D | M] - C:\Autodesk -- [ NTFS ]

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{414c11b9-7cf3-11df-8496-001e686c79c1}\Shell - "" = AutoRun

O33 - MountPoints2\{414c11b9-7cf3-11df-8496-001e686c79c1}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found

O33 - MountPoints2\{414c11be-7cf3-11df-8496-001e686c79c1}\Shell - "" = AutoRun

O33 - MountPoints2\{414c11be-7cf3-11df-8496-001e686c79c1}\Shell\AutoRun\command - "" = G:\AutoRun.exe -- File not found

O33 - MountPoints2\{631bccdc-cabf-11de-bde4-001e686c79c1}\Shell - "" = AutoRun

O33 - MountPoints2\{631bccdc-cabf-11de-bde4-001e686c79c1}\Shell\AutoRun\command - "" = I:\Autostart.exe -- File not found

[2011.04.22 18:24:54 | 000,000,392 | -H-- | M] () -- C:\ProgramData\29155080

[2010.12.22 22:38:24 | 000,000,000 | -H-D | M] -- C:\Users\***\AppData\Roaming\Gutscheinmieze

@Alternate Data Stream - 143 bytes -> C:\Users\***\AppData\Roaming\default.rss:OECustomProperty

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hab ich durchgeführt.

Log:

Code:

All processes killed

========== OTL ==========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File  not found.

C:\autoexec.bat moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{414c11b9-7cf3-11df-8496-001e686c79c1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{414c11b9-7cf3-11df-8496-001e686c79c1}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{414c11b9-7cf3-11df-8496-001e686c79c1}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{414c11b9-7cf3-11df-8496-001e686c79c1}\ not found.

File G:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{414c11be-7cf3-11df-8496-001e686c79c1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{414c11be-7cf3-11df-8496-001e686c79c1}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{414c11be-7cf3-11df-8496-001e686c79c1}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{414c11be-7cf3-11df-8496-001e686c79c1}\ not found.

File G:\AutoRun.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{631bccdc-cabf-11de-bde4-001e686c79c1}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631bccdc-cabf-11de-bde4-001e686c79c1}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{631bccdc-cabf-11de-bde4-001e686c79c1}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631bccdc-cabf-11de-bde4-001e686c79c1}\ not found.

File I:\Autostart.exe not found.

C:\ProgramData\29155080 moved successfully.

C:\Users\***\AppData\Roaming\Gutscheinmieze folder moved successfully.

ADS C:\Users\***\AppData\Roaming\default.rss:OECustomProperty deleted successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Präsentation

->Temp folder emptied: 71793 bytes

->Temporary Internet Files folder emptied: 8420144 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 50099651 bytes

->Flash cache emptied: 801 bytes

 

User: Public

 

User: ***

->Temp folder emptied: 3172962971 bytes

->Temporary Internet Files folder emptied: 1089374933 bytes

->Java cache emptied: 53095948 bytes

->FireFox cache emptied: 232344275 bytes

->Flash cache emptied: 136307 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 19242413 bytes

RecycleBin emptied: 8721 bytes

 

Total Files Cleaned = 4.411,00 mb

 

 

OTL by OldTimer - Version 3.2.9.1 log created on 04252011_163548
 

Files\Folders moved on Reboot...

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\W4VR6MYI\;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=728x90;ord=1259509638012;dcopt=ist;tile=1;um=2;us=11;eb_trk=132997;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\W4VR6MYI\rch_11450;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=300x100;ord=1259509846947;tile=2;um=2;us=11;eb_trk=132973;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\TYN5XYZE\;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=728x90;ord=1259509574660;dcopt=ist;tile=1;um=2;us=11;eb_trk=133252;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\TYN5XYZE\arch_14616;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;tcat=14616;items=518;sz=160x600;ord=1259510034093;dcopt=ist;tile=1;um=2;us=11;eb_trk=132975;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\TYN5XYZE\arch_14616;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;tcat=14616;items=518;sz=160x600;ord=1259510039354;dcopt=ist;tile=1;um=2;us=11;eb_trk=132975;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\TYN5XYZE\iewWatchSearch_11450;seg=GL_MetaViewWatchSearch_14675;tcat=14616;items=519;sz=180x150;ord=1259509951917;dcopt=ist;tile=1;um=2;us=11;eb_trk=137927;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\TYN5XYZE\seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=300x250;ord=1259509846947;dcopt=ist;tile=1;um=2;us=11;eb_trk=132974;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\QJX3GCVU\;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=728x90;ord=1259509882221;dcopt=ist;tile=1;um=2;us=11;eb_trk=133252;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\QJX3GCVU\rch_11450;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=160x600;ord=1259509638012;tile=2;um=2;us=11;eb_trk=132993;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\IPJA87YY\;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=728x90;ord=1259509863734;dcopt=ist;tile=1;um=2;us=11;eb_trk=133252;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\IPJA87YY\;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=728x90;ord=1259509868714;dcopt=ist;tile=1;um=2;us=11;eb_trk=132997;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\IPJA87YY\rch_11450;seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=300x100;ord=1259509945078;tile=2;um=2;us=11;eb_trk=132973;pr=22;xp=32;np=22[1].htm not found!

File\Folder C:\Users\***\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5\IPJA87YY\seg=GL_MetaViewWatchSearch_14675;seg=GL_AllBid_Mar05;seg=GL_AllSucBuy_Mar05;sz=300x250;ord=1259509945078;dcopt=ist;tile=1;um=2;us=11;eb_trk=132974;pr=22;xp=32;np=22[1].htm not found!
 

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Also unhide hat funktioniert, Daten sind alle wieder da!

tdsskiller.exe funktioniert leider nicht.
Sobald ich sie "Als Administrator ausführe" werde ich gefragt "Möchten Sie zulassen, dass durch das folgende Programm Veränderungen an diesem Computer durchgeführt werden?".
Ich klicke auf ja, danach passiert leider nichts mehr.
Habe es auch im Abgesicherten Modus probiert und hier im Forum nach anderen möglichen Fehlern gesucht.
Auf dem Rechner war mal Daemon Tools Lite installiert, ist allerdings nicht mehr installiert.
Habe auch über die bootrec.exe /fixMBR durchgeführt. Ändert aber nichts daran, dass tdsskiller.exe sich nicht ausführen lässt

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Habe cofi ausgeführt.

Log:

Code:

ComboFix 11-04-25.01 - *** 25.04.2011  22:08:19.1.2 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3070.2048 [GMT 2:00]

ausgeführt von:: c:\users\***\Desktop\cofi.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-03-25 bis 2011-04-25  ))))))))))))))))))))))))))))))

.

.

2011-04-25 20:31 . 2011-04-25 20:31        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-04-25 19:53 . 2011-04-25 19:53        --------        d-----w-        c:\program files\CCleaner

2011-04-25 17:45 . 2011-04-25 17:45        --------        d-----w-        c:\users\***\AppData\Roaming\Modpad

2011-04-25 14:35 . 2011-04-25 14:35        --------        d-----w-        C:\_OTL

2011-04-22 17:21 . 2011-04-22 17:21        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2011-04-22 17:21 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-04-22 17:21 . 2011-04-22 17:21        --------        d-----w-        c:\programdata\Malwarebytes

2011-04-22 17:21 . 2011-04-22 17:21        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-04-22 09:12 . 2011-04-11 07:04        7071056        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{BC5A0670-9923-4DB6-81BB-F8342D12D9D8}\mpengine.dll

2011-04-19 19:40 . 2011-04-19 19:40        --------        d-----w-        c:\windows\system32\wbem\en-US

2011-04-18 17:14 . 2011-04-18 17:14        --------        d-----w-        c:\program files\Kahlert

2011-04-18 17:08 . 2011-04-18 17:08        --------        d-----w-        c:\users\***\workspace

2011-04-18 17:03 . 2011-04-18 17:03        --------        d-----w-        C:\eclipse-eikelberg-2

2011-04-18 17:01 . 2011-04-18 17:03        --------        d-----w-        C:\jdk1.6.0

2011-04-18 17:00 . 2011-04-18 17:00        --------        d-----w-        C:\MinGW-Cpp

2011-04-02 18:58 . 2011-04-02 18:58        --------        d-----w-        c:\programdata\FLEXnet

2011-03-28 16:29 . 2011-03-28 16:29        --------        d-----w-        c:\users\***\AppData\Roaming\Avira

2011-03-27 20:14 . 2011-03-27 20:14        --------        d-----w-        c:\program files\Microsoft WSE

2011-03-27 20:11 . 2011-03-27 20:11        --------        d-----w-        c:\program files\Common Files\Macrovision Shared

2011-03-27 20:08 . 2011-03-27 20:16        --------        d-----w-        c:\users\***\AppData\Local\Autodesk

2011-03-27 20:04 . 2011-03-27 20:17        --------        d-----w-        c:\program files\Autodesk

2011-03-27 20:04 . 2011-03-27 20:16        --------        d-----w-        c:\program files\Common Files\Autodesk Shared

2011-03-27 20:00 . 2011-04-03 20:27        --------        d-----w-        c:\programdata\Autodesk

2011-03-27 20:00 . 2011-04-02 19:08        --------        d-----w-        c:\users\***\AppData\Roaming\Autodesk

2011-03-27 19:49 . 2011-04-03 12:38        --------        d-----w-        C:\Autodesk

2011-03-27 18:50 . 2011-04-25 17:34        --------        d-----w-        c:\program files\Common Files\Akamai

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-23 13:39 . 2009-11-05 12:31        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-19 05:33 . 2011-03-09 12:30        802304        ----a-w-        c:\windows\system32\FntCache.dll

2011-02-19 05:32 . 2011-03-09 12:30        1074176        ----a-w-        c:\windows\system32\DWrite.dll

2011-02-19 05:32 . 2011-03-09 12:30        739840        ----a-w-        c:\windows\system32\d2d1.dll

2011-02-03 05:45 . 2011-02-09 15:15        219008        ----a-w-        c:\windows\system32\drivers\dxgmms1.sys

2011-02-02 16:11 . 2009-11-05 12:30        222080        ------w-        c:\windows\system32\MpSigStub.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

"Tortwain"="c:\users\***\AppData\Roaming\Modpad\catdvd.exe" [2011-04-25 569856]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-19 281768]

"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2009-04-10 417792]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-29 98304]

"Toshiba Hotkey Utility"="c:\program files\Toshiba\Windows Utilities\Hotkey.exe" [2008-05-09 1773568]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2009-08-14 614400]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

.

c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

JDownloader - Verknpfung.lnk - d:\jdownloader 0.8.9\JDownloader.exe [2009-11-6 214528]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2009-8-24 2684256]

VPN Client.lnk - c:\windows\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico [2010-4-9 6144]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer4"=wdmaud.drv

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 136176]

R3 Andbus;LGE Android Platform Composite USB Device;c:\windows\system32\DRIVERS\lgandbus.sys [2010-08-02 14336]

R3 AndDiag;LGE Android Platform USB Serial Port;c:\windows\system32\DRIVERS\lganddiag.sys [2010-08-02 20864]

R3 AndGps;LGE Android Platform USB GPS NMEA Port;c:\windows\system32\DRIVERS\lgandgps.sys [2010-08-02 19968]

R3 ANDModem;LGE Android Platform USB Modem;c:\windows\system32\DRIVERS\lgandmodem.sys [2010-08-02 24960]

R3 hid8101;hid8101;c:\windows\system32\drivers\hid8101.SYS [2006-10-23 31899]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-11-06 691696]

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2010-02-24 185472]

S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-07-29 176128]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-19 135336]

S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-08-10 185712]

S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]

S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2009-02-23 5120]

S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys [2009-09-29 12160]

S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys [2009-09-29 10496]

S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys [2009-09-29 12928]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2009-07-13 52768]

S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-05-29 6912]

S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]

S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]

S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]

S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai        REG_MULTI_SZ           Akamai

.

Inhalt des "geplante Tasks" Ordners

.

2011-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 09:30]

.

2011-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-06 09:30]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

uInternet Settings,ProxyOverride = local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\b37gm6ek.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=

FF - prefs.js: network.proxy.type - 4

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Personas: personas@christopher.beard - %profile%\extensions\personas@christopher.beard

FF - Ext: Google Gears: {000a9d1c-beef-4f90-9363-039d445309b8} - c:\program files\Google\Google Gears\Firefox

.

.

------- Dateityp-Verknüpfung -------

.

.scr=AutoCADScriptFile

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-LG LinkAir - (no file)

HKLM-Run-ITSecMng - %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe

.

.

.

**************************************************************************

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 6.1.7600 Disk: Hitachi_HTS542525K9SA00 rev.BBFOC33P -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 

.

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user != kernel MBR !!! 

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-04-25  22:33:59

ComboFix-quarantined-files.txt  2011-04-25 20:33

.

Vor Suchlauf: 14 Verzeichnis(se), 39.234.527.232 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 39.002.509.312 Bytes frei

.

- - End Of File - - F8A197725778A2C9ABE99CE3976B5F4D

Da ist auf jeden Fall was mit dem MBR nicht in Ordnung.
Benenn den TDSS-Killer mal um mit was zufälligem zB "adfsds734.exe" und probier ihn nochmal auszuführen. Geht das wieder wieder, probier es im abgesicherten Modus von Windows nochmal.

Leider hat auch das nicht funktioniert.

Muss jetzt noch eine kleinigkeit am pc erledigen, habe mich dann aber dazu entschlossen, den PC neu aufzusetzen.
Muss ich beim Sichern der Daten auf eine externe Festplatte etwas beachten, damit ich mir nix mit auf die Sicherung ziehe?

Neu aufsetzen geht auch, wir würden das aber noch hinbekommen mit dem MBR. Entsprechende Win7-DVD vorausgesetzt.

Sichern der Daten macht aber immer Sinn, egal ob format c: oder nicht.
Folge dazu dem 2. Link in meiner Signatur.