Trojaner-Board - Trojaner gelöscht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner gelöscht? (https://www.trojaner-board.de/101609-trojaner-geloescht.html)

Trojaner gelöscht?

Guten Tag allerseits.

Gestern ist mein Computer aufgrund eines Viruses oder Trojaners ausgerastet.
Es wurden plötzlich (ohne irgendeine exe ausgeführt zu haben oder auf einer
auch nur fragwürdigen seite zu sein) wild Programme geöffnet und in
geöfneten Programmen warscheinlich willkürlich rumgeklickt.
Eine Mail von meiner Cousine (ohne Links oder irgendetwas besonderes)
würde in Thunderbird so oft geöffnet bis 4 leisten voll von mails waren.

Ich habe daraufhin sofort, das internet rausgezogen und im abgesicherten modus
einen quickscan gemacht welcher einen Trojaner gefunden hat welchen ich entfernt habe.

Danach habe ich nochmal einen Komplettscan durchführen lassen allerdings ohne weiteren Ergebnisse.

Bei Antivir wird nun beim normalen starten in der Übersicht angezeigt, dass alles in Ordnung wäre.
Allerdings wird das Feld Online-Schutz sofort rot wenn ich es anklicke und es steht Webguard Unbekannt da.

Ich habe dass Gefühl das immer noch nicht alles in Ordnung ist.
Wie sollte ich weiter Verfahren?
Ist es ratsam seine Passwörter etc. zu ändern, da sie vielleicht aufgenommen worden sein könnten?

Hoffe auf baldige Hilfe und bedanke mich schonmal im vorraus.

Zitat:

einen quickscan gemacht welcher einen Trojaner gefunden hat welchen ich entfernt habe.

Bitte ALLE Logs dazu posten!!

das mache ich gern. Wo finde ich die logs bei Antivir und wie poste ich sie?

Hauptmenü Berichte/Ereignisse

Hi,
habe gerade geschaut. Es hat auf mein Torrent Programm ausgeschlagen was ich schon ewig auf meinem rechner habe.
Allerdings kann hier der Fehler nicht wirklich liegen, denn Antivir macht immer noch
den Eindruck als würde es nicht normal funktionieren (geschlossener Schirm etc.)
und den Ausraster wird dass warscheinlich auch nicht verursacht haben.

Ich hoffe mein Thema wird weiter bearbeitet auch wenn Torrents manchmal zu
illegalen zwecken genutzt werden sind sie ja keineswegs illegal. (Wegen eurer no cracks klausel etc.)
(habe cryptload auch schon ne ganze weile nicht mehr benutzt also könnte dadurch auch nichts ausgelöst worden sein.)

Vorsichtshalber habe ich es dennoch gelöscht. Wie kann ich jetzt feststellen,
was das ganze ausgelöst hat bzw. ob es jetzt weg ist?

Log:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 21. Juli 2011 23:30

Es wird nach 3025171 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.696 35934 Bytes 29.06.2011 17:26:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 09:26:13
AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 09:26:13
LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 09:26:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 09:26:14
AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 08:59:00
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:04:02
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:12:57
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:33:45
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 17:28:10
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 15:17:22
VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 15:17:22
VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 15:17:22
VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 15:17:22
VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 15:17:22
VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 15:17:22
VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 15:17:22
VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 15:17:22
VBASE013.VDF : 7.11.11.75 688128 Bytes 12.07.2011 08:58:59
VBASE014.VDF : 7.11.11.104 978944 Bytes 13.07.2011 15:56:10
VBASE015.VDF : 7.11.11.137 655360 Bytes 14.07.2011 15:56:11
VBASE016.VDF : 7.11.11.184 699392 Bytes 18.07.2011 11:29:02
VBASE017.VDF : 7.11.11.185 2048 Bytes 18.07.2011 11:29:02
VBASE018.VDF : 7.11.11.186 2048 Bytes 18.07.2011 11:29:02
VBASE019.VDF : 7.11.11.187 2048 Bytes 18.07.2011 11:29:02
VBASE020.VDF : 7.11.11.188 2048 Bytes 18.07.2011 11:29:02
VBASE021.VDF : 7.11.11.189 2048 Bytes 18.07.2011 11:29:02
VBASE022.VDF : 7.11.11.190 2048 Bytes 18.07.2011 11:29:02
VBASE023.VDF : 7.11.11.191 2048 Bytes 18.07.2011 11:29:02
VBASE024.VDF : 7.11.11.192 2048 Bytes 18.07.2011 11:29:02
VBASE025.VDF : 7.11.11.193 2048 Bytes 18.07.2011 11:29:03
VBASE026.VDF : 7.11.11.194 2048 Bytes 18.07.2011 11:29:03
VBASE027.VDF : 7.11.11.195 2048 Bytes 18.07.2011 11:29:03
VBASE028.VDF : 7.11.11.196 2048 Bytes 18.07.2011 11:29:03
VBASE029.VDF : 7.11.11.197 2048 Bytes 18.07.2011 11:29:03
VBASE030.VDF : 7.11.11.198 2048 Bytes 18.07.2011 11:29:03
VBASE031.VDF : 7.11.11.208 77824 Bytes 19.07.2011 11:29:03
Engineversion : 8.2.6.16
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 15:09:30
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 17.07.2011 15:56:16
AESCN.DLL : 8.1.7.2 127349 Bytes 29.11.2010 20:46:59
AESBX.DLL : 8.2.1.34 323957 Bytes 07.06.2011 17:28:15
AERDL.DLL : 8.1.9.13 639349 Bytes 17.07.2011 15:56:16
AEPACK.DLL : 8.2.9.5 676214 Bytes 17.07.2011 15:56:15
AEOFFICE.DLL : 8.1.2.12 201083 Bytes 17.07.2011 15:56:14
AEHEUR.DLL : 8.1.2.144 3621240 Bytes 17.07.2011 15:56:14
AEHELP.DLL : 8.1.17.5 246135 Bytes 17.07.2011 15:56:12
AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 13:33:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 29.11.2010 20:46:57
AECORE.DLL : 8.1.22.4 196983 Bytes 17.07.2011 15:56:12
AEBB.DLL : 8.1.1.0 53618 Bytes 02.08.2010 15:09:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33
AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 09:26:13
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 13:23:15
AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 09:26:12
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 09:26:13
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 09:26:11
RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 09:26:11

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 21. Juli 2011 23:30

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'thunderbird.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'AMDSrv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2-ui.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '195' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Downloads\6941f4a16e434b2877d378b80081f466\custom3d.7z.001
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe
[FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe
[FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be6167f.qua' verschoben!

Ende des Suchlaufs: Freitag, 22. Juli 2011 01:26
Benötigte Zeit: 1:56:21 Stunde(n)

Der Suchlauf wurde abgebrochen!

41286 Verzeichnisse wurden überprüft
1075443 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1075442 Dateien ohne Befall
4912 Archive wurden durchsucht
1 Warnungen
3 Hinweise
530293 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Führe auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Eset ist mehrere Stunden durchgelaufen hat am ende aber kein log ausgespuckt.

log von malwarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7271

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

25.07.2011 15:46:54
mbam-log-2011-07-25 (15-46-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 630197
Laufzeit: 2 Stunde(n), 38 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker (PUP.Casino) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Poker\titan poker\_titanpsetup_133ec8.exe (PUP.Casino) -> No action taken.

Zitat:

Eset ist mehrere Stunden durchgelaufen hat am ende aber kein log ausgespuckt.

Du solltest auch meine Anleitung lesen, da steht wie du das Log von ESET öffnest

Ja das habe ich. Ich habe es einmal über das command versucht: "file does not exist"
und danach bin ich manuell in den Ordner gegangen, aber dort gab es kein log.txt.

Suche einfach nach log.txt (nur auf C:), da solltest du fündig werden, wen du Arnes Anleitung richtig befolgt hast.

hab eigentlich alles nach anleitung gemacht. da kann man ja nicht viel falsch machen.
log ist trotzdem nicht da. ich lasse es morgen nochmal durchlaufen und hoffe, dass es dann etwas ausspuckt.

Zitat:

Plattform : Windows Vista x64

Ich hab dazu auch ein Extra-Hinweis gepostet!! :balla:

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

ganau das habe ich gemacht gehabt. war wie gesagt auch manuell in dem
ordner, da waren aber nur 3 dateien und kein log drin.

Aber nach nochmaligem durchlaufen hier das log:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a3452be9e4a2484c8785adb249a6cfe1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-26 05:26:28
# local_time=2011-07-26 07:26:28 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 230042 48214066 222243 0
# compatibility_mode=5892 16776573 100 56 8207 149204905 0 0
# compatibility_mode=8192 67108863 100 0 78 78 0 0
# scanned=467278
# found=1
# cleaned=0
# scan_time=20342
E:\Programme\Left 4 Dead 2\L4D2Settings.exe Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I

heißt dass jetzt alles ist in ordnung?

Zitat:

E:\Programme\Left 4 Dead 2\L4D2Settings.exe

Wo hast du das her?

Das ist ein Spiel, habe ich legal gekauft und von der DVD aus instaliert.
Daran kann es doch wohl schwer liegen?

Deswegen hab ich ja gefragt aus welcher Quelle!
Aus Italien schön und gut, aber nicht von irgendeinem Bauchladenverkäufer "legal" gekauft oder? (Ich will genauer abschätzen können ob da eine Originaldatei angemeckert wird oder ob es eine andere Datei ist)

Habe es über amazon gekauft(direkt ohne drittanbieter). Ich habe noch einen Uncut-Patch dafür instaliert
aber diesen vorher mit dem Virenscanner durchsucht gehabt.

Habe das Spiel jetzt schon über ein halbes Jahr und bisher hat kein Programm ausgeschlagen.
Könnte es nicht auch einfach eine generierte Warnung sein, weil vielleicht teile
der Datei Virus oder Maleware-ähnlich sind oder hat sich da etwas nachträglich eingenistet?

Habe vorsichtshalber das Spiel nochmal runtergeschmissen.
Was ist/war nun Sache?

Ok, dann wird wohl eher ein Fehlalarm gewesen sein.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

logs sind im Anhang.

Vielen Dank schonmal für die Hilfe bis jetzt :daumenhoc

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.07.17 00:35:48 | 000,000,047 | R--- | M] () - F:\Autorun.inf -- [ CDFS ]

O33 - MountPoints2\{1cc7888a-d6e0-11df-b71a-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{1cc7888a-d6e0-11df-b71a-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Setup.exe -- [2007.07.21 10:16:50 | 000,283,264 | R--- | M] (ArenaNet)

O33 - MountPoints2\{63dcd937-fae2-11df-a6d6-002185c19f4f}\Shell - "" = AutoRun

O33 - MountPoints2\{63dcd937-fae2-11df-a6d6-002185c19f4f}\Shell\AutoRun\command - "" = H:\launcher.exe

O33 - MountPoints2\{6785355d-f34d-11df-aaa2-002185c19f4f}\Shell - "" = AutoRun

O33 - MountPoints2\{6785355d-f34d-11df-aaa2-002185c19f4f}\Shell\AutoRun\command - "" = G:\launcher.exe

O33 - MountPoints2\{b61caaae-e8f0-11df-9ac3-002185c19f4f}\Shell - "" = AutoRun

O33 - MountPoints2\{b61caaae-e8f0-11df-9ac3-002185c19f4f}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

[2011.06.27 19:31:56 | 000,003,371 | ---- | M] () -- C:\Windows\UnHyCam.bat

[2011.01.22 12:02:58 | 000,004,997 | ---- | C] () -- C:\ProgramData\bltofzsb.qlf

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

ok habe das nun gemacht.
was wurde jetzt genau gemacht und warum?

Wo ist das Fixlog?

Zitat:

was wurde jetzt genau gemacht und warum?

Ich weiß nicht ob die die Erklärung was bringt, ob du das technische Hintergrundwissen dazu hast....

Nun, was auch immer es ist. Es ist noch da.
War wieder wärend des browsens im Mail-Programm, eine Mail öffnet sich x-mal
danach öffnen sich lauter programme. Diesmal Wincoder,Icq und Partypoker

Noch irgendeine Idee was es sein könnte bzw. was man machen könnte?

Habe so etwas wie laufende Prozesse gecheckt und da ist nichts unbekanntes.

Sollte ich trotzdem meine Passwörter wieder ändern?
So langsam wird das nervig :killpc:

Es hat auch niemand irgendwo behauptet, dass nach einem OTL-Fix wieder alles ok sei.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

so tdss ausgeführt. hat aber glaube ich nix eindeutiges gefunden.
anbei noch das otl-fix log um das gebeten wurde.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix log ist im Anhang.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\X6va003]
 

Folder::

c:\windows\D56B0E274A3E46C9B5C1D93D580C099C.TMP
 

File::

c:\users\Daniel\AppData\Local\Temp\003C165.tmp
 

Driver::

X6va003

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Combofix Logfile:

Code:

ComboFix 11-07-29.03 - Daniel 30.07.2011  20:57:26.1.4 - x64

Microsoft® Windows Vista™ Home Basic   6.0.6002.2.1252.49.1031.18.4094.3089 [GMT 2:00]

ausgeführt von:: c:\users\Daniel\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Daniel\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

FILE ::

"c:\users\Daniel\AppData\Local\Temp\003C165.tmp"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\D56B0E274A3E46C9B5C1D93D580C099C.TMP

c:\windows\D56B0E274A3E46C9B5C1D93D580C099C.TMP\WiseCustomCalla.dll

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_X6VA003

-------\Service_X6va003

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-28 bis 2011-07-30  ))))))))))))))))))))))))))))))

.

.

2011-07-30 19:13 . 2011-07-30 19:40        --------        d-----w-        c:\users\Daniel\AppData\Local\temp

2011-07-29 10:23 . 2011-07-13 04:53        8578896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{B4B6112D-F508-4208-8561-377304656A8F}\mpengine.dll

2011-07-29 08:46 . 2011-07-29 08:46        --------        d-----w-        C:\_OTL

2011-07-26 11:46 . 2011-07-26 11:46        --------        d-----w-        c:\program files (x86)\ESET

2011-07-25 11:01 . 2011-07-25 11:01        --------        d-----w-        c:\users\Daniel\AppData\Roaming\Malwarebytes

2011-07-25 11:01 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-07-25 11:01 . 2011-07-25 11:01        --------        d-----w-        c:\programdata\Malwarebytes

2011-07-25 11:01 . 2011-07-25 11:01        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-07-25 11:01 . 2011-07-06 17:52        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-13 16:53 . 2011-06-02 13:50        2764288        ----a-w-        c:\windows\system32\win32k.sys

2011-07-13 16:53 . 2011-04-20 16:03        451072        ----a-w-        c:\windows\system32\winsrv.dll

2011-07-13 16:53 . 2011-04-20 15:58        85504        ----a-w-        c:\windows\system32\csrsrv.dll

2011-07-08 12:16 . 2011-07-08 12:16        --------        d-----w-        c:\users\Daniel\AppData\Local\Focus Home Interactive

2011-07-02 11:10 . 2011-07-02 11:10        --------        d-----w-        c:\users\Daniel\AppData\Roaming\InstallShield Installation Information

2011-07-01 09:45 . 2011-07-01 09:45        --------        d-----w-        c:\users\Daniel\AppData\Local\CrashRpt

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-26 20:58 . 2010-11-29 20:23        88288        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-07-26 20:58 . 2010-11-29 20:23        123784        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-06-30 19:15 . 2010-12-26 16:19        215128        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr

2011-06-30 19:15 . 2010-12-26 16:10        215128        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe

2011-06-24 17:38 . 2010-12-26 16:10        280768        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0

2011-06-14 19:28 . 2010-12-26 16:10        75136        ----a-w-        c:\windows\SysWow64\PnkBstrA.exe

2011-06-09 18:26 . 2010-12-26 16:10        669184        ----a-w-        c:\windows\SysWow64\Pbsvc.exe

2011-05-26 16:59 . 2010-11-30 14:20        122904        ----a-w-        c:\windows\system32\OpenAL32.dll

2011-05-26 16:59 . 2010-11-30 14:20        109080        ----a-w-        c:\windows\SysWow64\OpenAL32.dll

2011-05-24 17:14 . 2010-10-13 23:36        270720        ------w-        c:\windows\system32\MpSigStub.exe

2011-05-10 16:19 . 2011-05-10 16:19        5440000        ----a-w-        c:\windows\system32\atiumd64.dll

2011-05-10 16:19 . 2011-05-10 16:19        4161536        ----a-w-        c:\windows\SysWow64\atidxx32.dll

2011-05-10 16:19 . 2011-05-10 16:19        366080        ----a-w-        c:\windows\system32\atiadlxx.dll

2011-05-10 16:19 . 2011-05-10 16:19        306176        ----a-w-        c:\windows\system32\drivers\atikmpag.sys

2011-05-10 16:19 . 2011-05-10 16:19        59392        ----a-w-        c:\windows\system32\atiedu64.dll

2011-05-10 16:19 . 2011-05-10 16:19        44032        ----a-w-        c:\windows\SysWow64\aticalcl.dll

2011-05-10 16:19 . 2011-05-10 16:19        16384        ----a-w-        c:\windows\system32\atimuixx.dll

2011-05-10 16:19 . 2011-05-10 16:19        14848        ----a-w-        c:\windows\system32\atig6pxx.dll

2011-05-10 16:19 . 2011-05-10 16:19        6389760        ----a-w-        c:\windows\SysWow64\aticaldd.dll

2011-05-10 16:19 . 2011-05-10 16:19        44544        ----a-w-        c:\windows\system32\aticalcl64.dll

2011-05-10 16:19 . 2011-05-10 16:19        423424        ----a-w-        c:\windows\system32\atipdl64.dll

2011-05-10 16:19 . 2011-01-02 18:39        38912        ----a-w-        c:\windows\system32\atiu9p64.dll

2011-05-10 16:19 . 2011-05-10 16:19        480256        ----a-w-        c:\windows\system32\atieclxx.exe

2011-05-10 16:19 . 2011-01-02 18:57        29184        ----a-w-        c:\windows\SysWow64\atiu9pag.dll

2011-05-10 16:19 . 2011-05-10 16:19        51200        ----a-w-        c:\windows\system32\aticalrt64.dll

2011-05-10 16:19 . 2011-05-10 16:19        795648        ----a-w-        c:\windows\system32\aticfx64.dll

2011-05-10 16:19 . 2011-05-10 16:19        4286464        ----a-w-        c:\windows\SysWow64\atiumdag.dll

2011-05-10 16:19 . 2011-05-10 16:19        7768064        ----a-w-        c:\windows\system32\aticaldd64.dll

2011-05-10 16:19 . 2011-05-10 16:19        676864        ----a-w-        c:\windows\SysWow64\aticfx32.dll

2011-05-10 16:19 . 2011-05-10 16:19        4951552        ----a-w-        c:\windows\system32\atidxx64.dll

2011-05-10 16:19 . 2011-05-10 16:19        32768        ----a-w-        c:\windows\SysWow64\atigktxx.dll

2011-05-10 16:19 . 2011-05-10 16:19        31232        ----a-w-        c:\windows\SysWow64\atiuxpag.dll

2011-05-10 16:19 . 2011-05-10 16:19        46080        ----a-w-        c:\windows\SysWow64\aticalrt.dll

2011-05-10 16:19 . 2011-05-10 16:18        22900736        ----a-w-        c:\windows\system32\atio6axx.dll

2011-05-10 16:19 . 2011-05-10 16:19        356352        ----a-w-        c:\windows\SysWow64\atipdlxx.dll

2011-05-10 16:19 . 2011-05-10 16:18        9319936        ----a-w-        c:\windows\system32\drivers\atikmdag.sys

2011-05-10 16:19 . 2011-05-10 16:19        1222656        ----a-w-        c:\windows\system32\atiumd6v.dll

2011-05-10 16:19 . 2011-05-10 16:19        39936        ----a-w-        c:\windows\system32\atig6txx.dll

2011-05-10 16:19 . 2011-05-10 16:19        203776        ----a-w-        c:\windows\system32\atiesrxx.exe

2011-05-10 16:19 . 2011-05-10 16:19        462848        ----a-w-        c:\windows\system32\ATIDEMGX.dll

2011-05-10 16:19 . 2011-05-10 16:19        262144        ----a-w-        c:\windows\SysWow64\atiadlxy.dll

2011-05-10 16:19 . 2011-05-10 16:19        12800        ----a-w-        c:\windows\SysWow64\atiglpxx.dll

2011-05-10 16:19 . 2011-05-10 16:19        12800        ----a-w-        c:\windows\system32\atiglpxx.dll

2011-05-10 16:19 . 2011-05-10 16:18        17693184        ----a-w-        c:\windows\SysWow64\atioglxx.dll

2011-05-10 16:18 . 2011-05-10 16:18        40960        ----a-w-        c:\windows\system32\atiuxp64.dll

2011-05-10 16:18 . 2011-05-10 16:18        151552        ----a-w-        c:\windows\system32\atiapfxx.exe

2011-05-10 16:18 . 2011-05-10 16:18        3868672        ----a-w-        c:\windows\system32\atiumd6a.dll

2011-05-10 16:18 . 2011-01-02 18:57        58880        ----a-w-        c:\windows\system32\coinst.dll

2011-05-10 16:18 . 2011-05-10 16:18        53760        ----a-w-        c:\windows\system32\atimpc64.dll

2011-05-10 16:18 . 2011-05-10 16:18        53760        ----a-w-        c:\windows\system32\amdpcom64.dll

2011-05-10 16:18 . 2011-05-10 16:18        4056576        ----a-w-        c:\windows\SysWow64\atiumdva.dll

2011-05-10 16:18 . 2011-05-10 16:18        52736        ----a-w-        c:\windows\SysWow64\atimpc32.dll

2011-05-10 16:18 . 2011-05-10 16:18        52736        ----a-w-        c:\windows\SysWow64\amdpcom32.dll

2011-05-10 16:18 . 2011-01-02 18:56        45056        ----a-w-        c:\windows\system32\atitmp64.dll

2011-05-10 16:18 . 2011-05-10 16:18        278528        ----a-w-        c:\windows\SysWow64\Oemdspif.dll

2011-05-10 16:18 . 2011-05-10 16:18        1923584        ----a-w-        c:\windows\SysWow64\atiumdmv.dll

2011-05-10 16:18 . 2011-05-10 16:18        53248        ----a-w-        c:\windows\system32\drivers\ati2erec.dll

2011-05-10 16:18 . 2011-05-10 16:18        43520        ----a-w-        c:\windows\SysWow64\ati2edxx.dll

2011-05-10 16:18 . 2011-05-10 16:18        120320        ----a-w-        c:\windows\system32\atitmm64.dll

2011-05-02 17:16 . 2011-06-15 20:29        739328        ----a-w-        c:\windows\SysWow64\inetcomm.dll

2011-05-02 17:13 . 2011-06-15 20:29        975360        ----a-w-        c:\windows\system32\inetcomm.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]

c:\program files (x86)\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll [BU]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]

"{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}"= "c:\program files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll" [BU]

.

[HKEY_CLASSES_ROOT\clsid\{db4e9724-f518-4dfd-9c7c-78b52103cab9}]

[HKEY_CLASSES_ROOT\facemoods.dskBnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]

[HKEY_CLASSES_ROOT\facemoods.dskBnd]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Wisdom-soft AutoScreenRecorder 3.1 Free"="0" [X]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]

"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

"LogMeIn Hamachi Ui"="e:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2011-05-25 1951112]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-04-19 336384]

"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 SpeedBoosterSvc;appsmaker SpeedBooster 2.0 Service;c:\program files (x86)\Common Files\OptimalSuite Common\BoostService.exe [2010-11-23 2318192]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AMOptimalDiskService;appsmaker OptimalDisk Service;c:\program files (x86)\Common Files\OptimalSuite Common\AMDSrv.exe [2010-11-23 5216624]

S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360]

S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;e:\programme\LogMeIn Hamachi\hamachi-2.exe [2011-05-25 2275720]

S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 pgsql-8.3;PostgreSQL Database Server 8.3;e:\programme\PostgreSQL\8.3\bin\pg_ctl.exe [2009-12-10 65536]

S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-03-01 2296696]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdLH6.sys [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-10-05 11474024]

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://start.facemoods.com/?a=ddrnw

mLocal Page = %SystemRoot%\system32\blank.htm

IE: Free YouTube Download - c:\users\Daniel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\users\Daniel\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

Trusted Zone: everestpoker.com\account

TCP: DhcpNameServer = 192.168.178.1

CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:98,dc,6a,19,cd,09,a7,dd,76,31,f6,e3,f8,59,05,a5,e2,65,9b,b7,e3,30,41,

   71,83,6d,6f,b8,22,f9,92,5c,69,f5,22,a7,b8,a2,a7,8a,bb,ea,ce,93,7a,02,50,63,\

"??"=hex:24,a1,70,a1,e6,7a,c1,55,14,51,57,83,f7,9b,e1,ef

.

[HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information*]

"datasecu"=hex:9e,20,fa,0d,28,f1,c7,8f,82,65,9a,42,6e,7d,8b,39,7d,ea,f3,84,2d,

   65,80,e5,c6,d3,98,80,3a,1a,6b,cb,78,77,f7,59,23,de,f3,8e,3b,5c,fe,a1,be,23,\

"rkeysecu"=hex:7d,40,10,cb,c7,39,e0,67,0a,69,a8,47,07,da,5b,5c

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10k.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]

@Denied: (A 2) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]

@="Shockwave Flash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]

@Denied: (A 2) (Everyone)

@=""

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]

@="FlashBroker"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]

"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,

   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\

.

------------------------ Weitere laufende Prozesse ------------------------

.

d:\programme\Avira\AntiVir Desktop\avguard.exe

c:\windows\SysWOW64\PnkBstrA.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

e:\programme\PostgreSQL\8.3\bin\postgres.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-07-30  21:44:35 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-07-30 19:44

ComboFix2.txt  2011-07-30 17:29

.

Vor Suchlauf: 16 Verzeichnis(se), 13.259.726.848 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 12.817.211.392 Bytes frei

.

- - End Of File - - 270A57590C33D91CB911F57DBF0AC78F

--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

ich habe es jetzt 2 mal versucht zu scannen aber beide male sobald ich auf
den scan button gedrückt habe einen bluescreen bekommen mit der meldung xxxdriver_not_less_or_equal

könntest du bitte versuchen mir wenigstens oberflächlich zu erklären,
was du vermutest was sache ist und wie gefährdet meine daten etc. sind.

Ich habe unter anderem wirklich wichtige passwörter auf meinem rechner
die unter keinen umständen in die falschen hände fallen dürfen.

Ich habe sie bisher immer geändert weil mir hier leider trotz nachfrage keine Auskunft
gegeben wurde. Es wäre wirklich nett von dir wenn du dir kurz zeit nimmst um mir
wenigstens umschreiben zu können was denn die momentane bedrohung ist und worauf ich achten sollte.

Nimm statt aswmbr dann dieses Tool:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi,
ich bin dankbar dafür, dass du immer ziemlich schnell antwortest und wirklich
klare anleitungen gibst.

dennoch ist es nicht gerade höflich eine nette frage
über den momentanen stand(und wenn es nur sehr verallgemeinert ist)
einfach zu ignorieren. es ist ja nicht so schwer zu schreiben,
du brauchst dir keinen sorgen um deine daten zu machen oder
ändere deine passwörter und benutze den rechner erstmal nur für weiter
problemlösungen oder ähnliches.

Das ist wirklich kein Aufwand. Zur not kopiere einfach die Aussage die am meisten
zutrifft und kopiere sie in deine nächste Antwort. Das sind nichtmal 5 sekunden arbeit.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Basic Edition
Windows Information: Service Pack 2 (build 6002), 64-bit
Base Board Manufacturer: MICRO-STAR INTERNATIONAL CO.,LTD
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MICRO-STAR INTERNATIONAL CO.,LTD
System Product Name: MS-7383
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 141):
0x03819000 \SystemRoot\system32\ntoskrnl.exe
0x03D31000 \SystemRoot\system32\hal.dll
0x0060C000 \SystemRoot\system32\kdcom.dll
0x00616000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00651000 \SystemRoot\system32\PSHED.dll
0x00665000 \SystemRoot\system32\CLFS.SYS
0x006C2000 \SystemRoot\system32\CI.dll
0x0080E000 \SystemRoot\system32\drivers\Wdf01000.sys
0x008E8000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00A0D000 \SystemRoot\System32\Drivers\sptd.sys
0x00B33000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x00B3C000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x00B6A000 \SystemRoot\system32\drivers\acpi.sys
0x00BC0000 \SystemRoot\system32\drivers\msisadrv.sys
0x00BCA000 \SystemRoot\system32\drivers\pci.sys
0x008F6000 \SystemRoot\System32\drivers\partmgr.sys
0x0090B000 \SystemRoot\system32\drivers\volmgr.sys
0x0091F000 \SystemRoot\System32\drivers\volmgrx.sys
0x00A00000 \SystemRoot\system32\drivers\intelide.sys
0x00985000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00995000 \SystemRoot\System32\drivers\mountmgr.sys
0x009A8000 \SystemRoot\system32\drivers\atapi.sys
0x009B0000 \SystemRoot\system32\drivers\ataport.SYS
0x00774000 \SystemRoot\system32\drivers\fltmgr.sys
0x009D4000 \SystemRoot\system32\drivers\fileinfo.sys
0x00C0A000 \SystemRoot\System32\Drivers\ksecdd.sys
0x00E03000 \SystemRoot\system32\drivers\ndis.sys
0x00C91000 \SystemRoot\system32\drivers\msrpc.sys
0x00CE1000 \SystemRoot\system32\drivers\NETIO.SYS
0x01008000 \SystemRoot\System32\drivers\tcpip.sys
0x0117E000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01202000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01382000 \SystemRoot\system32\drivers\volsnap.sys
0x013C6000 \SystemRoot\System32\Drivers\spldr.sys
0x013CE000 \SystemRoot\System32\Drivers\mup.sys
0x011AA000 \SystemRoot\System32\drivers\ecache.sys
0x013E0000 \SystemRoot\system32\drivers\disk.sys
0x00FC6000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x013F4000 \SystemRoot\system32\drivers\crcdisk.sys
0x00FF2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x00D3A000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x00D43000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x00D56000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x02600000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x03008000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x030EB000 \SystemRoot\System32\drivers\watchdog.sys
0x030FB000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x031E8000 \SystemRoot\system32\DRIVERS\Rtlh64.sys
0x02F34000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x02F40000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x02F86000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x02F97000 \SystemRoot\system32\DRIVERS\serial.sys
0x02FB4000 \SystemRoot\system32\DRIVERS\serenum.sys
0x02FC0000 \SystemRoot\system32\DRIVERS\parport.sys
0x02FDC000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x00DA6000 \SystemRoot\System32\Drivers\a2uclqgb.SYS
0x007BB000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x03206000 \SystemRoot\system32\DRIVERS\storport.sys
0x03263000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03270000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x03293000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x0329F000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x032D0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x032E0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x032FE000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x03316000 \SystemRoot\system32\DRIVERS\hamachi.sys
0x03321000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03334000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x03342000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x0334E000 \SystemRoot\system32\DRIVERS\swenum.sys
0x03350000 \SystemRoot\system32\DRIVERS\ks.sys
0x03384000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x0338F000 \SystemRoot\system32\DRIVERS\umbus.sys
0x0339F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x033E7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x03A0E000 \SystemRoot\system32\drivers\AtihdLH6.sys
0x03A2E000 \SystemRoot\system32\drivers\portcls.sys
0x03A69000 \SystemRoot\system32\drivers\drmk.sys
0x03A8C000 \SystemRoot\system32\drivers\ksthunk.sys
0x03E0C000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x04070000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x0407A000 \SystemRoot\System32\Drivers\Null.SYS
0x0408E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x04096000 \SystemRoot\System32\drivers\vga.sys
0x040A4000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x040C9000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x040D2000 \SystemRoot\system32\drivers\rdpencdd.sys
0x040DB000 \SystemRoot\System32\Drivers\Msfs.SYS
0x040E6000 \SystemRoot\System32\Drivers\Npfs.SYS
0x040F7000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x04100000 \SystemRoot\system32\DRIVERS\tdx.sys
0x0411D000 \SystemRoot\system32\DRIVERS\smb.sys
0x04138000 \SystemRoot\system32\drivers\afd.sys
0x041A3000 \SystemRoot\System32\DRIVERS\netbt.sys
0x03A92000 \SystemRoot\system32\DRIVERS\pacer.sys
0x041E7000 \SystemRoot\system32\DRIVERS\netbios.sys
0x03AB0000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x03ACB000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03E00000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03B18000 \SystemRoot\System32\Drivers\dfsc.sys
0x03B35000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x04083000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x03B59000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x0408C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x03B6B000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x03B76000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x03B92000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x03B9D000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x03BB9000 \SystemRoot\System32\Drivers\crashdmp.sys
0x03BC7000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x041F6000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x03BD3000 \SystemRoot\system32\drivers\usbaudio.sys
0x00030000 \SystemRoot\System32\win32k.sys
0x03BEC000 \SystemRoot\System32\drivers\Dxapi.sys
0x011D6000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00420000 \SystemRoot\System32\TSDDD.dll
0x00610000 \SystemRoot\System32\cdd.dll
0x05407000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x05426000 \SystemRoot\system32\drivers\luafv.sys
0x05448000 \SystemRoot\system32\drivers\spsys.sys
0x054E2000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x054F6000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0550E000 \SystemRoot\system32\drivers\HTTP.sys
0x055B1000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x055DA000 \SystemRoot\system32\DRIVERS\bowser.sys
0x06205000 \SystemRoot\System32\drivers\mpsdrv.sys
0x0621F000 \SystemRoot\system32\drivers\mrxdav.sys
0x06246000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x0626F000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x062B8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x062D7000 \SystemRoot\System32\DRIVERS\srv2.sys
0x06309000 \SystemRoot\System32\DRIVERS\srv.sys
0x0639C000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x063A7000 \??\C:\Windows\system32\drivers\acedrv11.sys
0x0660B000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x0665A000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x06667000 \SystemRoot\system32\drivers\peauth.sys
0x0671D000 \SystemRoot\System32\Drivers\secdrv.SYS
0x06728000 \SystemRoot\System32\drivers\tcpipreg.sys
0x06738000 \??\C:\Windows\system32\drivers\mbam.sys
0x772D0000 \Windows\System32\ntdll.dll

Processes (total 68):
0 System Idle Process
4 System
456 C:\Windows\System32\smss.exe
524 csrss.exe
596 C:\Windows\System32\wininit.exe
608 csrss.exe
644 C:\Windows\System32\services.exe
656 C:\Windows\System32\lsass.exe
664 C:\Windows\System32\lsm.exe
812 C:\Windows\System32\svchost.exe
852 D:\Programme\Avira\AntiVir Desktop\avguard.exe
892 C:\Windows\System32\winlogon.exe
912 D:\Programme\Avira\AntiVir Desktop\avshadow.exe
228 C:\Windows\System32\svchost.exe
400 C:\Windows\System32\svchost.exe
512 C:\Windows\System32\atiesrxx.exe
660 C:\Windows\System32\svchost.exe
1048 C:\Windows\System32\svchost.exe
1060 C:\Windows\System32\svchost.exe
1176 C:\Windows\System32\audiodg.exe
1216 C:\Windows\System32\SLsvc.exe
1252 C:\Windows\System32\svchost.exe
1336 C:\Windows\System32\atieclxx.exe
1444 C:\Windows\System32\svchost.exe
1660 C:\Windows\System32\spoolsv.exe
1684 D:\Programme\Avira\AntiVir Desktop\sched.exe
1696 C:\Windows\System32\svchost.exe
1976 C:\Windows\System32\taskeng.exe
1560 E:\Programme\LogMeIn Hamachi\hamachi-2.exe
2092 E:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
2120 C:\Windows\SysWOW64\PnkBstrA.exe
2144 C:\Windows\System32\svchost.exe
2168 C:\Windows\System32\svchost.exe
2212 C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
2276 postgres.exe
2320 C:\Windows\System32\svchost.exe
2376 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
2420 C:\Windows\System32\SearchIndexer.exe
2568 postgres.exe
2708 postgres.exe
2716 postgres.exe
2724 postgres.exe
2732 postgres.exe
3008 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
1992 C:\Program Files (x86)\Common Files\OptimalSuite Common\AMDSrv.exe
2360 WmiPrvSE.exe
1756 C:\Windows\System32\svchost.exe
168 C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
2016 C:\Windows\System32\dwm.exe
2636 C:\Windows\explorer.exe
1224 C:\Windows\System32\taskeng.exe
3240 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
3376 D:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
3416 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
3472 D:\Programme\Avira\AntiVir Desktop\avgnt.exe
3520 E:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
3548 C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
3584 C:\Program Files (x86)\Opera\opera.exe
3676 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3760 C:\Program Files\Windows Media Player\wmpnscfg.exe
3792 C:\Program Files\Windows Media Player\wmpnetwk.exe
4068 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
3536 C:\Windows\System32\SearchProtocolHost.exe
3196 C:\Windows\System32\SearchFilterHost.exe
3672 C:\Windows\System32\wuauclt.exe
3408 C:\Users\Daniel\Desktop\MBRCheck.exe
3252 C:\Windows\SysWOW64\conime.exe
4060 C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000013`88100000 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000060`6f900000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD753LJ, Rev: 1AA01113

Size Device Name MBR Status
--------------------------------------------
698 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Das heißt jetzt ist alles in Ordnung?

Was war/ist dann los?

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Bisher wurde nichts weiter entdeckt. Das Problem ist das letzte mal am 29.
aufgetreten aber ich wüsste halt leider nicht was man entfernt haben könnte
damit ich mir jetzt sicher sein kann, dass es weg ist.

Weil so wie ich es mitbekommen habe würde ja nichts gefunden.

Ich melde mich sollte es wieder auftreten.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

ok, dann bedanke ich mich recht herzlich für die Hilfe! :daumenhoc

Und sollte sich das Problem nicht verflüchtigt haben melde ich micht nochmal.