Trojaner-Board - FakeAlert!fakealert-REP in C:\Windows\Downloaded Program Files\FP_AX_CAB

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - FakeAlert!fakealert-REP in C:\Windows\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe (https://www.trojaner-board.de/102526-fakealert-fakealert-rep-c-windows-downloaded-program-files-fp_ax_cab_installer-exe.html)

So, habe den Fix gemacht, hier das Ergebnis:

Code:

========== OTL ==========

C:\Users\Familie Pichler\AppData\Local\SKIDROW\620\Storage folder moved successfully.

C:\Users\Familie Pichler\AppData\Local\SKIDROW\620 folder moved successfully.

C:\Users\Familie Pichler\AppData\Local\SKIDROW\48000\Storage folder moved successfully.

C:\Users\Familie Pichler\AppData\Local\SKIDROW\48000 folder moved successfully.

C:\Users\Familie Pichler\AppData\Local\SKIDROW folder moved successfully.

Unable to delete ADS C:\ProgramData\TEMP:E8BE05FA .

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.26.4 log created on 08182011_173516

Ich glaube es hat funktioniert! :applaus:

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Arne!

Wollte die Datei Moved Files.zip hochladen doch dann kam diese Meldung:

Datei: Moved Files.zip empfangen

Fehler: Die Dateien konnten nicht empfangen werden.Bitte melden sie sich im Forum.

Sind sie nun hochgeladen oder nicht?:glaskugel:

Nein die Datei fehlt. Warum weiß ich nicht.
Lad sie hier hoch und verlink es => File-Upload.net - Ihr kostenloser File Hoster!

Ok, jetzt hat es Funktioniert.

Hier der Link:

Code:

hxxp://www.file-upload.net/download-3675978/Moved-Files.zip.html

Hab gegooglet, und SKIDROW ist anscheinend irgendwas illegales, doch ich hab nie was illegales oder gar gecractes installiert. :aufsmaul:

Die xx in hxxp:// kommen automatisch. Das musst du in der Adresszeile noch in tt ändern.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hier der Log von TDSSKiller (er hat nichts Gefunden! :wtf:):

Code:

2011/08/22 12:18:36.0385 5316        TCPIP6          (c2daaeb48f3a47c410b041a0d2382ee1) C:\Windows\system32\DRIVERS\tcpip.sys

2011/08/22 12:18:36.0416 5316        tcpipreg        (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys

2011/08/22 12:18:36.0432 5316        TDPIPE          (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys

2011/08/22 12:18:36.0448 5316        TDTCP           (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys

2011/08/22 12:18:36.0479 5316        tdx             (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys

2011/08/22 12:18:36.0494 5316        TermDD          (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys

2011/08/22 12:18:36.0572 5316        TfFsMon         (95746e5b1473432f3d9458940dba6e3a) C:\Windows\system32\drivers\TfFsMon.sys

2011/08/22 12:18:36.0604 5316        TfNetMon        (02ffdd873e31c5c2d57ca87d11ec36af) C:\Windows\system32\drivers\TfNetMon.sys

2011/08/22 12:18:36.0650 5316        TfSysMon        (f8bd92251ab439383c051ce907d78cce) C:\Windows\system32\drivers\TfSysMon.sys

2011/08/22 12:18:36.0697 5316        tssecsrv        (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys

2011/08/22 12:18:36.0728 5316        tunnel          (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys

2011/08/22 12:18:36.0744 5316        uagp35          (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys

2011/08/22 12:18:36.0760 5316        udfs            (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys

2011/08/22 12:18:36.0806 5316        uliagpkx        (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys

2011/08/22 12:18:36.0822 5316        umbus           (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys

2011/08/22 12:18:36.0853 5316        UmPass          (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys

2011/08/22 12:18:36.0916 5316        upperdev        (587e643a4e2ffd9a00f114b057ceb773) C:\Windows\system32\DRIVERS\usbser_lowerflt.sys

2011/08/22 12:18:36.0947 5316        USBAAPL         (5c2bdc152bbab34f36473deaf7713f22) C:\Windows\system32\Drivers\usbaapl.sys

2011/08/22 12:18:36.0978 5316        usbbus          (9419faac6552a51542dbba02971c841c) C:\Windows\system32\DRIVERS\lgusbbus.sys

2011/08/22 12:18:37.0009 5316        usbccgp         (c31ae588e403042632dc796cf09e30b0) C:\Windows\system32\DRIVERS\usbccgp.sys

2011/08/22 12:18:37.0025 5316        usbcir          (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys

2011/08/22 12:18:37.0072 5316        UsbDiag         (c0a466fa4ffec464320e159bc1bbdc0c) C:\Windows\system32\DRIVERS\lgusbdiag.sys

2011/08/22 12:18:37.0150 5316        usbehci         (e4c436d914768ce965d5e659ba7eebd8) C:\Windows\system32\DRIVERS\usbehci.sys

2011/08/22 12:18:37.0228 5316        usbhub          (bdcd7156ec37448f08633fd899823620) C:\Windows\system32\DRIVERS\usbhub.sys

2011/08/22 12:18:37.0274 5316        USBModem        (f74a54774a9b0afeb3c40adec68aa600) C:\Windows\system32\DRIVERS\lgusbmodem.sys

2011/08/22 12:18:37.0306 5316        usbohci         (eb2d819a639015253c871cda09d91d58) C:\Windows\system32\DRIVERS\usbohci.sys

2011/08/22 12:18:37.0321 5316        usbprint        (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys

2011/08/22 12:18:37.0352 5316        usbscan         (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys

2011/08/22 12:18:37.0415 5316        usbser          (88701eca76145e2c011c0eeff0f7b70e) C:\Windows\system32\drivers\usbser.sys

2011/08/22 12:18:37.0446 5316        UsbserFilt      (fca6a196d47cb972a0e4adc0db9cd17c) C:\Windows\system32\DRIVERS\usbser_lowerfltj.sys

2011/08/22 12:18:37.0477 5316        USBSTOR         (1c4287739a93594e57e2a9e6a3ed7353) C:\Windows\system32\DRIVERS\USBSTOR.SYS

2011/08/22 12:18:37.0508 5316        usbuhci         (22480bf4e5a09192e5e30ba4dde79fa4) C:\Windows\system32\drivers\usbuhci.sys

2011/08/22 12:18:37.0571 5316        VClone          (fce98c43b5c5db8e0da8ea0e2b45e044) C:\Windows\system32\DRIVERS\VClone.sys

2011/08/22 12:18:37.0602 5316        vdrvroot        (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys

2011/08/22 12:18:37.0618 5316        vga             (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys

2011/08/22 12:18:37.0649 5316        VgaSave         (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys

2011/08/22 12:18:37.0664 5316        vhdmp           (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys

2011/08/22 12:18:37.0696 5316        viaagp          (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys

2011/08/22 12:18:37.0711 5316        ViaC7           (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys

2011/08/22 12:18:37.0727 5316        viaide          (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys

2011/08/22 12:18:37.0758 5316        volmgr          (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys

2011/08/22 12:18:37.0774 5316        volmgrx         (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys

2011/08/22 12:18:37.0805 5316        volsnap         (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys

2011/08/22 12:18:37.0836 5316        vsmraid         (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys

2011/08/22 12:18:37.0867 5316        vwifibus        (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\system32\DRIVERS\vwifibus.sys

2011/08/22 12:18:37.0898 5316        vwififlt        (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys

2011/08/22 12:18:37.0930 5316        WacomPen        (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys

2011/08/22 12:18:37.0961 5316        WANARP          (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys

2011/08/22 12:18:37.0976 5316        Wanarpv6        (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys

2011/08/22 12:18:38.0023 5316        Wd              (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys

2011/08/22 12:18:38.0039 5316        Wdf01000        (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys

2011/08/22 12:18:38.0117 5316        WfpLwf          (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys

2011/08/22 12:18:38.0132 5316        WIMMount        (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys

2011/08/22 12:18:38.0226 5316        WinUsb          (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUsb.sys

2011/08/22 12:18:38.0257 5316        WmiAcpi         (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys

2011/08/22 12:18:38.0288 5316        ws2ifsl         (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys

2011/08/22 12:18:38.0335 5316        WudfPf          (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys

2011/08/22 12:18:38.0366 5316        WUDFRd          (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys

2011/08/22 12:18:38.0429 5316        MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk0\DR0

2011/08/22 12:18:38.0444 5316        MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk1\DR1

2011/08/22 12:18:38.0460 5316        Boot (0x1200)   (7e0afe512f23aa30d13268fa04207a1b) \Device\Harddisk0\DR0\Partition0

2011/08/22 12:18:38.0476 5316        Boot (0x1200)   (11b5d2ba8f5353bfb40d147e96db90d1) \Device\Harddisk0\DR0\Partition1

2011/08/22 12:18:38.0491 5316        Boot (0x1200)   (e470bdd5a55b593c63000d43186e2161) \Device\Harddisk1\DR1\Partition0

2011/08/22 12:18:38.0491 5316        ================================================================================

2011/08/22 12:18:38.0491 5316        Scan finished

2011/08/22 12:18:38.0491 5316        ================================================================================

2011/08/22 12:18:38.0507 4676        Detected object count: 0

2011/08/22 12:18:38.0507 4676        Actual detected object count: 0

Ich glaube ich bin wieder sauber, was meinst du? :huepp:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, nach der Haarsträubenden Aktion mit ComboFix :killpc: hab ich endlich die Log-Datei:daumenhoc:

Code:

ComboFix 11-08-23.01 - Familie Pichler 23.08.2011  13:59:09.1.4 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.43.1031.18.3071.2251 [GMT 2:00]

ausgeführt von:: c:\users\Familie Pichler\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Familie Pichler\AppData\Roaming\aicon

c:\users\Familie Pichler\AppData\Roaming\aicon\aicon.ini

c:\users\Wallpaper\10.jpg

c:\users\Wallpaper\11.jpg

c:\windows\system32\Cache

c:\windows\system32\logs

F:\autorun.inf

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-23 bis 2011-08-23  ))))))))))))))))))))))))))))))

.

.

2011-08-23 12:12 . 2011-08-23 12:13        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\temp

2011-08-23 12:12 . 2011-08-23 12:12        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-08-23 10:08 . 2011-08-12 02:44        7152464        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{0F85841D-093A-4691-825D-3336F5016214}\mpengine.dll

2011-08-22 10:26 . 2009-06-30 08:37        28552        ----a-w-        c:\windows\system32\drivers\pavboot.sys

2011-08-22 10:26 . 2011-08-22 10:26        --------        d-----w-        c:\program files\Panda Security

2011-08-20 14:26 . 2011-08-20 14:26        --------        d-----w-        c:\program files\Alex Feinman

2011-08-19 13:59 . 2011-08-19 13:59        --------        d-----w-        c:\users\Familie Pichler\AppData\Roaming\bizarre creations

2011-08-19 13:58 . 2008-10-15 04:22        452440        ----a-w-        c:\windows\system32\d3dx10_40.dll

2011-08-19 13:58 . 2008-10-15 04:22        2036576        ----a-w-        c:\windows\system32\D3DCompiler_40.dll

2011-08-19 13:58 . 2008-10-15 04:22        4379984        ----a-w-        c:\windows\system32\D3DX9_40.dll

2011-08-19 13:47 . 2011-08-19 13:47        --------        d-----w-        c:\program files\Activision

2011-08-18 16:03 . 2011-08-18 16:03        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\SKIDROW

2011-08-18 15:43 . 2011-08-18 15:43        --------        d-----w-        c:\program files\Sandboxie

2011-08-18 15:35 . 2011-08-18 15:35        --------        d-----w-        C:\_OTL

2011-08-18 10:55 . 2011-08-18 15:34        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\Spoon

2011-08-18 10:55 . 2011-08-18 10:55        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\Xenocode

2011-08-17 10:50 . 2011-08-17 10:50        --------        d-----w-        c:\program files\ESET

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\users\Familie Pichler\AppData\Roaming\Malwarebytes

2011-08-16 17:12 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\programdata\Malwarebytes

2011-08-16 17:12 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-08-14 11:29 . 2011-08-14 11:29        --------        d-----w-        c:\users\Familie Pichler\Pavark

2011-08-14 10:37 . 2011-08-14 10:37        --------        d-----w-        c:\program files\Sophos

2011-08-13 17:49 . 2011-02-23 14:50        29008        ----a-w-        c:\windows\system32\SmartDefragBootTime.exe

2011-08-13 17:49 . 2011-02-23 14:50        16184        ----a-w-        c:\windows\system32\drivers\SmartDefragDriver.sys

2011-08-13 13:09 . 2011-08-13 13:09        --------        d-----w-        c:\program files\Elaborate Bytes

2011-08-10 15:24 . 2008-09-29 06:07        22576        ----a-w-        c:\program files\Mozilla Firefox\components\Scriptff.dll

2011-08-10 15:24 . 2008-09-29 06:07        90360        ----a-w-        c:\windows\system32\drivers\mfeavfk.sys

2011-08-10 15:24 . 2008-09-29 06:07        74648        ----a-w-        c:\windows\system32\drivers\mfeapfk.sys

2011-08-10 15:24 . 2008-09-29 06:07        67904        ----a-w-        c:\windows\system32\mfevtps.exe

2011-08-10 15:24 . 2008-09-29 06:07        64432        ----a-w-        c:\windows\system32\drivers\mferkdet.sys

2011-08-10 15:24 . 2008-09-29 06:07        62704        ----a-w-        c:\windows\system32\drivers\mfetdik.sys

2011-08-10 15:24 . 2008-09-29 06:07        42424        ----a-w-        c:\windows\system32\drivers\mfebopk.sys

2011-08-10 15:24 . 2008-09-29 06:07        340592        ----a-w-        c:\windows\system32\drivers\mfehidk.sys

2011-08-10 15:23 . 2011-08-10 15:23        --------        d-----w-        c:\program files\Common Files\McAfee

2011-07-31 09:24 . 2011-07-31 16:37        --------        d-----w-        c:\users\Familie Pichler\Mali Losinj 2.0

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-11 02:37 . 2011-07-14 17:28        2332672        ----a-w-        c:\windows\system32\win32k.sys

2011-04-14 16:40 . 2011-05-11 12:25        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2008-09-29 06:07 . 2011-08-10 15:24        22576        ----a-w-        c:\program files\mozilla firefox\components\Scriptff.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2009-12-01 401728]

"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2011-06-17 412432]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ThreatFire"="c:\program files\ThreatFire\TFTray.exe" [2010-01-14 378128]

"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-09-29 124240]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux4"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]

@="Service"

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^Users^Familie Pichler^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\users\Familie Pichler\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2011-03-30 04:59        937920        ----a-r-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-06-08 04:02        37296        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]

2010-03-13 12:54        91520        ----a-w-        c:\program files\Microsoft Office\Office14\BCSSync.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]

2007-03-26 13:49        69632        ----a-w-        c:\program files\Softwin\BitDefender10\bdagent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]

2007-04-02 14:48        290816        ----a-w-        c:\program files\Softwin\BitDefender10\bdmcon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-01-25 14:08        421160        ----a-w-        c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]

2011-03-07 13:33        89456        ----a-w-        c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun

"Google Update"="c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe" /c

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"PDFPrint"=c:\program files\PDF24\pdf24.exe

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 dsiarhwprog;dsiarhwprog;c:\windows\system32\Drivers\dsiarhwprog.sys [2007-02-08 29184]

R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [2010-07-31 57008]

R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\6DA2.tmp [x]

R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2008-09-29 64432]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-26 1343400]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552]

S0 SmartDefragDriver;SmartDefragDriver;c:\windows\System32\Drivers\SmartDefragDriver.sys [2011-02-23 16184]

S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-01-14 51984]

S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-01-14 59664]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 McAfeeEngineService;McAfee Engine Service;c:\program files\McAfee\VirusScan Enterprise\EngineServer.exe [2008-09-29 19456]

S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2008-09-29 67904]

S2 ThreatFire;ThreatFire;c:\program files\ThreatFire\TFService.exe service [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]

S3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]

S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-01-14 33552]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - PAVBOOT

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

iissvcs        REG_MULTI_SZ           w3svc was

apphost        REG_MULTI_SZ           apphostsvc

HPService        REG_MULTI_SZ           HPSLPSVC

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

Inhalt des "geplante Tasks" Ordners

.

2011-08-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3068468112-1341261719-3374128048-1000Core.job

- c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-03 17:41]

.

2011-08-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3068468112-1341261719-3374128048-1000UA.job

- c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-03 17:41]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.at/

uInternet Settings,ProxyOverride = *.local

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Free YouTube to MP3 Converter - c:\users\Familie Pichler\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Familie Pichler\AppData\Roaming\Mozilla\Firefox\Profiles\vk3estud.default\

FF - prefs.js: browser.search.selectedEngine - foxsearch

FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/

FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - prefs.js: network.proxy.type - 0

FF - user.js: browser.search.selectedEngine - foxsearch

FF - user.js: browser.search.order.1 - foxsearch

FF - user.js: browser.search.defaultenginename - foxsearch

FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: privacy.item.cookies - false

FF - user.js: privacy.sanitize.promptOnSanitize - false

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

MSConfigStartUp-dvd43 - c:\program files\dvd43\dvd43_tray.exe

MSConfigStartUp-GrooveMonitor - c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

MSConfigStartUp-PrintDisp - c:\windows\system32\PrintDisp.exe

.

.

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\6DA2.tmp"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\ThreatFire]

"AlternateImagePath"=""

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]

@Denied: (2) (LocalSystem)

"{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}"=hex:51,66,7a,6c,4c,1d,38,12,fa,ba,fe,

   14,ca,09,99,06,d1,80,b1,aa,66,b7,bd,1b

"{265EEE8E-3228-44D3-AEA5-F7FDF5860049}"=hex:51,66,7a,6c,4c,1d,38,12,e0,ed,4d,

   22,1a,7c,bd,01,d1,b3,b4,bd,f0,d8,44,5d

"{0347C33E-8762-4905-BF09-768834316C61}"=hex:51,66,7a,6c,4c,1d,38,12,50,c0,54,

   07,50,c9,6b,0c,c0,1f,35,c8,31,6f,28,75

"{18DF081C-E8AD-4283-A596-FA578C2EBDC3}"=hex:51,66,7a,6c,4c,1d,38,12,72,0b,cc,

   1c,9f,a6,ed,07,da,80,b9,17,89,70,f9,d7

"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}"=hex:51,66,7a,6c,4c,1d,38,12,0f,32,96,

   76,f7,7e,4c,08,c8,ef,48,fc,18,66,e7,6a

"{7DB2D5A0-7241-4E79-B68D-6309F01C5231}"=hex:51,66,7a,6c,4c,1d,38,12,ce,d6,a1,

   79,73,3c,17,0b,c9,9b,20,49,f5,42,16,25

"{9030D464-4C02-4ABF-8ECC-5164760863C6}"=hex:51,66,7a,6c,4c,1d,38,12,0a,d7,23,

   94,30,02,d1,0f,f1,da,12,24,73,56,27,d2

"{B4F3A835-0E21-4959-BA22-42B3008E02FF}"=hex:51,66,7a,6c,4c,1d,38,12,5b,ab,e0,

   b0,13,40,37,0c,c5,34,01,f3,05,d0,46,eb

"{C6867EB7-8350-4856-877F-93CF8AE3DC9C}"=hex:51,66,7a,6c,4c,1d,38,12,d9,7d,95,

   c2,62,cd,38,0d,f8,69,d0,8f,8f,bd,98,88

"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,

   df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd

"{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}"=hex:51,66,7a,6c,4c,1d,38,12,91,fc,ec,

   fb,7c,81,45,0a,c2,d4,4d,32,e4,48,ec,42

"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}"=hex:51,66,7a,6c,4c,1d,38,12,8f,19,47,

   2e,c4,15,0b,03,d7,b5,8c,e9,62,70,06,85

"{555D4D79-4BD2-4094-A395-CFC534424A05}"=hex:51,66,7a,6c,4c,1d,38,12,17,4e,4e,

   51,e0,05,fa,05,dc,83,8c,85,31,1c,0e,11

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]

@Denied: (2) (LocalSystem)

"Timestamp"=hex:00,56,ab,27,45,5f,cc,01

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(608)

c:\program files\ThreatFire\TFWAH.dll

.

- - - - - - - > 'lsass.exe'(568)

c:\program files\ThreatFire\TFWAH.dll

.

Zeit der Fertigstellung: 2011-08-23  14:20:23

ComboFix-quarantined-files.txt  2011-08-23 12:20

.

Vor Suchlauf: 17 Verzeichnis(se), 541.222.436.864 Bytes frei

Nach Suchlauf: 22 Verzeichnis(se), 540.902.621.184 Bytes frei

.

- - End Of File - - EF782FC276ACE4A9CCC3C53BA0BFD6E4

LG
Pich103

Ach ja und ich habe gestern noch einen Scan mit PANDA Active Scan 2.0 gemacht, der sagt: IHR PC IST ZURZEIT NICHT INFIZIERT.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Folder::

c:\users\Familie Pichler\AppData\Local\SKIDROW
 

File::

c:\windows\system32\Drivers\dsiarhwprog.sys
 

Driver::

dsiarhwprog

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Also den Schritt begreif ich nicht. Wenn ich die CFScript.txt auf ComboFix.exe ziehe, installiert er ja wieder das Programm.:wtf: Ist das so richtig? Denn auch in dem blauen Feld steht dann ja auch nix anderes...:uglyhammer:

CF wird nicht installiert! CF wird erneut gestartet und nimmt als weitere Option das Script in der CFscript.txt!

Oh, danke.:stirn: Werde es jetzt nochmal probieren, und außerdem hab ich in den nächsten Tagen wieder mehr Zeit für den PC.

Der ComboFix Log:

Code:

ComboFix 11-08-25.05 - Familie Pichler 26.08.2011  12:15:04.2.4 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.43.1031.18.3071.1778 [GMT 2:00]

ausgeführt von:: c:\users\Familie Pichler\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Familie Pichler\Desktop\CFScript.txt.txt

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

FILE ::

"c:\windows\system32\Drivers\dsiarhwprog.sys"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Familie Pichler\AppData\Local\SKIDROW

c:\users\Familie Pichler\AppData\Local\SKIDROW\48000\Storage\savegame.txt

c:\windows\system32\Drivers\dsiarhwprog.sys

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_dsiarhwprog

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-26 bis 2011-08-26  ))))))))))))))))))))))))))))))

.

.

2011-08-26 10:29 . 2011-08-26 10:33        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\temp

2011-08-26 10:29 . 2011-08-26 10:29        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-08-24 13:38 . 2011-07-09 04:30        2048        ----a-w-        c:\windows\system32\tzres.dll

2011-08-23 10:08 . 2011-08-12 02:44        7152464        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{0F85841D-093A-4691-825D-3336F5016214}\mpengine.dll

2011-08-22 10:26 . 2009-06-30 08:37        28552        ----a-w-        c:\windows\system32\drivers\pavboot.sys

2011-08-22 10:26 . 2011-08-22 10:26        --------        d-----w-        c:\program files\Panda Security

2011-08-20 14:26 . 2011-08-20 14:26        --------        d-----w-        c:\program files\Alex Feinman

2011-08-19 13:59 . 2011-08-19 13:59        --------        d-----w-        c:\users\Familie Pichler\AppData\Roaming\bizarre creations

2011-08-19 13:58 . 2008-10-15 04:22        452440        ----a-w-        c:\windows\system32\d3dx10_40.dll

2011-08-19 13:58 . 2008-10-15 04:22        2036576        ----a-w-        c:\windows\system32\D3DCompiler_40.dll

2011-08-19 13:58 . 2008-10-15 04:22        4379984        ----a-w-        c:\windows\system32\D3DX9_40.dll

2011-08-19 13:47 . 2011-08-19 13:47        --------        d-----w-        c:\program files\Activision

2011-08-18 15:43 . 2011-08-18 15:43        --------        d-----w-        c:\program files\Sandboxie

2011-08-18 15:35 . 2011-08-18 15:35        --------        d-----w-        C:\_OTL

2011-08-18 10:55 . 2011-08-18 15:34        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\Spoon

2011-08-18 10:55 . 2011-08-18 10:55        --------        d-----w-        c:\users\Familie Pichler\AppData\Local\Xenocode

2011-08-17 10:50 . 2011-08-17 10:50        --------        d-----w-        c:\program files\ESET

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\users\Familie Pichler\AppData\Roaming\Malwarebytes

2011-08-16 17:12 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\programdata\Malwarebytes

2011-08-16 17:12 . 2011-07-06 17:52        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-08-16 17:12 . 2011-08-16 17:12        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-08-14 11:29 . 2011-08-14 11:29        --------        d-----w-        c:\users\Familie Pichler\Pavark

2011-08-14 10:37 . 2011-08-14 10:37        --------        d-----w-        c:\program files\Sophos

2011-08-13 17:49 . 2011-02-23 14:50        29008        ----a-w-        c:\windows\system32\SmartDefragBootTime.exe

2011-08-13 17:49 . 2011-02-23 14:50        16184        ----a-w-        c:\windows\system32\drivers\SmartDefragDriver.sys

2011-08-13 13:09 . 2011-08-13 13:09        --------        d-----w-        c:\program files\Elaborate Bytes

2011-08-10 15:24 . 2008-09-29 06:07        22576        ----a-w-        c:\program files\Mozilla Firefox\components\Scriptff.dll

2011-08-10 15:24 . 2008-09-29 06:07        90360        ----a-w-        c:\windows\system32\drivers\mfeavfk.sys

2011-08-10 15:24 . 2008-09-29 06:07        74648        ----a-w-        c:\windows\system32\drivers\mfeapfk.sys

2011-08-10 15:24 . 2008-09-29 06:07        67904        ----a-w-        c:\windows\system32\mfevtps.exe

2011-08-10 15:24 . 2008-09-29 06:07        64432        ----a-w-        c:\windows\system32\drivers\mferkdet.sys

2011-08-10 15:24 . 2008-09-29 06:07        62704        ----a-w-        c:\windows\system32\drivers\mfetdik.sys

2011-08-10 15:24 . 2008-09-29 06:07        42424        ----a-w-        c:\windows\system32\drivers\mfebopk.sys

2011-08-10 15:24 . 2008-09-29 06:07        340592        ----a-w-        c:\windows\system32\drivers\mfehidk.sys

2011-08-10 15:23 . 2011-08-10 15:23        --------        d-----w-        c:\program files\Common Files\McAfee

2011-07-31 09:24 . 2011-07-31 16:37        --------        d-----w-        c:\users\Familie Pichler\Mali Losinj 2.0

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-11 02:37 . 2011-07-14 17:28        2332672        ----a-w-        c:\windows\system32\win32k.sys

2011-04-14 16:40 . 2011-05-11 12:25        142296        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2008-09-29 06:07 . 2011-08-10 15:24        22576        ----a-w-        c:\program files\mozilla firefox\components\Scriptff.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2009-12-01 401728]

"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2011-06-17 412432]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ThreatFire"="c:\program files\ThreatFire\TFTray.exe" [2010-01-14 378128]

"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-09-29 124240]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux4"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]

@="Service"

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^Users^Familie Pichler^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\users\Familie Pichler\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2011-03-30 04:59        937920        ----a-r-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2011-06-08 04:02        37296        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]

2010-03-13 12:54        91520        ----a-w-        c:\program files\Microsoft Office\Office14\BCSSync.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]

2007-03-26 13:49        69632        ----a-w-        c:\program files\Softwin\BitDefender10\bdagent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]

2007-04-02 14:48        290816        ----a-w-        c:\program files\Softwin\BitDefender10\bdmcon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-01-25 14:08        421160        ----a-w-        c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]

2011-03-07 13:33        89456        ----a-w-        c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun

"Google Update"="c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe" /c

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"PDFPrint"=c:\program files\PDF24\pdf24.exe

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 FSORSPClient;F-Secure ORSP Client;c:\program files\F-Secure\ORSP Client\fsorsp.exe [2010-07-31 57008]

R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\6DA2.tmp [x]

R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2008-09-29 64432]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-26 1343400]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552]

S0 SmartDefragDriver;SmartDefragDriver;c:\windows\System32\Drivers\SmartDefragDriver.sys [2011-02-23 16184]

S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-01-14 51984]

S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-01-14 59664]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 McAfeeEngineService;McAfee Engine Service;c:\program files\McAfee\VirusScan Enterprise\EngineServer.exe [2008-09-29 19456]

S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2008-09-29 67904]

S2 ThreatFire;ThreatFire;c:\program files\ThreatFire\TFService.exe service [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-07-06 22712]

S3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]

S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-01-14 33552]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

iissvcs        REG_MULTI_SZ           w3svc was

apphost        REG_MULTI_SZ           apphostsvc

HPService        REG_MULTI_SZ           HPSLPSVC

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

Inhalt des "geplante Tasks" Ordners

.

2011-08-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3068468112-1341261719-3374128048-1000Core.job

- c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-03 17:41]

.

2011-08-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3068468112-1341261719-3374128048-1000UA.job

- c:\users\Familie Pichler\AppData\Local\Google\Update\GoogleUpdate.exe [2010-07-03 17:41]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.at/

uInternet Settings,ProxyOverride = *.local

IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: Free YouTube to MP3 Converter - c:\users\Familie Pichler\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Familie Pichler\AppData\Roaming\Mozilla\Firefox\Profiles\vk3estud.default\

FF - prefs.js: browser.search.selectedEngine - foxsearch

FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/

FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - prefs.js: network.proxy.type - 0

FF - user.js: browser.search.selectedEngine - foxsearch

FF - user.js: browser.search.order.1 - foxsearch

FF - user.js: browser.search.defaultenginename - foxsearch

FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: privacy.item.cookies - false

FF - user.js: privacy.sanitize.promptOnSanitize - false

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\6DA2.tmp"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\ThreatFire]

"AlternateImagePath"=""

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]

@Denied: (2) (LocalSystem)

"{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}"=hex:51,66,7a,6c,4c,1d,38,12,fa,ba,fe,

   14,ca,09,99,06,d1,80,b1,aa,66,b7,bd,1b

"{265EEE8E-3228-44D3-AEA5-F7FDF5860049}"=hex:51,66,7a,6c,4c,1d,38,12,e0,ed,4d,

   22,1a,7c,bd,01,d1,b3,b4,bd,f0,d8,44,5d

"{0347C33E-8762-4905-BF09-768834316C61}"=hex:51,66,7a,6c,4c,1d,38,12,50,c0,54,

   07,50,c9,6b,0c,c0,1f,35,c8,31,6f,28,75

"{18DF081C-E8AD-4283-A596-FA578C2EBDC3}"=hex:51,66,7a,6c,4c,1d,38,12,72,0b,cc,

   1c,9f,a6,ed,07,da,80,b9,17,89,70,f9,d7

"{72853161-30C5-4D22-B7F9-0BBC1D38A37E}"=hex:51,66,7a,6c,4c,1d,38,12,0f,32,96,

   76,f7,7e,4c,08,c8,ef,48,fc,18,66,e7,6a

"{7DB2D5A0-7241-4E79-B68D-6309F01C5231}"=hex:51,66,7a,6c,4c,1d,38,12,ce,d6,a1,

   79,73,3c,17,0b,c9,9b,20,49,f5,42,16,25

"{9030D464-4C02-4ABF-8ECC-5164760863C6}"=hex:51,66,7a,6c,4c,1d,38,12,0a,d7,23,

   94,30,02,d1,0f,f1,da,12,24,73,56,27,d2

"{B4F3A835-0E21-4959-BA22-42B3008E02FF}"=hex:51,66,7a,6c,4c,1d,38,12,5b,ab,e0,

   b0,13,40,37,0c,c5,34,01,f3,05,d0,46,eb

"{C6867EB7-8350-4856-877F-93CF8AE3DC9C}"=hex:51,66,7a,6c,4c,1d,38,12,d9,7d,95,

   c2,62,cd,38,0d,f8,69,d0,8f,8f,bd,98,88

"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,

   df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd

"{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}"=hex:51,66,7a,6c,4c,1d,38,12,91,fc,ec,

   fb,7c,81,45,0a,c2,d4,4d,32,e4,48,ec,42

"{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}"=hex:51,66,7a,6c,4c,1d,38,12,8f,19,47,

   2e,c4,15,0b,03,d7,b5,8c,e9,62,70,06,85

"{555D4D79-4BD2-4094-A395-CFC534424A05}"=hex:51,66,7a,6c,4c,1d,38,12,17,4e,4e,

   51,e0,05,fa,05,dc,83,8c,85,31,1c,0e,11

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]

@Denied: (2) (LocalSystem)

"Timestamp"=hex:00,56,ab,27,45,5f,cc,01

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(640)

c:\program files\ThreatFire\TFWAH.dll

.

- - - - - - - > 'lsass.exe'(572)

c:\program files\ThreatFire\TFWAH.dll

.

- - - - - - - > 'Explorer.exe'(1432)

c:\program files\ThreatFire\TfWah.dll

c:\windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll

c:\windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCP90.dll

c:\windows\system32\cscapi.dll

c:\windows\system32\actxprxy.dll

c:\windows\system32\msiltcfg.dll

c:\windows\system32\msi.dll

c:\windows\system32\MPR.dll

c:\windows\system32\WINSPOOL.DRV

c:\windows\system32\taskschd.dll

c:\windows\system32\FXSAPI.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files\Sandboxie\SbieSvc.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\McAfee\Common Framework\FrameworkService.exe

c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe

c:\program files\McAfee\Common Framework\naPrdMgr.exe

c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe

c:\program files\ThreatFire\TFService.exe

c:\program files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe

c:\program files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

c:\program files\McAfee\VirusScan Enterprise\mfeann.exe

c:\windows\system32\conhost.exe

c:\program files\Common Files\Softwin\BitDefender Update Service\livesrv.exe

c:\program files\Softwin\BitDefender10\vsserv.exe

c:\windows\system32\conhost.exe

c:\program files\Windows Media Player\wmpnetwk.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-08-26  12:40:42 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-08-26 10:40

ComboFix2.txt  2011-08-23 12:20

.

Vor Suchlauf: 21 Verzeichnis(se), 540.283.449.344 Bytes frei

Nach Suchlauf: 22 Verzeichnis(se), 539.913.818.112 Bytes frei

.

- - End Of File - - 9299C5AFC7CB4E99907C01362BE5DC7D

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).