Trojaner-Board - Gleich zwei Trojaner auf einmal?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gleich zwei Trojaner auf einmal? (https://www.trojaner-board.de/109302-gleich-zwei-trojaner-einmal.html)

Okay, mach ich. Tut mir leid mit dem Code!

Code:

ComboFix 12-02-16.01 - Hilde 16.02.2012  11:33:30.1.2 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4094.2822 [GMT 1:00]

ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files (x86)\Common Files\packardbell.ico

c:\windows\security\Database\tmp.edb

c:\windows\system32\drivers\etc\hosts.ics

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-16 bis 2012-02-16  ))))))))))))))))))))))))))))))

.

.

2012-02-16 10:37 . 2012-02-16 10:37        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-02-15 16:26 . 2012-02-15 16:26        --------        d-----w-        C:\_OTL

2012-02-15 16:24 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-02-15 16:24 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

2012-02-15 16:24 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl

2012-02-15 16:24 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl

2012-02-15 16:24 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-02-15 16:24 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys

2012-02-15 16:24 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll

2012-02-15 16:24 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll

2012-02-14 09:32 . 2012-01-06 05:15        8602168        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll

2012-02-07 14:26 . 2012-02-07 14:26        --------        d-----w-        c:\users\Hilde\AppData\Local\Solid State Networks

2012-02-07 11:55 . 2012-02-12 19:37        --------        d-----w-        c:\program files (x86)\Emsisoft Anti-Malware

2012-02-07 11:30 . 2012-02-07 11:30        --------        d-----w-        c:\program files (x86)\Trend Micro

2012-02-07 11:09 . 2012-02-07 11:09        --------        d-----w-        c:\program files\CCleaner

2012-02-07 11:08 . 2012-02-07 11:09        --------        d-----w-        c:\users\Hilde\AppData\Local\Google

2012-02-07 11:08 . 2012-02-07 11:09        --------        d-----w-        c:\program files (x86)\Google

2012-02-05 18:33 . 2012-02-05 18:33        --------        d-----w-        c:\users\Hilde\AppData\Roaming\Malwarebytes

2012-02-05 18:33 . 2012-02-05 18:33        --------        d-----w-        c:\programdata\Malwarebytes

2012-02-05 17:16 . 2012-02-12 19:40        --------        d-----w-        c:\program files (x86)\Spybot - Search & Destroy

2012-02-05 17:16 . 2012-02-12 19:40        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2012-02-05 16:46 . 2012-02-05 16:46        --------        d-----w-        c:\windows\system32\Macromed

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-07 14:23 . 2011-08-14 18:00        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-01-26 23:52 . 2010-05-15 13:05        279656        ------w-        c:\windows\system32\MpSigStub.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]

"VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448]

"RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]

"PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]

"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]

R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]

R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]

R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]

R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x]

R4 Rerltacm;Rerltacm; [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320]

S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]

S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]

.

2012-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112]

"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

uLocal Page = c:\windows\system32\blank.htm

mStart Page = 

mLocal Page = 

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: browser.startup.homepage - 

FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319

FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23

FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon

FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar

FF - user.js: extensions.BabylonToolbar_i.aflt - babsst

FF - user.js: extensions.BabylonToolbar_i.smplGrp - none

FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9

FF - user.js: extensions.BabylonToolbar_i.newTab - false

FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478

FF - user.js: extensions.BabylonToolbar_i.babExt - 

FF - user.js: extensions.BabylonToolbar_i.srcExt - ss

FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

.

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1]

@="131473"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-02-16  11:44:39 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-02-16 10:44

.

Vor Suchlauf: 11 Verzeichnis(se), 262.028.746.752 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 261.705.691.136 Bytes frei

.

- - End Of File - - 7854022E5A251C1A5FEED6837CFF7D4B

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Driver::

Rerltacm
 

Firefox::

FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319

FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23

FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon

FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar

FF - user.js: extensions.BabylonToolbar_i.aflt - babsst

FF - user.js: extensions.BabylonToolbar_i.smplGrp - none

FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9

FF - user.js: extensions.BabylonToolbar_i.newTab - false

FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478

FF - user.js: extensions.BabylonToolbar_i.babExt - 

FF - user.js: extensions.BabylonToolbar_i.srcExt - ss

FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Cosinus, hier das Log:

Code:

ComboFix 12-02-16.01 - Hilde 16.02.2012  18:23:06.2.2 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4094.2925 [GMT 1:00]

ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Hilde\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\drivers\etc\hosts.ics

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_Rerltacm

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-16 bis 2012-02-16  ))))))))))))))))))))))))))))))

.

.

2012-02-15 16:26 . 2012-02-15 16:26        --------        d-----w-        C:\_OTL

2012-02-15 16:24 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-02-15 16:24 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

2012-02-15 16:24 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl

2012-02-15 16:24 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl

2012-02-15 16:24 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-02-15 16:24 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys

2012-02-15 16:24 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll

2012-02-15 16:24 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll

2012-02-14 09:32 . 2012-01-06 05:15        8602168        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll

2012-02-07 14:26 . 2012-02-07 14:26        --------        d-----w-        c:\users\Hilde\AppData\Local\Solid State Networks

2012-02-07 11:55 . 2012-02-12 19:37        --------        d-----w-        c:\program files (x86)\Emsisoft Anti-Malware

2012-02-07 11:30 . 2012-02-07 11:30        --------        d-----w-        c:\program files (x86)\Trend Micro

2012-02-07 11:09 . 2012-02-07 11:09        --------        d-----w-        c:\program files\CCleaner

2012-02-07 11:08 . 2012-02-07 11:09        --------        d-----w-        c:\users\Hilde\AppData\Local\Google

2012-02-07 11:08 . 2012-02-07 11:09        --------        d-----w-        c:\program files (x86)\Google

2012-02-05 18:33 . 2012-02-05 18:33        --------        d-----w-        c:\users\Hilde\AppData\Roaming\Malwarebytes

2012-02-05 18:33 . 2012-02-05 18:33        --------        d-----w-        c:\programdata\Malwarebytes

2012-02-05 17:16 . 2012-02-12 19:40        --------        d-----w-        c:\program files (x86)\Spybot - Search & Destroy

2012-02-05 17:16 . 2012-02-12 19:40        --------        d-----w-        c:\programdata\Spybot - Search & Destroy

2012-02-05 16:46 . 2012-02-05 16:46        --------        d-----w-        c:\windows\system32\Macromed

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-07 14:23 . 2011-08-14 18:00        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-01-26 23:52 . 2010-05-15 13:05        279656        ------w-        c:\windows\system32\MpSigStub.exe

.

.

(((((((((((((((((((((((((((((   SnapShot@2012-02-16_10.39.31   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-28 05:15 . 2012-02-16 17:12        39526              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2009-07-14 05:10 . 2012-02-16 17:12        42988              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin

+ 2010-05-15 19:46 . 2012-02-16 17:12        11160              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3936037995-2034884825-2607243628-1000_UserData.bin

+ 2009-07-14 04:46 . 2012-02-16 10:46        91888              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat

+ 2010-06-16 16:24 . 2012-02-16 10:46        1950              c:\windows\system32\wdi\ERCQueuedResolutions.dat

+ 2012-02-16 17:28 . 2012-02-16 17:28        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2012-02-16 10:38 . 2012-02-16 10:38        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-16 17:28 . 2012-02-16 17:28        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2012-02-16 10:38 . 2012-02-16 10:38        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2009-07-14 02:36 . 2012-02-16 10:27        616242              c:\windows\system32\perfh009.dat

+ 2009-07-14 02:36 . 2012-02-16 17:15        616242              c:\windows\system32\perfh009.dat

- 2009-10-27 18:10 . 2012-02-16 10:27        654400              c:\windows\system32\perfh007.dat

+ 2009-10-27 18:10 . 2012-02-16 17:15        654400              c:\windows\system32\perfh007.dat

- 2009-07-14 02:36 . 2012-02-16 10:27        106622              c:\windows\system32\perfc009.dat

+ 2009-07-14 02:36 . 2012-02-16 17:15        106622              c:\windows\system32\perfc009.dat

- 2009-10-27 18:10 . 2012-02-16 10:27        130240              c:\windows\system32\perfc007.dat

+ 2009-10-27 18:10 . 2012-02-16 17:15        130240              c:\windows\system32\perfc007.dat

+ 2009-07-14 05:01 . 2012-02-16 17:28        314148              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat

- 2009-07-14 05:01 . 2012-02-16 10:38        314148              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat

+ 2012-02-15 18:26 . 2012-02-16 17:28        314916              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat

- 2012-02-15 18:26 . 2012-02-15 18:26        314916              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat

+ 2012-02-15 18:26 . 2012-02-16 17:28        3171048              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-4096.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]

"VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448]

"RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]

"PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]

"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]

R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]

R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]

R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]

R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320]

S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]

S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]

.

2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112]

"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880]

"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]

"combofix"="c:\combofix\CF2014.3XE" [2010-11-20 345088]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

uLocal Page = c:\windows\system32\blank.htm

mStart Page = 

mLocal Page = 

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: browser.startup.homepage - 

FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4

FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319

FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23

FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon

FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar

FF - user.js: extensions.BabylonToolbar_i.aflt - babsst

FF - user.js: extensions.BabylonToolbar_i.smplGrp - none

FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9

FF - user.js: extensions.BabylonToolbar_i.newTab - false

FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478

FF - user.js: extensions.BabylonToolbar_i.babExt - 

FF - user.js: extensions.BabylonToolbar_i.srcExt - ss

FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1]

@="131473"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-02-16  18:33:52 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-02-16 17:33

ComboFix2.txt  2012-02-16 10:44

.

Vor Suchlauf: 15 Verzeichnis(se), 261.769.043.968 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 261.542.850.560 Bytes frei

.

- - End Of File - - 7A6A4DA6AC91031C4B8D99A12BB2D70A

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Code:

aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software

Run date: 2012-02-17 11:42:30

-----------------------------

11:42:30.926    OS Version: Windows x64 6.1.7601 Service Pack 1

11:42:30.926    Number of processors: 2 586 0x170A

11:42:30.926    ComputerName: HILDE-PC  UserName: Hilde

11:42:32.705    Initialize success

11:44:07.372    AVAST engine defs: 12021601

11:44:55.763    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

11:44:55.763    Disk 0 Vendor: WDC_WD3200BEVT-22ZCT0 11.01A11 Size: 305245MB BusType: 11

11:44:55.779    Disk 0 MBR read successfully

11:44:55.779    Disk 0 MBR scan

11:44:55.794    Disk 0 Windows 7 default MBR code

11:44:55.794    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        12291 MB offset 63

11:44:55.825    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          101 MB offset 25173855

11:44:55.825    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       292850 MB offset 25382700

11:44:55.841    Service scanning

11:44:58.103    Modules scanning

11:44:58.103    Disk 0 trace - called modules:

11:44:58.165    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 

11:44:58.181    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c3a060]

11:44:58.696    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa80047881e0]

11:44:58.696    5 ACPI.sys[fffff88000ed17a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80047db060]

11:44:59.850    AVAST engine scan C:\Windows

11:45:02.627    AVAST engine scan C:\Windows\system32

11:47:24.759    AVAST engine scan C:\Windows\system32\drivers

11:47:37.629    AVAST engine scan C:\Users\Hilde

11:48:28.111    AVAST engine scan C:\ProgramData

11:48:55.161    Scan finished successfully

11:49:09.747    Disk 0 MBR has been saved successfully to "C:\Users\Hilde\Desktop\MBR.dat"

11:49:09.763    The log file has been saved successfully to "C:\Users\Hilde\Desktop\aswMBR.txt"

Okay, das log ist da - in Code-Schreibweise;-)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Gut, mach ich, dürfte so ca. 1 Stunde dauern. War denn dieser TR/Spy.559819 ein echter Schädling und wenn ja, was macht er?

vertippt, bitte dieses post löschen

Hier das Antimalware-Post: sieht wohl gut aus. Zweiter Teil folgt.

Code:

17.02.2012 14:49:16

mbam-log-2012-02-17 (14-49-16).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 297324

Laufzeit: 46 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Hier der Superspyware-Scan - er hat 16 Bedrohungen gefunden, hier ist das Log:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 02/17/2012 at 05:13 PM
 

Application Version : 5.0.1144
 

Core Rules Database Version : 8257

Trace Rules Database Version: 6069
 

Scan type       : Complete Scan

Total Scan Time : 01:11:15
 

Operating System Information

Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Administrator
 

Memory items scanned      : 602

Memory threats detected   : 0

Registry items scanned    : 63878

Registry threats detected : 0

File items scanned        : 125710

File threats detected     : 16
 

Adware.Tracking Cookie

        .doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .a.revenuemax.de [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .fastclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        ad2.adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

        .doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]

Soll ich die von Super entfernen lassen?

Sieht ok aus, da wurden nur Cookies gefunden. Die können weg.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Lasse gerade nochmal Avira durchlaufen mit Vollscan, ist gleich fertig, bis jetzt nichts gefunden. Was mir auffällt, dass der Rechner jetzt schneller läuft und auch die Verbindung zum Netz nicht mehr ausfällt, was in den letzten Wochen oft der Fall war.

Eine Frage noch: Wenn man einen Rechner besitzt, der selbst nicht am Web hängt, mit Programmen zu Testzwecken per Stick versorgt, diese dann aber wieder deinstalliert, sich aber nicht sicher ist, ob dadurch Malware raufkam - auf diese testen will, kann man dann die von dir hier angewandte Methode und die Programme (ohne Combofix) verwenden, in dem man diese per Stick rüberschaufelt und die Tests macht?

Oder muss man das anders machen?

Hier das Avira-Log, er hat ein verstecktes Objekt gefunden, was auch immer das ist:

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Freitag, 17. Februar 2012  17:39
 

Es wird nach 3473425 Virenstämmen gesucht.
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows 7 x64

Windowsversion : (Service Pack 1)  [6.1.7601]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : HILDE-PC
 

Versionsinformationen:

BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00

AVSCAN.EXE     : 10.3.0.7      484008 Bytes  24.07.2011 16:58:59

AVSCAN.DLL     : 10.0.5.0       57192 Bytes  24.07.2011 16:58:59

LUKE.DLL       : 10.3.0.5       45416 Bytes  24.07.2011 16:59:00

LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47

AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  24.07.2011 16:59:00

AVREG.DLL      : 10.3.0.9       88833 Bytes  24.07.2011 16:59:00

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 07:05:36

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 12:31:35

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:33:40

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:38:02

VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 14:38:02

VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 14:38:02

VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 14:38:03

VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 14:38:03

VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 14:38:03

VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 14:38:04

VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 14:38:04

VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 14:38:05

VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 14:38:05

VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 14:39:08

VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 14:39:42

VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 08:39:07

VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 15:06:55

VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 09:28:27

VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 16:17:13

VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 16:33:25

VBASE020.VDF   : 7.11.23.99      2048 Bytes  17.02.2012 16:33:26

VBASE021.VDF   : 7.11.23.100     2048 Bytes  17.02.2012 16:33:26

VBASE022.VDF   : 7.11.23.101     2048 Bytes  17.02.2012 16:33:26

VBASE023.VDF   : 7.11.23.102     2048 Bytes  17.02.2012 16:33:26

VBASE024.VDF   : 7.11.23.103     2048 Bytes  17.02.2012 16:33:26

VBASE025.VDF   : 7.11.23.104     2048 Bytes  17.02.2012 16:33:26

VBASE026.VDF   : 7.11.23.105     2048 Bytes  17.02.2012 16:33:27

VBASE027.VDF   : 7.11.23.106     2048 Bytes  17.02.2012 16:33:27

VBASE028.VDF   : 7.11.23.107     2048 Bytes  17.02.2012 16:33:27

VBASE029.VDF   : 7.11.23.108     2048 Bytes  17.02.2012 16:33:27

VBASE030.VDF   : 7.11.23.109     2048 Bytes  17.02.2012 16:33:28

VBASE031.VDF   : 7.11.23.110    13824 Bytes  17.02.2012 16:33:29

Engineversion  : 8.2.10.4  

AEVDF.DLL      : 8.1.2.2       106868 Bytes  05.11.2011 11:03:08

AESCRIPT.DLL   : 8.1.4.5       442745 Bytes  11.02.2012 10:33:11

AESCN.DLL      : 8.1.8.2       131444 Bytes  31.01.2012 17:02:32

AESBX.DLL      : 8.2.4.5       434549 Bytes  03.12.2011 17:34:04

AERDL.DLL      : 8.1.9.15      639348 Bytes  11.09.2011 15:10:40

AEPACK.DLL     : 8.2.16.3      799094 Bytes  11.02.2012 10:33:08

AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  31.12.2011 09:30:14

AEHEUR.DLL     : 8.1.3.31     4395383 Bytes  16.02.2012 18:19:06

AEHELP.DLL     : 8.1.19.0      254327 Bytes  31.01.2012 17:02:13

AEGEN.DLL      : 8.1.5.21      409971 Bytes  04.02.2012 14:40:34

AEEXP.DLL      : 8.1.0.22       70005 Bytes  16.02.2012 18:19:07

AEEMU.DLL      : 8.1.3.0       393589 Bytes  25.11.2010 13:58:58

AECORE.DLL     : 8.1.25.4      201079 Bytes  14.02.2012 09:28:30

AEBB.DLL       : 8.1.1.0        53618 Bytes  15.05.2010 13:25:50

AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10

AVPREF.DLL     : 10.0.3.2       44904 Bytes  24.07.2011 16:58:59

AVREP.DLL      : 10.0.0.10     174120 Bytes  20.05.2011 18:55:16

AVARKT.DLL     : 10.0.26.1     255336 Bytes  24.07.2011 16:58:59

AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  24.07.2011 16:58:59

SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53

AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54

NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55

RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  24.07.2011 16:58:59

RCTEXT.DLL     : 10.0.64.0      98664 Bytes  24.07.2011 16:58:59
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert
 

Beginn des Suchlaufs: Freitag, 17. Februar 2012  17:39
 

Der Suchlauf nach versteckten Objekten wird begonnen.

c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js

c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js

  [HINWEIS]   Die Datei ist nicht sichtbar.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '137' Modul(e) wurden durchsucht

Durchsuche Prozess 'iexplore.exe' - '92' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'PDVD8Serv.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'VideoWebCamera.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'LManager.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '158' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Packard Bell>
 
 

Ende des Suchlaufs: Freitag, 17. Februar 2012  18:34

Benötigte Zeit: 55:01 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  23432 Verzeichnisse wurden überprüft

 352625 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 352625 Dateien ohne Befall

   2789 Archive wurden durchsucht

      0 Warnungen

      1 Hinweise

 527400 Objekte wurden beim Rootkitscan durchsucht

      1 Versteckte Objekte wurden gefunden