Trojaner-Board - isecurity.exe beim surfen eingefangen...wie werde ich das Ding sauber los!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - isecurity.exe beim surfen eingefangen...wie werde ich das Ding sauber los! (https://www.trojaner-board.de/110968-isecurity-exe-beim-surfen-eingefangen-ding-sauber-los.html)

Hi cosinus,

Hast mich mit CF aber ganz schön ins Schwitzen gebracht - wegen möglicher Schäden usw...

kurze Frage nur:
Ich erwarte ja keine Gute-Nacht-Geschichte, aber beantwortest Du prinzipiell keine Fragen oder soll ich einfach davon ausgehen, dass eine Frage, die keine Antwort bekommt, eh überflüssig ist und am PC soweit alles in Ordnung?

Combofix Logfile:

Code:

ComboFix 12-03-12.03 - <Nutzer> 12.03.2012  21:42:52.1.4 - x64

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.7920.6521 [GMT 1:00]

ausgeführt von:: c:\users\<Nutzer>\Desktop\ComboFix\ComboFix.exe

AV: F-PROT Antivirus for Windows *Disabled/Updated* {31B7FFC6-2716-5A4E-528D-32786E690ED2}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-12 bis 2012-03-12  ))))))))))))))))))))))))))))))

.

.

2012-03-12 20:46 . 2012-03-12 20:46        --------        d-----w-        c:\users\Test\AppData\Local\temp

2012-03-12 20:46 . 2012-03-12 20:46        --------        d-----w-        c:\users\systemchef\AppData\Local\temp

2012-03-12 20:46 . 2012-03-12 20:46        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-03-10 12:28 . 2012-02-08 07:13        8643640        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{402EC022-91F5-4376-A1B8-3CC98F2B4A32}\mpengine.dll

2012-03-09 20:24 . 2012-03-09 20:24        --------        d-----w-        C:\_OTL

2012-03-08 19:31 . 2012-03-08 19:31        --------        d-----w-        c:\program files (x86)\ESET

2012-03-08 17:47 . 2012-03-08 17:47        --------        d-----w-        c:\users\<Nutzer>\AppData\Roaming\Malwarebytes

2012-03-08 17:47 . 2012-03-08 17:47        --------        d-----w-        c:\programdata\Malwarebytes

2012-03-08 17:47 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-03-08 17:47 . 2012-03-08 17:47        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2012-03-05 03:36 . 2012-03-05 03:36        --------        d-----w-        c:\users\<Nutzer>\AppData\Local\Apps

2012-03-03 11:42 . 2012-03-03 11:42        --------        d-----w-        c:\users\<Nutzer>\AppData\Local\Logitech

2012-03-03 11:36 . 2012-03-03 11:37        --------        d-----w-        c:\program files\Logitech Gaming Software

2012-02-14 19:11 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-02-14 19:11 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

2012-02-14 19:11 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl

2012-02-14 19:11 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl

2012-02-14 19:11 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys

2012-02-14 19:11 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-02-14 19:11 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll

2012-02-14 19:11 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-09 19:57 . 2011-09-12 00:51        18960        ----a-w-        c:\windows\system32\drivers\LNonPnP.sys

2012-03-05 01:09 . 2011-08-01 21:06        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-02-23 08:18 . 2011-07-21 17:46        279656        ------w-        c:\windows\system32\MpSigStub.exe

2012-02-09 19:01 . 2012-02-09 19:01        53248        ----a-r-        c:\users\<Nutzer>\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe

2012-02-02 08:43 . 2012-02-02 08:43        509104        ----a-w-        c:\windows\system32\drivers\e1k62x64.sys

2012-01-20 08:41 . 2012-01-20 08:41        99520        ----a-w-        c:\windows\system32\NicInstK.dll

2012-01-19 08:37 . 2012-01-19 08:37        68264        ----a-w-        c:\windows\system32\e1kmsg.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"F-PROT Antivirus Tray application"="c:\program files (x86)\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2010-11-03 1674016]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2010-03-03 4581280]

.

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 FPAVServer;F-PROT Antivirus for Windows system;c:\program files (x86)\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [2011-10-06 84136]

R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R4 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-05-04 503080]

R4 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2011-03-25 539248]

S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [x]

S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [x]

S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS\tos_sps64.sys [x]

S1 FPAV_RTP;FPAV_RTP;c:\windows\system32\DRIVERS\FPAV_RTP.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2010-06-17 2734912]

S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2010-01-28 249200]

S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]

S2 Lexware_Datenbank_Plus;Lexware Datenbank Plus;c:\program files (x86)\Sybase\SQL Anywhere 9\win32\dbsrv9.exe [2010-11-05 83248]

S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimspe64.sys [x]

S2 risdpcie;risdpcie;c:\windows\system32\DRIVERS\risdpe64.sys [x]

S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERS\rixdpe64.sys [x]

S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2010-05-11 124368]

S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2010-02-25 252928]

S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]

S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240]

S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [x]

S3 ATSwpWDF;AuthenTec TruePrint USB Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [x]

S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]

S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]

S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]

S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]

S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]

S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [x]

S3 LGSHidFilt;Logitech Gaming KMDF HID Filter Driver;c:\windows\system32\DRIVERS\LGSHidFilt.Sys [x]

S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [x]

S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]

S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-11-05 137560]

S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2010-02-05 824688]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ATFPUOverlayIcon]

@="{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}"

[HKEY_CLASSES_ROOT\CLSID\{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}]

2010-03-02 08:24        153520        ----a-w-        c:\program files\Toshiba\TFPU\TFPUOverlayIcon.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ThpSrv"="c:\windows\system32\thpsrv" [X]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-30 8305664]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-09-10 313344]

"TFPUPWDBankService"="c:\program files\TOSHIBA\TFPU\TFPUPWDBank.exe" [2010-03-02 925104]

"TFPUService"="c:\program files\TOSHIBA\TFPU\TFPUTaskMonitor.exe" [2010-03-02 793008]

"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 709976]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 161304]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 386584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 415256]

"Launch LCore"="c:\program files\Logitech Gaming Software\LCore.exe" [2011-12-07 5889816]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.google.de/

mLocal Page = 

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000

LSP: c:\program files (x86)\VMware\VMware Player\vsocklib.dll

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\<Nutzer>\AppData\Roaming\Mozilla\Firefox\Profiles\o9guaoks.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: network.proxy.type - 2

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE

HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe

HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe

HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]

"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,

   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-03-12  21:48:25

ComboFix-quarantined-files.txt  2012-03-12 20:48

.

Vor Suchlauf: 9 Verzeichnis(se), 92.874.391.552 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 93.853.401.088 Bytes frei

.

- - End Of File - - 8ED7A0201B3A30E5818F3AC420DCC4EE

Ich bin mir jetzt auch nicht ganz sicher, was CF da in die Quarantäne geschoben hat, aber die meisten der Einträge sind Software-Einträge von Toshiba, bzw. bin ich über den angeprangerten shockwave-Player nicht im Klaren, was da nicht in Ordnung ist, da ich Updates dieser Software regelmäßig vornehme.
Sind das hier Einträge, die nicht in Ordnung waren oder sind?:

Code:

2012-03-12 20:47:44 . 2012-03-12 20:47:44            1,380 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Shockwave Player.reg.dat

2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TosWaitSrv.reg.dat

2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Teco.reg.dat

2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-SmoothView.reg.dat

2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TPwrMain.reg.dat

2012-03-12 20:45:48 . 2012-03-12 20:45:48           14,468 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2012-03-12 20:41:51 . 2012-03-12 20:41:51               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log

Während der Bereinigung beantworte ich ungern "nebensächlichere" Fragen weil die von der eigentlich Bereinigung zu stark ablenken. Sammel dir Fragen und ich versuche das zu beantworten wenn wir durch sind

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

hi cosinus,

hab's geschnallt...bis gleich oder später...je nach dauer!

hi cosinus,

ich schon wieder - hier das log:

Code:

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software

Run date: 2012-03-12 22:44:54

-----------------------------

22:44:54.381    OS Version: Windows x64 6.1.7601 Service Pack 1

22:44:54.381    Number of processors: 4 586 0x2505

22:44:54.381    ComputerName: <Computername>  UserName: <Nutzer>

22:44:55.319    Initialize success

22:46:14.507    AVAST engine defs: 12031200

22:47:33.682    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

22:47:33.687    Disk 0 Vendor: Hitachi_ PC3O Size: 305245MB BusType: 3

22:47:33.703    Disk 0 MBR read successfully

22:47:33.707    Disk 0 MBR scan

22:47:33.714    Disk 0 Windows VISTA default MBR code

22:47:33.726    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         1500 MB offset 2048

22:47:33.739    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       158991 MB offset 3074400

22:47:33.748    Disk 0 Partition - 00     0F Extended LBA            135589 MB offset 328689664

22:47:33.777    Disk 0 Partition 3 00     17 Hidd HPFS/NTFS NTFS         9163 MB offset 606375936

22:47:33.805    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       135588 MB offset 328691712

22:47:33.844    Disk 0 scanning C:\Windows\system32\drivers

22:47:41.927    Service scanning

22:48:04.250    Modules scanning

22:48:04.605    Disk 0 trace - called modules:

22:48:04.637    ntoskrnl.exe CLASSPNP.SYS disk.sys thpdrv.sys ACPI.sys iaStor.sys hal.dll 

22:48:04.646    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007d49060]

22:48:04.654    3 CLASSPNP.SYS[fffff8800188c43f] -> nt!IofCallDriver -> \Device\THPDRV1[0xfffffa8007d48060]

22:48:04.664    5 thpdrv.sys[fffff88001a02cc0] -> nt!IofCallDriver -> [0xfffffa8006c73320]

22:48:04.672    7 ACPI.sys[fffff88000eea7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007a3c050]

22:48:05.552    AVAST engine scan C:\Windows

22:48:07.648    AVAST engine scan C:\Windows\system32

22:50:26.235    AVAST engine scan C:\Windows\system32\drivers

22:50:35.894    AVAST engine scan C:\Users\<Nutzer>

22:51:23.681    AVAST engine scan C:\ProgramData

22:52:00.384    Scan finished successfully

22:55:23.802    Disk 0 MBR has been saved successfully to "C:\Users\<Nutzer>\Desktop\7_aswMBR\MBR.dat"

22:55:23.806    The log file has been saved successfully to "C:\Users\<Nutzer>\Desktop\7_aswMBR\aswMBR.txt"

Ich hatte zu Beginn des Scans die Seite hier offen - nicht, dass Du Dich über einen seltsamen Eintrag wunderst...

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Cosinus,

Das beruhigt mich schonmal :kaffee: und hier das erste Log:

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.13.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

<Nutzer> :: <Computername> [Administrator]
 

13.03.2012 20:30:50

mbam-log-2012-03-13 (20-30-50).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 388534

Laufzeit: 48 Minute(n), 48 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Hi Cosinus,

Und hier das 2. Log, wobei die Funde wohl eher auf meine aktuell offene Verbindung zum I-Net zurückzuführen sind, oder?

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 03/13/2012 at 11:07 PM
 

Application Version : 5.0.1146
 

Core Rules Database Version : 8331

Trace Rules Database Version: 6143
 

Scan type       : Complete Scan

Total Scan Time : 01:29:52
 

Operating System Information

Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 588

Memory threats detected   : 0

Registry items scanned    : 68743

Registry threats detected : 0

File items scanned        : 178409

File threats detected     : 10
 

Adware.Tracking Cookie

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\VZ38YYEO.txt [ Cookie:<Nutzer>@revsci.net/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\FT3EXZLY.txt [ Cookie:<Nutzer>@zanox-affiliate.de/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\RO9D2577.txt [ Cookie:<Nutzer>@smartadserver.com/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\0XTQFM50.txt [ Cookie:<Nutzer>@adfarm1.adition.com/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\AVVBQWOI.txt [ Cookie:<Nutzer>@zanox.com/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\BBVMIKUP.txt [ Cookie:<Nutzer>@unitymedia.de/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\743GHILT.txt [ Cookie:<Nutzer>@doubleclick.net/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\BQIBVI32.txt [ Cookie:<Nutzer>@tracking.quisma.com/ ]

        C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\3ZJE0DXC.txt [ Cookie:<Nutzer>@adfarm1.adition.com/ ]

        delivery.ibanner.de [ C:\USERS\<Nutzer>\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\A8GWV4WW ]

Danke Dir...

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,

Danke Dir ersteinmal sehr!!! :dankeschoen:

Dafür würde ich Dir gern einen :party:

Probleme, Funde oder andere Auffälligkeiten konnte ich bisher nicht feststellen.
Alle bisher genutzen Programme laufen stabil und sind ausführbar.
Mein DVD-LW habe ich aber noch nicht getestet - sollte ich das zwecks defogger-Einsatz noch tun?
Falls ich sonst noch auf etwas Besonderes achten sollte, dann sag mir, worauf.

Wäre toll, wenn Du zu den zwischenzeitlichen aufgetauchten oder jetzt noch vorhandenen Fragen ein oder zwei Infos für mich hättest.

Was genau hab ich mir da eingefangen?
Das Ding sah aus wie von Windows selbst, ich habe nichts außergewöhnliches mit dem System angestellt und das Ding hat mir alle Services im normalen Modus abgeschossen! Im Grunde bin ich ein sehr sensibler Nutzer, da ich beruflich selbst im IT-Bereich (aber eben nichts mit Betriebsystemen Windows betreffend) unterwegs bin.

Wahrscheinlich ist es die beste Lösung wirklich nur einen Admin-Account und ansonsten nur User-Sandboxes ohne Admin-Rechte im Win 7 einzurichten, oder?
(Das habe ich bei meinem Fest-PC so gemacht)

War es korrekt oder Wurscht, die Sytemüberwachung der Platten (Weiderherstellung) auszuschalten, damit das Ding nicht auch noch archiviert wird?

Die Reihenfolge und Auswahl der Tools zum Überprüfen und bereinigen war doch sicher nicht zufällig gewählt. Hatte das bestimmte Gründe oder welche Tools wären für einen regelmäßigen Check am geeignetsten?

Bist Du beruflich für solche Sachen tätig?

2009 hatte ich bereits ein Problem, bei dem Ihr mir geholfen habt (Chris4You).
Da war HJT noch ein Tool der Wahl - wie bekommt man denn Änderungen bei der Auswahl solcher Softwäre mit? Ich mein, wie entscheidet Ihr, welches Tool geeignet oder eher ungeeignet ist? (TDSS-Killer, OTL,....)

Ich weiß, das ist ganz schön viel Fragerei, würde mich aber tatsächlich interessieren...

Viele Grüße,
Dodger

Zitat:

Mein DVD-LW habe ich aber noch nicht getestet - sollte ich das zwecks defogger-Einsatz noch tun?

defogger hat nur Auswirkungen auf virtuelle optische Laufwerke

Zitat:

Was genau hab ich mir da eingefangen?

Steht doch alles in den Logs
Den üblichen Müll im Javacache, manche Fake-Teile und dieses DVD-Teil => servdvd\codecwin.exe was ich aber selbst nicht richtig einordnen kann

Zitat:

ansonsten nur User-Sandboxes ohne Admin-Rechte im Win 7 einzurichten, oder?

So lautet die gängige Sicherheitspraxis unter JEDEM Betriebssystem. Nur unter Windows ist wohl ständig jeder mit Adminrechten drin :pfeiff:

Zitat:

War es korrekt oder Wurscht, die Sytemüberwachung der Platten (Weiderherstellung) auszuschalten, damit das Ding nicht auch noch archiviert wird?

Kann man machen. Ich schalte die SWH grundsätzlich immer ab. Gesichert werden dann "nur" Bewegungsdaten und ab und zu wird ein Image der Systempartition erstellt. Ich hab keinen vernünftigen Verwendungszweck für die SWH.

Zitat:

Die Reihenfolge und Auswahl der Tools zum Überprüfen und bereinigen war doch sicher nicht zufällig gewählt. Hatte das bestimmte Gründe oder welche Tools wären für einen regelmäßigen Check am geeignetsten?

Ich hab mir die Reihenfolge so angewöhnt, mir erscheint sie sinnvoll. Ich schau erst mit MBAM/ESET nach dem gröbsten Dreck, räume dann weiteren Müll mit OTL auf, dann wird nach (weiteren) Rootkits gesucht und zum Schluss kommen Kontrollscans.
Für den regelmäßigen Check würde ich nur von den hier eingesetzten Tools Malwarebytes empfehlen, von allen anderen als Laie Finger weg. Besonders Finger weg von Combofix, TDSS-Killer und OTL - wenn man nicht weiß was man macht beim Fixen ist das System hinüber.

Zitat:

Bist Du beruflich für solche Sachen tätig?

Ja.

Zitat:

2009 hatte ich bereits ein Problem, bei dem Ihr mir geholfen habt (Chris4You).
Da war HJT noch ein Tool der Wahl - wie bekommt man denn Änderungen bei der Auswahl solcher Softwäre mit? Ich mein, wie entscheidet Ihr, welches Tool geeignet oder eher ungeeignet ist? (TDSS-Killer, OTL,....)

Weil wir uns informieren, mit Mitgliedern/Helfern anderer Support-Foren (auch englischsprachige) kommunizieren und auch tw. Kontakt mit den Urhebern der hier eingesetzten Tools haben.