Trojaner-Board - Starker Verdacht auf Virus/Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Starker Verdacht auf Virus/Trojaner (https://www.trojaner-board.de/114445-starker-verdacht-virus-trojaner.html)

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Bittesehr

Code:

ComboFix 12-05-03.01 - Nico 03.05.2012  19:22:50.1.6 - x86

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3583.2587 [GMT 2:00]

ausgeführt von:: c:\users\Nico\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\cmd.exe

C:\Install.exe

c:\users\Nico\AppData\Local\assembly\tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-04-03 bis 2012-05-03  ))))))))))))))))))))))))))))))

.

.

2069-11-22 14:48 . 2005-11-30 15:06        7254894        ----a-w-        c:\program files\Mozilla Firefox\speed.exe

2069-11-22 14:48 . 2005-11-15 08:56        380928        ----a-r-        c:\program files\Mozilla Firefox\server.dll

2012-05-02 20:55 . 2012-05-02 20:55        --------        d-----w-        C:\_OTL

2012-05-01 22:16 . 2012-04-13 07:36        6734704        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{27B27FBB-AF61-488F-A999-ED4895E4F89C}\mpengine.dll

2012-05-01 16:56 . 2012-05-01 16:56        --------        d-----w-        c:\program files\ESET

2012-04-30 22:54 . 2012-04-30 22:54        --------        d-----w-        c:\users\Nico\AppData\Roaming\QuickScan

2012-04-21 19:12 . 2009-07-14 01:14        301568        ----a-w-        c:\windows\system32\Utilman.exe

2012-04-20 15:27 . 2012-04-20 15:32        --------        d-----w-        c:\program files\Diablo III Beta

2012-04-20 15:25 . 2012-04-20 15:26        --------        d-----w-        c:\programdata\Battle.net

2012-04-11 20:23 . 2012-02-28 01:03        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-04-11 20:19 . 2012-03-01 05:53        19312        ----a-w-        c:\windows\system32\drivers\fs_rec.sys

2012-04-11 20:19 . 2012-03-01 05:40        5120        ----a-w-        c:\windows\system32\wmi.dll

2012-04-11 20:19 . 2012-03-01 05:49        172544        ----a-w-        c:\windows\system32\wintrust.dll

2012-04-11 20:19 . 2012-03-01 05:45        158720        ----a-w-        c:\windows\system32\imagehlp.dll

2012-04-11 20:18 . 2012-03-06 05:59        3958128        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-04-11 20:18 . 2012-03-06 05:59        3902320        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-04-05 20:46 . 2012-04-05 20:46        --------        d-----w-        c:\program files\NVIDIA Corporation

2012-04-05 19:17 . 2012-04-05 19:17        --------        d-----w-        c:\windows\system32\Unleashed

2012-04-05 19:17 . 2012-04-05 19:18        --------        d-----w-        c:\program files\Mass Effect 2

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-04-04 13:56 . 2011-09-09 02:22        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-03-24 22:43 . 2012-03-24 22:43        314880        ----a-w-        c:\windows\system32\fmodex.dll

2012-03-16 13:49 . 2012-03-16 13:49        74752        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe

2012-03-16 13:49 . 2012-03-16 13:49        161792        ----a-w-        c:\windows\system32\msls31.dll

2012-03-16 13:49 . 2012-03-16 13:49        86528        ----a-w-        c:\windows\system32\iesysprep.dll

2012-03-16 13:49 . 2012-03-16 13:49        76800        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe

2012-03-16 13:49 . 2012-03-16 13:49        74752        ----a-w-        c:\windows\system32\iesetup.dll

2012-03-16 13:49 . 2012-03-16 13:49        63488        ----a-w-        c:\windows\system32\tdc.ocx

2012-03-16 13:49 . 2012-03-16 13:49        48640        ----a-w-        c:\windows\system32\mshtmler.dll

2012-03-16 13:49 . 2012-03-16 13:49        420864        ----a-w-        c:\windows\system32\vbscript.dll

2012-03-16 13:49 . 2012-03-16 13:49        367104        ----a-w-        c:\windows\system32\html.iec

2012-03-16 13:49 . 2012-03-16 13:49        35840        ----a-w-        c:\windows\system32\imgutil.dll

2012-03-16 13:49 . 2012-03-16 13:49        23552        ----a-w-        c:\windows\system32\licmgr10.dll

2012-03-16 13:49 . 2012-03-16 13:49        152064        ----a-w-        c:\windows\system32\wextract.exe

2012-03-16 13:49 . 2012-03-16 13:49        150528        ----a-w-        c:\windows\system32\iexpress.exe

2012-03-16 13:49 . 2012-03-16 13:49        142848        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-03-16 13:49 . 2012-03-16 13:49        11776        ----a-w-        c:\windows\system32\mshta.exe

2012-03-16 13:49 . 2012-03-16 13:49        110592        ----a-w-        c:\windows\system32\IEAdvpack.dll

2012-03-16 13:49 . 2012-03-16 13:49        101888        ----a-w-        c:\windows\system32\admparse.dll

2012-03-06 23:15 . 2011-11-18 18:09        41184        ----a-w-        c:\windows\avastSS.scr

2012-03-06 23:15 . 2011-11-18 18:09        201352        ----a-w-        c:\windows\system32\aswBoot.exe

2012-03-06 23:03 . 2011-11-18 18:10        612184        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2012-03-06 23:03 . 2011-11-18 18:10        337880        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2012-03-06 23:02 . 2012-03-25 14:33        44376        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys

2012-03-06 23:01 . 2011-11-18 18:10        53848        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2012-03-06 23:01 . 2011-11-18 18:10        57688        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys

2012-03-06 23:01 . 2011-11-18 18:10        20696        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2012-02-23 08:18 . 2011-06-04 13:13        237072        ------w-        c:\windows\system32\MpSigStub.exe

2012-02-15 05:44 . 2012-03-14 12:52        826368        ----a-w-        c:\windows\system32\rdpcore.dll

2012-02-15 04:22 . 2012-03-14 12:52        177152        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-02-15 04:22 . 2012-03-14 12:52        24064        ----a-w-        c:\windows\system32\drivers\tdtcp.sys

2012-02-10 05:41 . 2012-03-14 12:52        1074176        ----a-w-        c:\windows\system32\DWrite.dll

2012-02-10 05:41 . 2012-03-14 12:52        218624        ----a-w-        c:\windows\system32\d3d10_1core.dll

2012-02-10 05:41 . 2012-03-14 12:52        161792        ----a-w-        c:\windows\system32\d3d10_1.dll

2012-02-10 05:41 . 2012-03-14 12:52        1170944        ----a-w-        c:\windows\system32\d3d10warp.dll

2012-02-10 05:41 . 2012-03-14 12:52        739840        ----a-w-        c:\windows\system32\d2d1.dll

2012-03-20 18:18 . 2011-06-01 17:59        97208        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-06 23:15        123536        ----a-w-        c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2009-12-04 1728512]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^NETGEAR WG111v3 Setup-Assistent.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NETGEAR WG111v3 Setup-Assistent.lnk

backup=c:\windows\pss\NETGEAR WG111v3 Setup-Assistent.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^Users^Nico^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^CurseClientStartup.ccip]

path=c:\users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip

backup=c:\windows\pss\CurseClientStartup.ccip.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2011-06-06 10:55        937920        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]

2011-09-27 06:22        59240        ----a-w-        c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2011-01-20 09:20        1305408        ----a-w-        c:\program files\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]

2012-02-28 16:38        1987976        ----a-w-        c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlusService]

2011-05-26 09:29        800768        ------w-        c:\program files\Yuna Software\Messenger Plus!\PlusService.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2011-10-24 13:28        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]

2011-11-23 13:17        442640        ----a-w-        c:\program files\Sandboxie\SbieCtrl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-06-09 12:06        254696        ----a-w-        c:\program files\Common Files\Java\Java Update\jusched.exe

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 GGSAFERDriver;GGSAFER Driver;c:\program files\Garena\safedrv.sys [x]

R3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;c:\windows\system32\DRIVERS\MijXfilt.sys [2011-11-10 95304]

R3 netr73;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-07-13 545792]

R3 RTL8187B;NETGEAR WG111v3 Wireless-G USB Adapter Win7 Driver;c:\windows\system32\DRIVERS\wg111v3.sys [2009-11-18 376832]

R3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-01-06 583680]

R4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-01-16 218688]

S1 ntiomin;ntiomin; [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 163328]

S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-12-05 291840]

S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys [2011-06-24 39424]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-03-06 57688]

S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2012-02-28 1373576]

S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-08-30 2358656]

S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-12-06 9067008]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-12-06 264192]

S3 athur;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athur.sys [2010-09-16 1559552]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2011-10-17 85520]

S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-11-25 1108480]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 31602299

*Deregistered* - 31602299

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

IE: Free YouTube to MP3 Converter - c:\users\Nico\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\wxoysspe.default\

FF - prefs.js: browser.search.selectedEngine - 

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-FL Studio 9 - c:\program files\Image-Line\FL Studio 9\uninstall.exe

AddRemove-Mass Effect 2 German_is1 - c:\program files\Night\Mass Effect 2\unins000.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-2709026904-2300073761-1837081891-1000\Software\SecuROM\License information*]

"datasecu"=hex:b5,37,cf,3f,42,bc,c8,55,7f,31,b9,25,a0,e3,60,b7,fb,e6,ae,d8,4c,

   49,7c,6b,16,09,bd,93,52,8d,fc,f1,e1,86,eb,7e,b6,dd,5d,9f,ca,ce,2b,04,46,62,\

"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-05-03  19:30:36

ComboFix-quarantined-files.txt  2012-05-03 17:30

.

Vor Suchlauf: 15 Verzeichnis(se), 426.157.719.552 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 426.061.692.928 Bytes frei

.

- - End Of File - - 982D06452941DDB69DF84CF83E956378

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

GMER hat wie beim letzten mal wieder nicht richtig funktioniert (hab dort 8 Anläufe gebraucht bis es geklappt hat), ich habs jetzt einfach weggelassen.

OSAM

Code:

eport of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 19:48:59 on 03.05.2012
 

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit

Default Browser: Mozilla Corporation Firefox 12.0
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"AODDriver4.01" (AODDriver4.01) - "Advanced Micro Devices" - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys

"aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys

"aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys

"aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\System32\Drivers\aswrdr2.sys

"aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys

"aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys

"atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys  (File found, but it contains no detailed information)

"avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys

"catchme" (catchme) - ? - C:\Users\Nico\AppData\Local\Temp\catchme.sys  (File not found)

"GGSAFER Driver" (GGSAFERDriver) - ? - C:\Program Files\Garena\safedrv.sys  (File not found)

"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys

"lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys  (File found, but it contains no detailed information)

"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"ntiomin" (ntiomin) - ? - C:\Windows\system32\drivers\ntiomin.sys

"ntiopnp" (ntiopnp) - ? - C:\Windows\system32\drivers\ntiopnp.sys

"SbieDrv" (SbieDrv) - "SANDBOXIE L.T.D" - C:\Program Files\Sandboxie\SbieDrv.sys
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\Program Files\Windows Live\Messenger\msgrapp.dll

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Messenger\msgrapp.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\ashShell.dll

{872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_30.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab

{C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10t.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

{5D6F45B3-9043-443D-A792-115447494D24} "UnoCtrl Class" - "Microsoft" - C:\Windows\Downloaded Program Files\GAME_UNO1.dll / hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 

[LSA Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----

"Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll
 

[Logon]

-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----

"StartupPrograms" - ? - rdpclip  (File not found)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"avast" - "AVAST Software" - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

"HDAudDeck" - "VIA" - C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r

"StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"AMD FUEL Service" (AMD FUEL Service) - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe

"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

"CPUCooLServer Service" (CPUCooLServer) - ? - C:\Program Files\CPUCooL\CooLSrv.exe  (File not found)

"LogMeIn Hamachi Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe

"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

"PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe  (File found, but it contains no detailed information)

"Sandboxie Service" (SbieSvc) - "SANDBOXIE L.T.D" - C:\Program Files\Sandboxie\SbieSvc.exe

"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe

"TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe

"Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL

"WindowsLive NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

aswMBR:

Code:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software

Run date: 2012-05-03 19:52:00

-----------------------------

19:52:00.366    OS Version: Windows 6.1.7600 

19:52:00.366    Number of processors: 6 586 0xA00

19:52:00.367    ComputerName: NICO-PC  UserName: Nico

19:52:01.263    Initialize success

19:52:01.662    AVAST engine defs: 12050300

19:52:28.754    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000068

19:52:28.760    Disk 0 Vendor: SAMSUNG_ 1AJ1 Size: 953869MB BusType: 3

19:52:28.771    Disk 0 MBR read successfully

19:52:28.779    Disk 0 MBR scan

19:52:28.787    Disk 0 Windows 7 default MBR code

19:52:28.801    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

19:52:28.812    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       953767 MB offset 206848

19:52:28.819    Disk 0 scanning sectors +1953521664

19:52:28.849    Disk 0 scanning C:\Windows\system32\drivers

19:52:37.633    Service scanning

19:52:48.402    Modules scanning

19:52:53.267    Disk 0 trace - called modules:

19:52:53.278    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys 

19:52:53.283    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x867cf030]

19:52:53.287    3 CLASSPNP.SYS[8c99f59e] -> nt!IofCallDriver -> [0x86561dd8]

19:52:53.291    5 ACPI.sys[8c3a43b2] -> nt!IofCallDriver -> \Device\00000068[0x865617d8]

19:52:54.109    AVAST engine scan C:\Windows

19:52:56.617    AVAST engine scan C:\Windows\system32

19:54:18.132    AVAST engine scan C:\Windows\system32\drivers

19:54:24.088    AVAST engine scan C:\Users\Nico

20:04:24.795    AVAST engine scan C:\ProgramData

20:09:36.709    Scan finished successfully

20:23:25.377    Disk 0 MBR has been saved successfully to "C:\Users\Nico\Desktop\MBR.dat"

20:23:25.382    The log file has been saved successfully to "C:\Users\Nico\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hab jetzt beide durchlaufen lassen und beide nichts gefunden.

Darf ich fragen ob ich nun überhaupt infiziert war?

MfG

Ich möchte immer die Logs sehen

SOLLTE sich hier eigentlich um Fehlalarme handeln, da Aion und MTA San Andreas (was ein sehr bekannter Mod für GTA SA ist) eigentlich nur Spiele sind, und bei Vista Anti Lag gehe ich davon aus das du dieses Tool kennst. Kann mich natürlich auch irren mit den Fehlalarmen, hier das Log:

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 05/04/2012 at 12:51 PM
 

Application Version : 5.0.1148
 

Core Rules Database Version : 8554

Trace Rules Database Version: 6366
 

Scan type       : Complete Scan

Total Scan Time : 02:12:02
 

Operating System Information

Windows 7 Home Premium 32-bit (Build 6.01.7600)

UAC On - Limited User
 

Memory items scanned      : 786

Memory threats detected   : 0

Registry items scanned    : 34211

Registry threats detected : 0

File items scanned        : 549929

File threats detected     : 9
 

Trojan.Agent/CDesc[Generic]

        C:\PROGRAM FILES\NCSOFT\AIONEU\BIN32\D3DX9_38.DLL

        C:\PROGRAM FILES\NCSOFT\AIONEU PVP\BIN32\D3DX9_38.DLL

        C:\USERS\NICO\DOWNLOADS\AION\BIN32\D3DX9_38.DLL

        C:\USERS\NICO\DOWNLOADS\BIN32\D3DX9_38.DLL
 

Trojan.Agent/Gen-Keylogger

        C:\PROGRAM FILES\VISTA ANTI-LAG\UNINST.EXE

        C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VISTA ANTI-LAG\UNINSTALL.LNK
 

Trojan.Agent/Gen-Orsam

        C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2010-12-28.EXE

        C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2011-03-29.EXE

        C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2011-05-03.EXE

MBAM:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.04.02
 

Windows 7 x86 NTFS

Internet Explorer 9.0.8112.16421

Nico :: NICO-PC [Administrator]
 

04.05.2012 10:23

mbam-log-2012-05-04 (13-03-36).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 473439

Laufzeit: 1 Stunde(n), 6 Minute(n), 5 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Ja du hast recht das sollten Fehlalarme sein.
Ich seh die Logs wirklich immer gern der Vollständigkeit halber ;)

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Nein , mein PC läuft sogar wieder deutlich schneller!
Vielen vielen Dank für deine Hilfe, das ist jetzt nicht böse gemeint, aber hoffentlich bis niewieder, wenn du verstehst was ich meine :D!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo nochmal, ich glaube mein PC ist noch lange nicht clean. Wie ich darauf komme? Gerade habe ich mich in mein E-Mail Konto eingeloggt und wurde aufgefordert mein Passwort zu ändern und einen Bestätigungscode der mir als SMS zugesandt wurde zu bestätigen. Die begründung war das eine große Anzahl Spam - Emails von meinem Account verschickt wurden. Jedoch habe ich nach der Bereinigung hier mein Passwort geändert (also mein E-Mail Passwort). In den gesendeten Nachrichten sehe ich jedoch, dass diese E-Mails vor etwa 5 Stunden verschickt wurden. Ich ziehe daraus also das immernoch jemand Zugriff auf meine Passwörter hat ... Die E-Mails waren ledeglich mit einem Link bestückt (den ich an dieser Stelle natürlich nicht poste, bzw garnicht darf).
Darum bitte ich dich erneut um Hilfe, Cosinus!

MfG!

Kleiner Edit noch, es sind in den Mails immer verschiedene Links, selbst auf Seiten die von meinem WOT als Grün markiert werden (draufklicken werd ich natürlich trotzdem nicht). Das Ganze verwirrt mich gerade sehr! Wieder infiziert haben kann ich mich jetzt eigentlich nicht, Hand aufs Herz, ich war mit meinem PC in den letzten Tagen nicht auf Schmuddelseiten oder habe irgendwas runtergeladen.

100%ige Gewissheit hast du nach einer Bereinigung natürlich nicht
Was ist aber, wenn das immer noch weiter so geht, auch wenn du alles komplett formatiert und neu installiert hast?
Du loggst dich nur von diesem (jetzt bereinigten) Rechner aus bei deinem Mailkonto an? Oder auch von anderen Rechnern aus?

In der Vergangenheit bestimmt, aber seitdem ich das Passwort geänder hab (also seit 4 Tagen) nur auf meinem PC .. naja und auf meinem Handy. Lassen sich Androids denn schon infizieren?

Hast du das Passwortproblem immer noch?