Trojaner-Board - GVU Trojaner Windows 7 64-Bit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner Windows 7 64-Bit (https://www.trojaner-board.de/121780-gvu-trojaner-windows-7-64-bit.html)

GVU Trojaner Windows 7 64-Bit

Hallo,

seit heute Nachmittag bin ich ebenfalls von dem Trojaner betroffen.

Zu allererst habe ich mit dem Kaspersky windowsunlocker wieder Zugriff auf den Desktop erhalten.
Danach habe ich mit Malwarebytes gescannt. Die Log Datei ist im Anhang.

Ich hoffe ich habe bis jetzt alles richtig gemacht und bin für jede weitere Hilfe dankbar.

:hallo:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.*

%APPDATA%\*AcroIEH*.*

%APPDATA%\*.exe

%APPDATA%\*.tmp

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Danke für die Antwort. Jedoch bleibt OTL immer bei den Firefox settings hängen, selbst nach 15 min geht nichts voran. Ich habe die Anleitung wie oben befolgt.

Versuche es nur so:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

OTL bleibt weiterhin bei den Firefox settings hängen und das Fenster reagiert dann nicht mehr.

Versuche den ersten Scan im abgesicherten Modus zu machen.

Auch im abgesicherten Modus brechen beide scans ab. Kann es an mir liegen? Muss ich noch irgendetwas beachten obwohl ich nach der Anleitung gehe?

Genau das gleiche, auch im abgesicherten Modus. Habe auch nochmal Malwarebytes ausgeführt -> Keine bösartigen Objekte gefunden.

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hier sind die Logs

1) ComboFix.txt

Code:

ComboFix 12-08-10.01 - *** 11.08.2012  19:29:37.1.4 - x64

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.4095.2597 [GMT 2:00]

ausgeführt von:: c:\users\***\Desktop\ComboFix.exe

AV: AVG Internet Security 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}

FW: AVG Firewall *Disabled* {621CC794-9486-F902-D092-0484E8EA828B}

SP: AVG Internet Security 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\***\AppData\Local\assembly\tmp

c:\users\***\AppData\Roaming\msconfig.ini

c:\windows\RazorDOX

c:\windows\RazorDOX\RazorDOX.dll

c:\windows\SysWow64\system

c:\windows\SysWow64\tmp255C.tmp

c:\windows\SysWow64\tmp256C.tmp

c:\windows\SysWow64\tmp853A.tmp

c:\windows\SysWow64\tmp853B.tmp

c:\windows\SysWow64\tmp9E66.tmp

c:\windows\SysWow64\tmp9E67.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-07-11 bis 2012-08-11  ))))))))))))))))))))))))))))))

.

.

2012-08-10 19:06 . 2012-08-10 19:06        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2012-08-10 19:06 . 2012-08-11 15:55        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2012-08-10 19:06 . 2012-08-10 22:51        --------        d-----w-        c:\programdata\Malwarebytes

2012-08-10 19:06 . 2012-07-03 11:46        24904        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-08-06 00:46 . 2012-08-06 00:46        --------        d-----w-        c:\users\***\AppData\Local\FLT

2012-08-04 00:43 . 2012-08-04 00:43        --------        d-----w-        c:\program files (x86)\DVD Decrypter

2012-07-26 16:49 . 2012-07-26 16:49        --------        d-----w-        c:\program files (x86)\MSXML 4.0

2012-07-26 00:19 . 2012-07-26 00:19        --------        d-----w-        c:\users\***\AppData\Roaming\HTC

2012-07-26 00:19 . 2012-07-26 00:19        --------        d-----w-        c:\programdata\HTC

2012-07-26 00:19 . 2012-07-26 00:19        --------        d-----w-        c:\users\***\AppData\Roaming\HTC Sync

2012-07-26 00:19 . 2012-07-26 00:19        --------        d-----w-        c:\users\***\AppData\Local\HTC MediaHub

2012-07-25 12:34 . 2012-07-25 12:34        --------        d-----w-        c:\programdata\Motorola

2012-07-25 12:34 . 2012-07-25 12:34        --------        d-----w-        c:\program files (x86)\Common Files\Nero

2012-07-25 12:34 . 2012-07-25 12:34        --------        d-----w-        c:\program files (x86)\Spirent Communications

2012-07-25 12:34 . 2012-07-25 12:34        --------        d-----w-        c:\program files (x86)\HTC

2012-07-25 12:05 . 2012-07-25 12:05        --------        d-----w-        c:\program files (x86)\PriceGong

2012-07-25 12:05 . 2012-07-25 12:35        --------        d-----w-        c:\users\***\AppData\Roaming\MyPhoneExplorer

2012-07-23 19:49 . 2012-08-04 13:46        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe

2012-07-23 19:49 . 2012-07-23 19:49        76888        ----a-w-        c:\windows\SysWow64\PnkBstrA.exe

2012-07-23 19:48 . 2012-07-23 19:48        --------        d-----w-        c:\program files (x86)\Ubisoft

2012-07-23 19:41 . 2012-07-23 19:41        --------        d-----w-        c:\users\***\AppData\Roaming\Ubisoft

2012-07-18 22:45 . 2012-07-18 22:49        --------        d-----w-        c:\program files (x86)\CueListTool

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-04 13:46 . 2010-09-14 18:53        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr

2012-08-04 13:46 . 2010-09-14 16:42        280904        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0

2012-07-11 21:35 . 2010-08-28 01:02        59701280        ----a-w-        c:\windows\system32\MRT.exe

2012-06-25 10:13 . 2012-05-12 22:53        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll

2012-06-25 10:13 . 2012-05-12 22:53        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll

2012-06-25 10:13 . 2012-05-12 22:53        1236816        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2012-06-22 11:43 . 2012-05-23 15:16        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll

2012-06-22 11:43 . 2012-05-23 15:16        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll

2012-06-21 08:37 . 2012-06-21 08:37        3166792        ------w-        c:\windows\SysWow64\pbsvc.exe

2012-06-17 12:05 . 2012-06-13 11:40        1236816        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll

2012-06-12 03:08 . 2012-07-11 21:39        3148800        ----a-w-        c:\windows\system32\win32k.sys

2012-06-09 05:43 . 2012-07-11 21:01        14172672        ----a-w-        c:\windows\system32\shell32.dll

2012-06-06 06:06 . 2012-07-11 21:01        2004480        ----a-w-        c:\windows\system32\msxml6.dll

2012-06-06 06:06 . 2012-07-11 21:01        1881600        ----a-w-        c:\windows\system32\msxml3.dll

2012-06-06 06:02 . 2012-07-11 21:01        1133568        ----a-w-        c:\windows\system32\cdosys.dll

2012-06-06 05:05 . 2012-07-11 21:01        1390080        ----a-w-        c:\windows\SysWow64\msxml6.dll

2012-06-06 05:05 . 2012-07-11 21:01        1236992        ----a-w-        c:\windows\SysWow64\msxml3.dll

2012-06-06 05:03 . 2012-07-11 21:01        805376        ----a-w-        c:\windows\SysWow64\cdosys.dll

2012-06-05 11:50 . 2012-06-05 11:50        419488        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2012-06-05 11:50 . 2011-05-17 10:58        70304        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-06-02 22:19 . 2012-06-22 15:46        38424        ----a-w-        c:\windows\system32\wups.dll

2012-06-02 22:19 . 2012-06-22 15:46        2428952        ----a-w-        c:\windows\system32\wuaueng.dll

2012-06-02 22:19 . 2012-06-22 15:46        57880        ----a-w-        c:\windows\system32\wuauclt.exe

2012-06-02 22:19 . 2012-06-22 15:46        44056        ----a-w-        c:\windows\system32\wups2.dll

2012-06-02 22:19 . 2012-06-22 15:46        701976        ----a-w-        c:\windows\system32\wuapi.dll

2012-06-02 22:15 . 2012-06-22 15:46        2622464        ----a-w-        c:\windows\system32\wucltux.dll

2012-06-02 22:15 . 2012-06-22 15:46        99840        ----a-w-        c:\windows\system32\wudriver.dll

2012-06-02 13:19 . 2012-06-22 15:46        186752        ----a-w-        c:\windows\system32\wuwebv.dll

2012-06-02 13:15 . 2012-06-22 15:46        36864        ----a-w-        c:\windows\system32\wuapp.exe

2012-06-02 12:49 . 2012-07-11 21:34        17807360        ----a-w-        c:\windows\system32\mshtml.dll

2012-06-02 12:17 . 2012-07-11 21:34        10924032        ----a-w-        c:\windows\system32\ieframe.dll

2012-06-02 12:12 . 2012-07-11 21:34        2311680        ----a-w-        c:\windows\system32\jscript9.dll

2012-06-02 12:05 . 2012-07-11 21:34        1346048        ----a-w-        c:\windows\system32\urlmon.dll

2012-06-02 12:05 . 2012-07-11 21:34        1392128        ----a-w-        c:\windows\system32\wininet.dll

2012-06-02 12:04 . 2012-07-11 21:34        1494528        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-06-02 12:04 . 2012-07-11 21:34        237056        ----a-w-        c:\windows\system32\url.dll

2012-06-02 12:03 . 2012-07-11 21:34        85504        ----a-w-        c:\windows\system32\jsproxy.dll

2012-06-02 12:01 . 2012-07-11 21:34        173056        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-06-02 12:00 . 2012-07-11 21:34        818688        ----a-w-        c:\windows\system32\jscript.dll

2012-06-02 11:59 . 2012-07-11 21:34        2144768        ----a-w-        c:\windows\system32\iertutil.dll

2012-06-02 11:57 . 2012-07-11 21:34        96768        ----a-w-        c:\windows\system32\mshtmled.dll

2012-06-02 11:57 . 2012-07-11 21:34        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-06-02 11:54 . 2012-07-11 21:34        248320        ----a-w-        c:\windows\system32\ieui.dll

2012-06-02 08:33 . 2012-07-11 21:34        1800192        ----a-w-        c:\windows\SysWow64\jscript9.dll

2012-06-02 08:25 . 2012-07-11 21:34        1129472        ----a-w-        c:\windows\SysWow64\wininet.dll

2012-06-02 08:25 . 2012-07-11 21:34        1427968        ----a-w-        c:\windows\SysWow64\inetcpl.cpl

2012-06-02 08:20 . 2012-07-11 21:34        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe

2012-06-02 08:16 . 2012-07-11 21:34        2382848        ----a-w-        c:\windows\SysWow64\mshtml.tlb

2012-06-02 05:50 . 2012-07-11 21:01        458704        ----a-w-        c:\windows\system32\drivers\cng.sys

2012-06-02 05:48 . 2012-07-11 21:01        95600        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2012-06-02 05:48 . 2012-07-11 21:01        151920        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2012-06-02 05:45 . 2012-07-11 21:01        340992        ----a-w-        c:\windows\system32\schannel.dll

2012-06-02 05:44 . 2012-07-11 21:01        307200        ----a-w-        c:\windows\system32\ncrypt.dll

2012-06-02 04:40 . 2012-07-11 21:01        22016        ----a-w-        c:\windows\SysWow64\secur32.dll

2012-06-02 04:40 . 2012-07-11 21:01        225280        ----a-w-        c:\windows\SysWow64\schannel.dll

2012-06-02 04:39 . 2012-07-11 21:01        219136        ----a-w-        c:\windows\SysWow64\ncrypt.dll

2012-06-02 04:34 . 2012-07-11 21:01        96768        ----a-w-        c:\windows\SysWow64\sspicli.dll

2012-05-22 11:51 . 2011-12-15 17:14        1758848        ----a-w-        c:\programdata\Microsoft\VisualStudio\10.0\1031\ResourceCache.dll

2012-07-18 11:17 . 2011-04-30 16:33        136672        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 10:06        163328        --sha-r-        c:\windows\SysWOW64\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\SysWOW64\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\SysWOW64\nbDX.dll

2010-01-06 22:00        107520        --sha-r-        c:\windows\SysWOW64\TAKDSDecoder.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        94208        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2010-11-14 1496528]

"CD Art Display"="c:\program files\CD Art Display\CAD.exe" [2010-08-12 2691072]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"VolPanel"="c:\program files (x86)\Creative\Volume Panel\VolPanlu.exe" [2009-07-07 241789]

"AudioDrvEmulator"="c:\program files (x86)\Creative\Shared Files\Module Loader\DLLML.exe" [2006-11-22 57344]

"RTSS"="c:\program files\RivaTuner v2.24\Tools\RTSS\RTSSWrapper.exe" [2009-08-22 24576]

"AVG_TRAY"="c:\program files (x86)\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]

"TrueImageMonitor.exe"="d:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2010-11-23 5578920]

.

c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dropbox.lnk - c:\users\***\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

Rainmeter.lnk - c:\program files\Rainmeter\Rainmeter.exe [2011-1-2 117248]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

UltraMon.lnk - c:\windows\Installer\{B49673F8-7AB6-4A14-8213-C8A7BE370010}\IcoUltraMon.ico [2010-8-27 29310]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

"EnableLinkedConnections"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0c:\progra~2\AVG\AVG2012\avgrsa.exe /sync /restart

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 KMService;KMService;c:\windows\system32\srvany.exe [x]

R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [2010-07-07 202840]

R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [2010-07-07 1417304]

R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [2010-07-07 94808]

R3 HTCAND64;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-11-02 33736]

R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-25 36928]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-18 113120]

R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-11-05 1255736]

R4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]

R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-11-10 204288]

R4 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2010-08-27 79360]

R4 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2010-08-27 79360]

R4 NLNdisMP;NLNdisMP;c:\windows\system32\DRIVERS\nlndis.sys [x]

R4 NLNdisPT;NetLimiter Ndis Protocol Service;c:\windows\system32\DRIVERS\nlndis.sys [x]

R4 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136]

R4 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]

S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [2011-07-11 26704]

S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [2011-09-13 37456]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-08-27 834544]

S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [2010-11-27 1263200]

S1 Avgfwfd;AVG network filter service;c:\windows\system32\DRIVERS\avgfwd6a.sys [2011-05-23 48992]

S1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [2011-10-07 283728]

S1 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [2011-08-08 46672]

S1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [2011-07-11 375376]

S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2010-10-08 203024]

S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2010-10-08 53968]

S2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe [2010-11-27 3246040]

S2 avgfws;AVG Firewall;c:\program files (x86)\AVG\AVG2012\avgfws.exe [2011-11-23 2391832]

S2 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2012\AVGIDSAgent.exe [2011-10-12 4433248]

S2 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2012\avgwdsvc.exe [2011-08-02 192776]

S2 cpuz134;cpuz134;c:\windows\system32\drivers\cpuz134_x64.sys [2010-07-09 21480]

S2 HTCMonitorService;HTCMonitorService;d:\programme\HTC\HTC Sync Manager\HSMServiceEntry.exe [2012-06-08 87368]

S2 PassThru Service;Internet Pass-Through Service;c:\program files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [2012-04-13 88576]

S2 UltraMonUtility;UltraMon Utility Driver;c:\program files (x86)\Common Files\Realtime Soft\UltraMonMirrorDrv\x64\UltraMonUtility.sys [2008-11-14 20512]

S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2010-11-27 285280]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-11-10 10567680]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-11-10 325632]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-10-17 93712]

S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [2011-07-11 120400]

S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [2011-07-11 29776]

S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [2010-07-07 202840]

S3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [2010-07-07 1417304]

S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [2010-07-07 94808]

S3 RivaTuner64;RivaTuner64;c:\program files\RivaTuner v2.24\RivaTuner64.sys [2010-11-15 19952]

S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2010-10-08 144784]

S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2010-10-08 164304]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-05-20 393728]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

nosGetPlusHelper        REG_MULTI_SZ           nosGetPlusHelper

iissvcs        REG_MULTI_SZ           w3svc was

apphost        REG_MULTI_SZ           apphostsvc

.

Inhalt des "geplante Tasks" Ordners

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        97792        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        97792        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        97792        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12        97792        ----a-w-        c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt64.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RivaTuner"="c:\program files\RivaTuner v2.24\RivaTunerWrapper.exe" [2009-08-22 24576]

"RivaTunerStartupDaemon"="c:\program files\RivaTuner v2.24\RivaTunerWrapper.exe" [2009-08-22 24576]

"Acronis Scheduler2 Service"="c:\program files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-11-23 391240]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-10-07 1744152]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x1

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: In Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000

TCP: Interfaces\{C8593E40-BB0E-4DB5-8654-C9F4566D892F}: NameServer = 192.168.0.2

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\

FF - prefs.js: browser.search.selectedEngine - foxsearch

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: browser.search.selectedEngine - foxsearch

FF - user.js: browser.search.order.1 - foxsearch

FF - user.js: browser.search.defaultenginename - foxsearch

FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: privacy.item.cookies - false

FF - user.js: privacy.sanitize.promptOnSanitize - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Wow6432Node-HKCU-Run-AdobeBridge - (no file)

BHO-{F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - (no file)

AddRemove-0630-0716-3135-7887 - x:\programme\JDownloader 2\Uninstall JDownloader.exe

AddRemove-dBpoweramp Dalet Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp DSP Effects - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp FLAC Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp m4a Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Monkeys Audio Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Mp2 and BwfMp2 codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp mp3 (Fraunhofer IIS) Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Music Converter - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Ogg Vorbis Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Real Audio (Helix) Encoder - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBPoweramp tooLame MP2 codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Wave64 Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp WavPack Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp [Calculate Audio CRC] Codec - c:\windows\system32\SpoonUninstall.exe

AddRemove-InstallShield_{064DC64E-7A2F-4FDF-B598-E3C0747BBB9C} - c:\program files (x86)\InstallShield Installation Information\{064DC64E-7A2F-4FDF-B598-E3C0747BBB9C}\setup.exe

AddRemove-InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE} - c:\program files (x86)\InstallShield Installation Information\{2BF0AE92-C3BC-4112-9066-1546342B1FAE}\setup.exe

AddRemove-InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C} - c:\program files (x86)\InstallShield Installation Information\{3BD633E0-4BF8-4499-9149-88F0767D449C}\setup.exe

AddRemove-InstallShield_{750C87B8-AF19-4C3C-B791-50D9C83AE572} - c:\program files (x86)\InstallShield Installation Information\{750C87B8-AF19-4C3C-B791-50D9C83AE572}\setup.exe

AddRemove-InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8} - c:\program files (x86)\InstallShield Installation Information\{8503C901-85D7-4262-88D2-8D8B2A7B08B8}\setup.exe

AddRemove-InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE} - c:\program files (x86)\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe

AddRemove-InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498} - c:\program files (x86)\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe

AddRemove-InstallShield_{9F01A67B-7D67-482F-9D4F-D5980A440FD4} - c:\program files (x86)\InstallShield Installation Information\{9F01A67B-7D67-482F-9D4F-D5980A440FD4}\setup.exe

AddRemove-InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B} - c:\program files (x86)\InstallShield Installation Information\{AFAE2B15-89A0-4215-A030-F7B5B478886B}\setup.exe

AddRemove-InstallShield_{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E} - c:\program files (x86)\InstallShield Installation Information\{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E}\setup.exe

AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe

AddRemove-{117B6BF6-82C3-420C-B284-9247C8568E53} - c:\program files (x86)\InstallShield Installation Information\{117B6BF6-82C3-420C-B284-9247C8568E53}\Sims3SP03Setup.exe

AddRemove-{45057FCE-5784-48BE-8176-D9D00AF56C3C} - c:\program files (x86)\InstallShield Installation Information\{45057FCE-5784-48BE-8176-D9D00AF56C3C}\Sims3EP03Setup.exe

AddRemove-{52D1D62C-FEAB-4580-849E-1DB624BADBBD} - c:\program files (x86)\InstallShield Installation Information\{52D1D62C-FEAB-4580-849E-1DB624BADBBD}\setup.exe

AddRemove-{6D8DDB4A-C263-40DE-BA16-AFDAD159D59A} - c:\program files (x86)\InstallShield Installation Information\{6D8DDB4A-C263-40DE-BA16-AFDAD159D59A}\setup.exe

AddRemove-{71828142-5A24-4BD0-97E7-976DA08CE6CF} - c:\program files (x86)\InstallShield Installation Information\{71828142-5A24-4BD0-97E7-976DA08CE6CF}\Sims3SP01Setup.exe

AddRemove-{7B11296A-F894-449C-8DF6-6AAAA7D4D118} - c:\program files (x86)\InstallShield Installation Information\{7B11296A-F894-449C-8DF6-6AAAA7D4D118}\Sims3SP04Setup.exe

AddRemove-{89173B88-384A-459B-B687-9C0BBC934EF4} - c:\program files (x86)\InstallShield Installation Information\{89173B88-384A-459B-B687-9C0BBC934EF4}\Sims3CASSetup.exe

AddRemove-{910F4A29-1134-49E0-AD8B-56E4A3152BD1} - c:\program files (x86)\InstallShield Installation Information\{910F4A29-1134-49E0-AD8B-56E4A3152BD1}\Sims3EP02Setup.exe

AddRemove-{BA26FFA5-6D47-47DB-BE56-34C357B5F8CC} - c:\program files (x86)\InstallShield Installation Information\{BA26FFA5-6D47-47DB-BE56-34C357B5F8CC}\Sims3EP01Setup.exe

AddRemove-{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} - c:\program files (x86)\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe

AddRemove-{E2883E8F-472F-4fb0-9522-AC9BF37916A7} - c:\program files (x86)\NOS\bin\getPlus_Helper_3004.dll

AddRemove-{E6B88BD6-E4B2-4701-A648-B6DAC6E491CC} - c:\program files (x86)\InstallShield Installation Information\{E6B88BD6-E4B2-4701-A648-B6DAC6E491CC}\Sims3EP04Setup.exe

AddRemove-{ED436EA8-4145-4703-AE5D-4D09DD24AF5A} - c:\program files (x86)\InstallShield Installation Information\{ED436EA8-4145-4703-AE5D-4D09DD24AF5A}\Sims3SP02Setup.exe

AddRemove-XBMC - t:\xbmc\uninstall.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-2948783028-2622150278-1862687646-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B9D06F6-5928-4DB1-7F9C-6D1606C53CD1}*]

"iajpjllpnbddhgcimf"=hex:6b,61,63,66,67,6a,64,62,61,67,70,66,62,6b,69,6b,6c,64,

   6a,65,70,6c,00,75

"hapolnnjnneeopkj"=hex:6b,61,63,66,67,6a,64,62,61,67,70,66,62,6b,69,6b,6c,64,

   6a,65,70,6c,00,75

.

[HKEY_USERS\S-1-5-21-2948783028-2622150278-1862687646-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9B6BBC7A-FCCA-D1F8-DBED-6CFC23F6304A}*]

"iagepahkjpfdlljjfa"=hex:6b,61,70,67,6b,6f,6b,68,66,6d,6e,66,66,67,6e,67,6f,64,

   63,68,61,62,00,c0

"hamhdnnmiiefjicc"=hex:6b,61,70,67,6b,6f,6b,68,66,6d,6e,66,66,67,6e,67,6f,64,

   63,68,61,62,00,c0

"gadfkhdcooecfc"=hex:61,63,64,68,6a,62,6c,65,62,65,6a,68,6f,70,6e,6a,65,69,62,

   6a,6a,6f,6e,70,6f,64,68,65,6a,70,63,66,6d,6f,6c,6b,63,6e,62,66,69,65,67,66,\

.

[HKEY_USERS\S-1-5-21-2948783028-2622150278-1862687646-1001\Software\SecuROM\License information*]

"datasecu"=hex:d0,6d,2a,90,d9,d1,c5,62,2b,ef,6b,bd,db,87,c6,f5,d6,89,3d,d4,b9,

   9f,65,87,d5,20,18,b0,77,4b,29,21,e5,80,71,ed,63,c8,f5,17,77,d2,61,cd,ef,1f,\

"rkeysecu"=hex:f0,5a,e9,48,b9,a7,47,9d,ab,3c,8b,09,00,b8,e7,c6

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10i.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Creative\Shared Files\CTAudSvc.exe

c:\windows\SysWOW64\PnkBstrA.exe

c:\program files\RivaTuner v2.24\RivaTuner.exe

c:\windows\SysWOW64\CTXFISPI.EXE

c:\program files\RivaTuner v2.24\Tools\RTSS\RTSS.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-08-11  19:36:32 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-08-11 17:36

.

Vor Suchlauf: 6.632.968.192 Bytes frei

Nach Suchlauf: 6.412.918.784 Bytes frei

.

- - End Of File - - 2AA2E6F87261FAE16999248878CE052C

2) Add-Remove Programs.txt

Code:

«Hitman. Sniper Challenge»

AC3Filter 1.63b

Acronis*True*Image*Home 2011

Activision(R)

Adobe Acrobat 9 Pro Extended - English, Français, Deutsch

Adobe AIR

Adobe Community Help

Adobe Creative Suite 6 Master Collection

Adobe Download Manager

Adobe Flash Player 10 ActiveX

Adobe Reader X (10.1.2) - Deutsch

Adobe Shockwave Player 11.6

AIDA64 Extreme Edition v1.20

Angry Birds Rio

Apple Application Support

Apple Software Update

Application Profiles

ASCII Art Studio

Assassin's Creed Brotherhood

Assassin's Creed Revelations

ATI Catalyst Registration

Audacity 1.3.13 (Unicode)

AutoHotkey 1.1.05.05

Battlefield 3

Battlefield 3™

Battlefield: Bad Company™ 2

Battlelog Web Plugins

BioShock 2 Special Edition

Call of Duty(R) - World at War(TM) 1.1 Patch

Call of Duty(R) - World at War(TM) 1.2 Patch

Call of Duty(R) - World at War(TM) 1.4 Patch

Call of Duty(R) - World at War(TM) 1.5 Patch

Call of Duty(R) - World at War(TM) 1.6 Patch

Call of Duty(R) - World at War(TM) 1.7 Patch

Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch

Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch

Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch

Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch

Call of Duty: Black Ops

Catalyst Control Center

Catalyst Control Center - Branding

Catalyst Control Center Graphics Previews Common

Catalyst Control Center InstallProxy

CCC Help English

CD Art Display 3.0.1472 Beta

Counter-Strike: Source

Crysis® 2

Day of Defeat: Source

dBpoweramp [Calculate Audio CRC] Codec

dBpoweramp Dalet Codec

dBpoweramp DSP Effects

dBpoweramp FLAC Codec

dBpoweramp m4a Codec

dBpoweramp Monkeys Audio Codec

dBpoweramp Mp2 and BwfMp2 codec

dBpoweramp mp3 (Fraunhofer IIS) Codec

dBpoweramp Music Converter

dBpoweramp Ogg Vorbis Codec

dBpoweramp Real Audio (Helix) Encoder

dBPoweramp tooLame MP2 codec

dBpoweramp Wave64 Codec

dBpoweramp WavPack Codec

Dead Space™ 2

Die Sims™ 3

Die Sims™ 3 Design-Garten-Accessoires

Die Sims™ 3 Gib Gas-Accessoires

Die Sims™ 3 Late Night

Die Sims™ 3 Lebensfreude

Die Sims™ 3 Luxus-Accessoires

Die Sims™ 3 Reiseabenteuer

Die Sims™ 3 Stadt-Accessoires

Die Sims™ 3 Traumkarrieren

Die*Sims™*3 Erstelle einen Sim

DiRT 3

DiRT2

Dropbox

DVD Decrypter (Remove Only)

eReg

erLT

ESN Sonar

ffdshow [rev 3154] [2009-12-09]

Fraps (remove only)

Garrys Mod Final [DiGiTALZONE] 2010 Edition

GeoGebra

GTA San Andreas

GTR Evolution

Haali Media Splitter

HD Tune Pro 4.60

Hex-Editor MX

Hitman Blood Money

Homefront

hppscan3390

HTC Driver Installer

HTC Sync Manager

HydraVision

ImgBurn

Intel® Solid-State Drive Toolbox

Java Auto Updater

Java(TM) 6 Update 32

JDownloader 2

KMPlayer

Lautstärkefenster

Malwarebytes Anti-Malware Version 1.62.0.1300

Marvell Miniport Driver

Mass Effect™ 3

Max Payne 3

Media Add-ons für Acronis True Image Home 2011

Medieval CUE Splitter

Microsoft .NET Framework 4 Multi-Targeting Pack

Microsoft Application Error Reporting

Microsoft Games for Windows - LIVE Redistributable

Microsoft Games for Windows Marketplace

Microsoft SQL Server 2008 R2-Datenebenenanwendungs-Framework

Microsoft SQL Server 2008 R2 Data-Tier Application Project

Microsoft SQL Server 2008 R2 Management Objects

Microsoft SQL Server 2008 R2 Transact-SQL Language Service

Microsoft SQL Server Compact 3.5 SP2 DEU

Microsoft SQL Server Database Publishing Wizard 1.4

Microsoft SQL Server System CLR Types

Microsoft Sync Framework SDK v1.0 SP1 de

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Microsoft Visual C++ 2010  x86 Runtime - 10.0.30319

Microsoft WSE 3.0 Runtime

Microsoft_VC80_ATL_x86

Microsoft_VC80_CRT_x86

Microsoft_VC80_MFC_x86

Microsoft_VC80_MFCLOC_x86

Microsoft_VC90_ATL_x86

Microsoft_VC90_CRT_x86

Microsoft_VC90_MFC_x86

MKVtoolnix 4.4.0

Mozilla Firefox 14.0.1 (x86 de)

Mozilla Maintenance Service

Mp3tag v2.46a

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

MyPhoneExplorer

Need for Speed(TM) Hot Pursuit

Need for Speed™ SHIFT

NVIDIA PhysX

OpenAL

Origin

Payday The Heist (c) OVERKILL Software version 1

PDF Settings CS6

Plus Pack für Acronis True Image Home 2011

Portal 2

PriceGong 2.6.5

PunkBuster Services

QuickTime

Rainmeter

Rapture3D 2.4.8 Game

RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition

Rockstar Games Social Club

Rosetta Stone Version 3

Saints Row The Third

Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)

Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)

Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)

Security Update for Microsoft .NET Framework 4 Extended (KB2416472)

Security Update for Microsoft .NET Framework 4 Extended (KB2487367)

Security Update for Microsoft .NET Framework 4 Extended (KB2656351)

SHIFT 2 UNLEASHED™

Sniper Elite V2

Sound Blaster X-Fi

Spec Ops The Line

SpeedFan (remove only)

Spybot - Search & Destroy

SSH Secure Shell

Steam

SUPER © v2011.build.49 (July 1st, 2011) Version v2011.build.49

swMSM

Team Fortress 2

TeamSpeak 3 Client

Tom Clancy's Ghost Recon Future Soldier

Tom Clancy's Splinter Cell Conviction

Trillian

TrueCrypt

Ubisoft Game Launcher

UltraVnc

Update for Microsoft .NET Framework 4 Client Profile (KB2468871)

Update for Microsoft .NET Framework 4 Client Profile (KB2473228)

Update for Microsoft .NET Framework 4 Client Profile (KB2533523)

Update for Microsoft .NET Framework 4 Client Profile (KB2600217)

Update for Microsoft .NET Framework 4 Extended (KB2468871)

Update for Microsoft .NET Framework 4 Extended (KB2533523)

Update for Microsoft .NET Framework 4 Extended (KB2600217)

VC80CRTRedist - 8.0.50727.6195

Visual C++ 2008 Runtime (x64)

Visual C++ 8.0 Runtime Setup Package (x64)

VLC media player 1.1.4

VobSub v2.23 (Remove Only)

XBMC

Neustarten!

dann:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.*

%APPDATA%\*AcroIEH*.*

%APPDATA%\*.exe

%APPDATA%\*.tmp

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL bleibt immer noch bei den Firefox settings hängen und reagiert nicht mehr. Die Prozessorauslastung bleibt bei ca. 45%.

Gut, versuchen wir es so rum.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

1) Malwarebytes Log

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.11.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: *** [Administrator]
 

11.08.2012 20:14:59

mbam-log-2012-08-11 (20-14-59).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 1091789

Laufzeit: 1 Stunde(n), 27 Minute(n), 29 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

D:\Spiele\Steam\steamapps\***\Left 4 Dead\left4dead\addons\Name_Enabler.dll (Malware.UPX.Mod) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

2) AdwCleaner[R1].txt

Code:

# AdwCleaner v1.800 - Logfile created 08/11/2012 at 21:46:08

# Updated 01/08/2012 by Xplode

# Operating system : Windows 7 Professional Service Pack 1 (64 bits)

# User : *** - ***

# Running from : C:\Users\***\Desktop\adwcleaner.exe

# Option [Search]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Found : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}

Folder Found : C:\ProgramData\Trymedia

Folder Found : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong

Folder Found : C:\Program Files (x86)\PriceGong
 

***** [Registry] *****
 

Key Found : HKCU\Software\AppDataLow\Software\PriceGong

Key Found : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL

Key Found : HKLM\SOFTWARE\DT Soft

Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong

[x64] Key Found : HKCU\Software\AppDataLow\Software\PriceGong

[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
 

***** [Registre - GUID] *****
 

Key Found : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}

[x64] Key Found : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}

[x64] Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}

[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Registry is clean.
 

-\\ Mozilla Firefox v14.0.1 (de)
 

Profile name : default [Profil par défaut]

File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\prefs.js
 

Found : user_pref("extensions.addonfox.addit.remoteInstallItems", "{ \"software\": {\"31\": {\"id\": \"31\",[...]

Found : user_pref("extensions.facemoods.aflt", "_#ddr");

Found : user_pref("extensions.facemoods.firstRun", false);

Found : user_pref("extensions.facemoods.lastActv", "18");

Found : user_pref("extensions.mmsearch.mmsearch-freesearchengines", "4050f_vWeb Search Pro - Search Enginesf[...]

Found : user_pref("extensions.tweaktube.addit.remoteInstallItems", "{ \"software\": {\"78\": {\"id\": \"78\"[...]

Found : user_pref("greasemonkey.scriptvals.hxxp://swdyh.yu.to//AutoPagerize.cacheInfo", "{\"hxxp://wedata.ne[...]

Found : user_pref("surfcanyon.added_to_searchbar", true);

Found : user_pref("surfcanyon.coupons_enabled", true);

Found : user_pref("surfcanyon.daily_code", "scIsOnSearchEngineDomain = function() {\nreturn contains(scCurre[...]

Found : user_pref("surfcanyon.daily_code_timestamp", "1304182721461");

Found : user_pref("surfcanyon.display_similar_product_images", true);

Found : user_pref("surfcanyon.hourly_code", "scGetDocument = function() {\nreturn scIsFF ? content.document [...]

Found : user_pref("surfcanyon.hourly_code2", "scEnableGoogle_hourly = function() {\nvar args = window.locati[...]

Found : user_pref("surfcanyon.hourly_code_timestamp", "1304182716672");

Found : user_pref("surfcanyon.inst_id", "59565356304425677996495918487231");

Found : user_pref("surfcanyon.inst_timestamp", "1304182698744");

Found : user_pref("surfcanyon.last_seen_splash", "330");

Found : user_pref("surfcanyon.partner_code", "AFA");

Found : user_pref("surfcanyon.price_trace_enabled", true);
 

*************************
 

AdwCleaner[R1].txt - [3612 octets] - [11/08/2012 21:46:08]
 

########## EOF - C:\AdwCleaner[R1].txt - [3740 octets] ##########

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

1) AdwCleaner[S1].txt

Code:

# AdwCleaner v1.800 - Logfile created 08/12/2012 at 12:38:48

# Updated 01/08/2012 by Xplode

# Operating system : Windows 7 Professional Service Pack 1 (64 bits)

# User : *** - ***

# Running from : C:\Users\***\Desktop\adwcleaner.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Deleted : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}

Folder Deleted : C:\ProgramData\Trymedia

Folder Deleted : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong

Folder Deleted : C:\Program Files (x86)\PriceGong
 

***** [Registry] *****
 

Key Deleted : HKCU\Software\AppDataLow\Software\PriceGong

Key Deleted : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL

Key Deleted : HKLM\SOFTWARE\DT Soft

Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
 

***** [Registre - GUID] *****
 

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}

[x64] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Registry is clean.
 

-\\ Mozilla Firefox v14.0.1 (de)
 

Profile name : default [Profil par défaut]

File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\prefs.js
 

C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\k4u4cv4s.default\user.js ... Deleted !
 

Deleted : user_pref("extensions.addonfox.addit.remoteInstallItems", "{ \"software\": {\"31\": {\"id\": \"31\",[...]

Deleted : user_pref("extensions.facemoods.aflt", "_#ddr");

Deleted : user_pref("extensions.facemoods.firstRun", false);

Deleted : user_pref("extensions.facemoods.lastActv", "18");

Deleted : user_pref("extensions.mmsearch.mmsearch-freesearchengines", "4050f_vWeb Search Pro - Search Enginesf[...]

Deleted : user_pref("extensions.tweaktube.addit.remoteInstallItems", "{ \"software\": {\"78\": {\"id\": \"78\"[...]

Deleted : user_pref("greasemonkey.scriptvals.hxxp://swdyh.yu.to//AutoPagerize.cacheInfo", "{\"hxxp://wedata.ne[...]

Deleted : user_pref("surfcanyon.added_to_searchbar", true);

Deleted : user_pref("surfcanyon.coupons_enabled", true);

Deleted : user_pref("surfcanyon.daily_code", "scIsOnSearchEngineDomain = function() {\nreturn contains(scCurre[...]

Deleted : user_pref("surfcanyon.daily_code_timestamp", "1304182721461");

Deleted : user_pref("surfcanyon.display_similar_product_images", true);

Deleted : user_pref("surfcanyon.hourly_code", "scGetDocument = function() {\nreturn scIsFF ? content.document [...]

Deleted : user_pref("surfcanyon.hourly_code2", "scEnableGoogle_hourly = function() {\nvar args = window.locati[...]

Deleted : user_pref("surfcanyon.hourly_code_timestamp", "1304182716672");

Deleted : user_pref("surfcanyon.inst_id", "59565356304425677996495918487231");

Deleted : user_pref("surfcanyon.inst_timestamp", "1304182698744");

Deleted : user_pref("surfcanyon.last_seen_splash", "330");

Deleted : user_pref("surfcanyon.partner_code", "AFA");

Deleted : user_pref("surfcanyon.price_trace_enabled", true);
 

*************************
 

AdwCleaner[R1].txt - [3721 octets] - [11/08/2012 21:46:08]

AdwCleaner[S1].txt - [3499 octets] - [12/08/2012 12:38:48]
 

########## EOF - C:\AdwCleaner[S1].txt - [3627 octets] ##########

2) Emsisoft Anti-Malware

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 12.08.2012 13:16:33
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        12.08.2012 13:16:39
 

Value: hkey_current_user\software\ascii art studio --> install folder         gefunden: Trace.Registry.ascii art studio!E1

Value: hkey_current_user\software\ascii art studio --> start menu folder         gefunden: Trace.Registry.ascii art studio!E1

Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ascii art studio --> displayname         gefunden: Trace.Registry.ascii art studio!E1

Value: hkey_local_machine\software\microsoft\windows\currentversion\uninstall\ascii art studio --> uninstallstring         gefunden: Trace.Registry.ascii art studio!E1

C:\Spiele\Rovio\Angry Birds Rio\Patch.exe         gefunden: possible-Threat.Patch.AngryBirds!E2

D:\Spiele\Rockstar Games\Max Payne 3\MaxPayne3.exe         gefunden: Trojan.Crypt!E2

D:\Spiele\Electronic Arts\Battlefield Bad Company 2\Process.exe         gefunden: Riskware.Win32.PrcView!E1

D:\Programme\Rosetta Stone\Rosetta Stone Version 3\Sprachen\data\ab\2\ab29ee29a2e30dea84ecb9fa45eab4f4e19158b0         gefunden: Exploit.MS04.CVE-2004-0210-2007-0071!E2

D:\Programme\Rosetta Stone\Rosetta Stone Version 3\Sprachen\data\73\0\7303b1b2daf537895765d18713aecf0c515bb3a0         gefunden: Exploit.SWF.Shellcode!E2
 

Gescannt        1327193

Gefunden        9
 

Scan Ende:        12.08.2012 14:46:19

Scan Zeit:        1:29:40

Sehr gut! :daumenhoc

Lasse die Funde loeschen, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier das Log

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b00dd21800d1e0419de28c7d34eac9d9

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-08-12 03:38:24

# local_time=2012-08-12 05:38:24 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1024 16777215 100 0 21169246 21169246 0 0

# compatibility_mode=5893 16776574 100 94 40613178 96408299 0 0

# compatibility_mode=8192 67108863 100 0 204 204 0 0

# scanned=886351

# found=4

# cleaned=4

# scan_time=7467

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\7f98637e-67827fb0        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C

D:\Spiele\Rockstar Games\Max Payne 3\gsrld.dll        a variant of Win32/Packed.VMProtect.AAH trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

D:\Spiele\THQ\Homefront\Binaries\HOMEFRONT.exe        a variant of Win32/Packed.NoobyProtect.D application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

D:\Spiele\Ubisoft\Tom Clancy's Splinter Cell Conviction\src\system\ubiorbitapi_r2.dll        a variant of Win32/Packed.VMProtect.AAA trojan (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Code:



    Firefox 14.0.1 ist aktuell
 

    Flash 11,2,202,235 ist veraltet!

    Aktualisieren Sie bitte auf die neueste Version!
 

    Java (1,7,0,5) ist aktuell.
 

    Adobe Reader 10,1,2,45 ist veraltet!

    Aktualisieren Sie bitte auf die neueste Version: 10,1,3

Kontrollscan:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Hier der Log :)

Edit: Gerade bemerkt das ich das Update vergessen habe. Werde den neuen Scan nachreichen.

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.11.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: *** [Administrator]
 

12.08.2012 20:37:17

mbam-log-2012-08-12 (20-37-17).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 1090725

Laufzeit: 1 Stunde(n), 40 Minute(n), 30 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.12.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: *** [Administrator]
 

12.08.2012 22:22:38

mbam-log-2012-08-12 (22-22-38).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 1090997

Laufzeit: 1 Stunde(n), 39 Minute(n), 49 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen

=> dort reinschreiben

ComboFix /Uninstall => Enter drücken

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?

Vielen, Vielen Dank für deine Hilfe! :)