Trojaner-Board - Win7 Ukash Bundespolizei kein Zugriff mehr im normalen Modus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win7 Ukash Bundespolizei kein Zugriff mehr im normalen Modus (https://www.trojaner-board.de/127367-win7-ukash-bundespolizei-kein-zugriff-mehr-normalen-modus.html)

Win7 Ukash Bundespolizei kein Zugriff mehr im normalen Modus

Hallo,
ich brauche unbedingt Eure Hilfe. Ich habe mir gestern während einer Surfsession den Ukash-virus eingefangen:headbang:. Bei Neustart fährt zwar Win7 ordentlich hoch, Jedoch ploppt kurz nachdem der Desktop erscheint gleich wieder das Bild der "Bundespolizei" ins Bild.

Habe dann den Rechner im abgesicherten Modus gestartet und er läuft soweit. Keine "Ukash-Meldung" mehr. Habe bereits Malwarebytes Anti-Malware installiert und einen kompletten Scan laufen lassen.

Da ich allerdings keine Internetverbindung im abgesicherten Modus habe kann ich kein Update machen. Bin ich im abgesicherten Modus bezüglich Internet auf dem Holzweg? Habe bereits gegoogelt, konnte jedoch keinen Gegenbeweis finden. :confused:

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Schritt 1:
Boot abgesichert mit Netzwerk, wenn möglich - Anmeldung ins infizierte Konto

Schritt 2:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Starte bitte die OTL.exe.

Stelle folgendes ein:
Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"

Ausgabe: Minimal

Benutze SafeList in jedem Feld.

Haken bei "Benutze Hersteller-Whitelist"

Dateien erstellt und verändert innerhalb Datei-Alter

Haken bei LOP Prüfung und Purity Prüfung

Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex netsvcs msconfig drivers32 safebootminimal safebootnetwork %SYSTEMDRIVE%\*. %SYSTEMDRIVE%\*.* %PROGRAMFILES%\*.* %PROGRAMFILES(X86)%\*.* %appdata%\*. %appdata%\*.* %localappdata%\*. %localappdata%\*.* %allusersprofile%\*. %allusersprofile%\*.* CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)

Klicke nun bitte auf den Scan Button.

Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

Hallo,
vielen Dank für die schnelle Antwort erstmal:daumenhoc. Leider bring ich weder mit WLAN noch mit LAN eine Internetverbindung im abgesicherten Modus mit Netzwerktreiber zustande.

Ich schreibe dir, wie du sicher gemerkt hast, von einem Zweitrechner aus. Ich habe über diesen bereits die Malwarebytes-Software auf den infizierten Rechner per USB-Stick rübergezogen und installiert.

Kann ich diesen Stick jetzt ohne Bedenkungen nochmals verwenden oder könnte er auch infiziert sein?

Ja kannst du normal verwenden.

Aber mache dann bitte alternativ folgendes:
Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Drücke nun auf Scan.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Ist das so in Ordnung? Kam nachdem ich die srep.exe runtergeladen habe.

Avira Antivir bringt diesen Virushinweis:
"In der Datei C:\Users\Roswitha\AppData\Local\...\srep[1].exe wurde ein Virus oder unerwünschtes Programm TR/Crypt.ULPM.Gen gefunden.
Der Zugriff auf diese Datei wurde verweigert. Bitte wählen Sie die weitere Aktion - Entfernen oder Details. Hab das Fensterchen geschlossen.

Mehr kaputt als zuvor?:confused:

Avira hat keine Ahnung. Bitte durchführen :)

srep.exe ausgeführt. Computer wurde anschließend neu gestartet. Fehler bleibt jedoch bestehen. Hier der Inhalt der shell.txt

PHP-Code:

   WIN_7 X64 

Running from G:\

 
HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]

.

.

.

HKCU\..\Winlogon; Shell not found

.

 
 
[System Process]

System

smss.exe

csrss.exe

csrss.exe

wininit.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

cmd.exe

conhost.exe

ctfmon.exe

srep.exe

WmiPrvSE.exe

 
 
HKLM\..\Run [JMB36X IDE Setup] = C:\Windows\RaidTool\xInsIDE.exe

HKLM\..\Run [HDAudDeck] = C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r

HKLM\..\Run [AVMWlanClient] = C:\Program Files (x86)\avmwlanstick\wlangui.exe

HKLM\..\Run [QuickTime Task] = "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

HKLM\..\Run [iTunesHelper] = "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

HKLM\..\Run [AdobeCS4ServiceManager] = "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

HKLM\..\Run [] = 

HKLM\..\Run [ApnUpdater] = "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"

HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

HKLM\..\Run [SAOB Monitor] = C:\Program Files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe

HKLM\..\Run [TrueImageMonitor.exe] = "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"

HKLM\..\Run [avgnt] = "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min

 
HKCU\..\Run [Steam] = "C:\Program Files (x86)\Steam\Steam.exe" -silent

HKCU\..\Run [AnyDVD] = C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe

HKCU\..\Run [DVDFab Passkey] = "C:\Program Files (x86)\DVDFab Passkey\DVDFabPasskey.exe"

HKCU\..\Run [AdobeBridge] = 

HKCU\..\Run [wonlg] = rundll32.exe "C:\Users\Admin\AppData\Local\Temp\wonlg.dll",FilterTexture

HKCU\..\Run [Gabest] = C:\Users\Admin\AppData\Roaming\F525BC.exe

HKCU\..\Run [TabbtnEx] = C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe

 
HKU\.DEFAULT\..\Winlogon; Shell = 

HKU\S-1-5-19\..\Winlogon; Shell = 

HKU\S-1-5-20\..\Winlogon; Shell = 

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Winlogon; Shell = 

HKU\S-1-5-21-3423572730-1032731840-91795001-1000_Classes\..\Winlogon; Shell = 

HKU\S-1-5-18\..\Winlogon; Shell = 

 
HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [Steam] = "C:\Program Files (x86)\Steam\Steam.exe" -silent

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [AnyDVD] = C:\Program Files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [DVDFab Passkey] = "C:\Program Files (x86)\DVDFab Passkey\DVDFabPasskey.exe"

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [AdobeBridge] = 

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [wonlg] = rundll32.exe "C:\Users\Admin\AppData\Local\Temp\wonlg.dll",FilterTexture

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [Gabest] = C:\Users\Admin\AppData\Roaming\F525BC.exe

HKU\S-1-5-21-3423572730-1032731840-91795001-1000\..\Run [TabbtnEx] = C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe

 
 
[b]x64[/b]

HKLMx64\..\Winlogon; Shell = explorer.exe [ 2870272- ]

No action taken

HKCUx6464\..\Winlogon; Shell = 

No action taken

HKLMx64\..\Winlogon, Shell = explorer.exe

HKCUx64\..\Winlogon, Shell = 

 
==== FINISH 23.11-15.46 ====

Fix mit SREP

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Users\Admin\AppData\Local\Temp\wonlg.dll

C:\Users\Admin\AppData\Roaming\F525BC.exe 

C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe

und speichere es als fix.txt im selben Verzeichnis wie die srep.exe

Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

Gib bitte folgenden Befehl ein
X:\srep.exe
Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.
Wir sind dann aber noch nicht fertig!

Rechner fährt normal hoch keine "Bundespolizei" oder sonst etwas Auffälliges zu sehen:rolleyes:.

Sehr schön, dann bitte:

Schritt 1:
Adware entfernen mit JRT

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
http://imageshack.us/a/img841/7292/thisisujrt.gif
Bitte lade Junkware Removal Tool auf Deinen Desktop.

Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
Das Tool wird sich öffnen und mit dem Scan beginnen.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 2:
Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3:
Liste der installierten Programme (Combofix)

Bitte suche und poste mir die folgende Datei:
c:\Qoobox\Add-Remove Programs.txt

Hier das JRT Logfile. Beim Starten von Combofix kommt die Meldung das Avira für spyware und antivirus noch aktiv ist und das es dadurch zu Schäden kommen kann. Ich habe im Aviracenter den Echtzeitscanner auf Aus gestellt. Nen Regenschirm, wie üblich, habe ich in meiner Taskleiste auch nicht finden können. Passt das so oder fehlt was?

PHP-Code:

   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 3.4.8 (11.22.2012)

OS: Windows 7 Ultimate x64

Ran by Admin on 23.11.2012 at 17:18:24,72

Blog: hxxp://thisisudax.blogspot.com

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 
 
 
 
~~~ Services

 
 
 
~~~ Registry Values

 
Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\windows\currentversion\run\\ApnUpdater

Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\toolbar\webbrowser\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} 

Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} 

Successfully deleted: [Registry Value] hkey_current_user\software\microsoft\internet explorer\urlsearchhooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} 

Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\urlsearchhooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} 

Suspicious HKCU\..\Run entries found. Trojan:JS/Medfos.B?

 
   Val Name      Type   Value Data

   ========      ====   ==========

    wonlg    REG_SZ    rundll32.exe "C:\Users\Admin\AppData\Local\Temp\wonlg.dll",FilterTexture

 
 
 
 
~~~ Registry Keys

 
Successfully deleted: [Registry Key] "hkey_current_user\software\appdatalow\software\conduit"

Successfully deleted: [Registry Key] "hkey_current_user\software\appdatalow\software\conduitengine"

Successfully deleted: [Registry Key] "hkey_current_user\software\appdatalow\software\pricegong"

Successfully deleted: [Registry Key] "hkey_current_user\software\appdatalow\toolbar"

Successfully deleted: [Registry Key] "hkey_local_machine\software\conduit"

Successfully deleted: [Registry Key] hkey_classes_root\clsid\{3c471948-f874-49f5-b338-4f214a2ee0b1}

Successfully deleted: [Registry Key] hkey_classes_root\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

 
 
 
~~~ Files

 
 
 
~~~ Folders

 
Successfully deleted: [Folder] "C:\ProgramData\boost_interprocess"

Successfully deleted: [Folder] "C:\Users\Admin\AppData\Roaming\dvdvideosoft"

Successfully deleted: [Folder] "C:\Users\Admin\AppData\Roaming\dvdvideosoftiehelpers"

Successfully deleted: [Folder] "C:\Program Files (x86)\Common Files\dvdvideosoft"

Successfully deleted: [Folder] "C:\Users\Admin\appdata\locallow\conduit"

Successfully deleted: [Folder] "C:\Users\Admin\appdata\locallow\conduitengine"

Successfully deleted: [Folder] "C:\Users\Admin\appdata\locallow\dvdvideosofttb"

Successfully deleted: [Folder] "C:\Users\Admin\appdata\locallow\pricegong"

Successfully deleted: [Folder] "C:\Program Files (x86)\conduit"

Successfully deleted: [Folder] "C:\Program Files (x86)\conduitengine"

Successfully deleted: [Folder] "C:\Program Files (x86)\dvdvideosoft"

Successfully deleted: [Folder] "C:\Program Files (x86)\dvdvideosofttb"

 
 
 
~~~ Event Viewer Logs were cleared

 
 
 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 23.11.2012 at 17:21:05,19

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Muss ich außerdem bei Malwarebytes etwas beachten? Konnte hier keinen Button für nen Echtzeitscanner, welcher automatisch im Hintergrund sucht, finden. Sorry wegen der Umstände aber ich hab hiermit keinerleit Erfahrung.

Bitte CODE und keine PHP tags bentuzten!
Wenn Avira aus ist, dann ist es auch aus. Bitte dann mit Combofix weitermachen wie beschrieben.

Hier die Logfile von Combofix. Es kann nach Hochfahren des PC's die Meldung wegen Aktivieren des kikin-plugins. War leider zu schnell und hab die Meldung geschlossen. Macht das was?

Code:

ComboFix 12-11-23.02 - Admin 23.11.2012  18:43:51.1.4 - x64

Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.8183.6495 [GMT 1:00]

ausgeführt von:: c:\users\Admin\Desktop\ComboFix.exe

AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files (x86)\kikin

c:\program files (x86)\kikin\default_settings.xml

c:\program files (x86)\kikin\file_list.txt

c:\program files (x86)\kikin\ie_kikin.dll

c:\program files (x86)\kikin\KikinBroker.exe

c:\program files (x86)\kikin\KikinCrashReporter.exe

c:\program files (x86)\kikin\uninst.exe

c:\users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe

c:\users\Admin\AppData\Roaming\kikin

c:\users\Admin\AppData\Roaming\kikin\ie_configuration.xml

c:\users\Admin\AppData\Roaming\kikin\ie_kkes.xml

c:\users\Admin\AppData\Roaming\kikin\ie_settings.xml

c:\users\Admin\AppData\Roaming\kikin\kikin_updater_2.9.1.exe

c:\windows\7Loader.TAG

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-10-23 bis 2012-11-23  ))))))))))))))))))))))))))))))

.

.

2012-11-23 16:18 . 2012-11-23 16:18        --------        d-----w-        c:\windows\ERUNT

2012-11-23 16:17 . 2012-11-23 16:17        --------        d-----w-        C:\JRT

2012-11-20 21:40 . 2012-11-20 21:40        --------        d-----w-        c:\users\Admin\AppData\Roaming\Malwarebytes

2012-11-20 21:40 . 2012-11-20 21:40        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2012-11-20 21:40 . 2012-11-20 21:40        --------        d-----w-        c:\programdata\Malwarebytes

2012-11-20 21:40 . 2012-09-29 18:54        25928        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-11-20 21:03 . 2012-11-20 21:04        --------        d-----w-        c:\users\Admin\AppData\Roaming\hellomoto

2012-11-13 20:41 . 2012-10-18 18:18        3147264        ----a-w-        c:\windows\system32\win32k.sys

2012-11-13 20:38 . 2012-09-25 22:39        95744        ----a-w-        c:\windows\system32\synceng.dll

2012-11-13 20:38 . 2012-09-25 21:55        78336        ----a-w-        c:\windows\SysWow64\synceng.dll

2012-11-11 17:48 . 2012-11-11 17:49        --------        d-----w-        C:\CanoScan

2012-10-26 18:31 . 2012-10-12 07:19        9291768        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{8875053F-3637-4B73-8DA2-18007C265207}\mpengine.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-11-13 21:11 . 2009-10-14 05:12        66395536        ----a-w-        c:\windows\system32\MRT.exe

2012-10-15 20:22 . 2012-06-26 23:26        696760        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe

2012-10-15 20:22 . 2012-01-12 19:36        73656        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-09-14 19:23 . 2012-10-15 12:04        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-09-14 18:30 . 2012-10-15 12:04        2048        ----a-w-        c:\windows\SysWow64\tzres.dll

2012-08-30 18:11 . 2012-10-15 12:08        5505904        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-08-30 17:18 . 2012-10-15 12:08        3958128        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe

2012-08-30 17:18 . 2012-10-15 12:08        3902832        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe

2006-05-03 10:06        163328        --sha-r-        c:\windows\SysWOW64\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\SysWOW64\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\SysWOW64\nbDX.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2012-01-03 15:31        1514152        ----a-w-        c:\program files (x86)\Ask.com\GenericAskToolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]

.

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="c:\program files (x86)\Steam\Steam.exe" [2012-08-05 1353080]

"AnyDVD"="c:\program files (x86)\SlySoft\AnyDVD\AnyDVDtray.exe" [2011-06-17 5140088]

"DVDFab Passkey"="c:\program files (x86)\DVDFab Passkey\DVDFabPasskey.exe" [2011-06-08 1031672]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2009-10-19 36864]

"HDAudDeck"="c:\program files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" [2009-09-21 2583040]

"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2010-10-22 2105344]

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-03-07 421160]

"AdobeCS4ServiceManager"="c:\program files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]

"SAOB Monitor"="c:\program files (x86)\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe" [2011-05-10 2536440]

"TrueImageMonitor.exe"="c:\program files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe" [2011-05-17 5550792]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"EnableLinkedConnections"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

R0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2010-10-22 14120]

R3 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64;c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2011-04-14 1038088]

S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [2011-07-27 1263200]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 27760]

S2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe [2011-07-27 3246040]

S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-09 86224]

S3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2011-07-27 285280]

S3 dvdfab;dvdfab;c:\windows\system32\drivers\dvdfab.sys [2011-04-20 107904]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2010-10-22 460800]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-05-22 215040]

S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-09-17 1250816]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-11-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-26 20:22]

.

2012-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-06-26 23:27]

.

2012-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-06-26 23:27]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Acronis Scheduler2 Service"="c:\program files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe" [2011-05-17 390736]

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.google.de/

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: Free YouTube Download - c:\users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\freeytvdownloader.htm

IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\program files (x86)\kikin\ie_kikin.dll

Trusted Zone: roteerdbeere.com\www

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\q1k6jx88.default-1353444991512\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\program files (x86)\kikin\ie_kikin.dll

Wow6432Node-HKCU-Run-AdobeBridge - (no file)

Wow6432Node-HKCU-Run-Gabest - c:\users\Admin\AppData\Roaming\F525BC.exe

Wow6432Node-HKLM-Run-<NO NAME> - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

AddRemove-DVDVideoSoftTB Toolbar - c:\progra~2\DVDVID~2\UNWISE.EXE

AddRemove-Free YouTube Download_is1 - c:\program files (x86)\Common Files\DVDVideoSoft\Uninstall.exe

AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc_bc2.exe

AddRemove-Uninstall_is1 - c:\program files (x86)\Common Files\DVDVideoSoft\unins000.exe

AddRemove-{E4A71A41-BCC8-480a-9E69-0DA29CBA7ECA} - c:\program files (x86)\kikin\uninst.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-3423572730-1032731840-91795001-1000\Software\SecuROM\License information*]

"datasecu"=hex:68,29,9a,eb,4f,9f,d7,a7,30,6f,bc,7d,df,c6,4c,61,cf,01,76,da,bc,

   58,45,43,5a,f6,39,96,50,91,a5,ad,d1,0e,be,fc,63,88,9c,91,06,da,14,3b,7e,a2,\

"rkeysecu"=hex:e2,ff,da,e4,68,a6,81,5e,eb,87,d8,a4,74,1f,be,2c

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\avmwlanstick\WlanNetService.exe

c:\program files (x86)\Bonjour\mDNSResponder.exe

c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe

c:\windows\SysWOW64\PnkBstrA.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-11-23  18:52:58 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-11-23 17:52

.

Vor Suchlauf: 12 Verzeichnis(se), 27.458.146.304 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 30.028.402.688 Bytes frei

.

- - End Of File - - DF770F095BE92A76DB6D03BA445187F9

Und hier noch die installierten Programme
"Nero SoundTrax Help
Acronis*True*Image*Home 2011
Adobe Anchor Service CS4
Adobe Bridge CS4
Adobe CMaps CS4
Adobe Color - Photoshop Specific CS4
Adobe Color EU Recommended Settings CS4
Adobe Color JA Extra Settings CS4
Adobe Color NA Extra Settings CS4
Adobe Color Video Profiles CS CS4
Adobe CSI CS4
Adobe Default Language CS4
Adobe Device Central CS4
Adobe Drive CS4
Adobe ExtendScript Toolkit CS4
Adobe Extension Manager CS4
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Fonts All
Adobe Linguistics CS4
Adobe Output Module
Adobe PDF Library Files CS4
Adobe Photoshop CS4
Adobe Photoshop CS4 Support
Adobe Search for Help
Adobe Service Manager Extension
Adobe Setup
Adobe Type Support CS4
Adobe Update Manager CS4
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS4
AdobeColorCommonSetCMYK
AdobeColorCommonSetRGB
Advertising Center
AnyDVD
Apple Application Support
Apple Software Update
Ask Toolbar
Ask Toolbar Updater
Avidemux 2.5
Avira Free Antivirus
AviSynth 2.5
AVM FRITZ!WLAN
Battlefield: Bad Company™ 2
Connect
DolbyFiles
DVD Decrypter (Remove Only)
DVD Shrink 3.2
DVDFab 8.1.0.0 (16/06/2011) Qt
DVDFab Passkey 8.0.3.0 (08/06/2011)
DVDVideoSoftTB Toolbar
Foto-Mosaik-Edda Standard V5.7.1
Foxit Reader
Free YouTube Download version 3.1.29.608
GIMP 2.6.11
Google Toolbar for Internet Explorer
Google Update Helper
ImagXpress
Java Auto Updater
Java(TM) 6 Update 26
JMicron JMB36X Driver
kikin plugin 2.5
kuler
Malwarebytes Anti-Malware Version 1.65.1.1000
Menu Templates - Starter Kit
Microsoft Office 2000 SR-1 Professional
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft XNA Framework Redistributable 2.0
mkv2vob
Movie Templates - Starter Kit
Mozilla Firefox 15.0.1 (x86 de)
Mozilla Maintenance Service
MP4 To MP3 Converter V3.0
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
NAVIGON Fresh 3.4.1
Nero 9
Nero BurningROM
Nero BurnRights
Nero ControlCenter
Nero CoverDesigner
Nero CoverDesigner Help
Nero Disc Copy Gadget
Nero Disc Copy Gadget Help
Nero DiscSpeed
Nero DriveSpeed
Nero Express
Nero InfoTool
Nero Installer
Nero Live
Nero Live Help
Nero PhotoSnap
Nero PhotoSnap Help
Nero Recode
Nero Recode Help
Nero Rescue Agent
Nero RescueAgent Help
Nero ShowTime
Nero StartSmart
Nero StartSmart Help
Nero Vision
Nero WaveEditor
Nero WaveEditor Help
NeroBurningROM
NeroExpress
neroxml
PDF Settings CS4
Photoshop Camera Raw
PunkBuster Services
QuickTime
Realtek 8136 8168 8169 Ethernet Driver
SoundTrax
Steam
Suite Shared Configuration CS4
SUPER © v2011.build.48 (April 23, 2011) Version v2011.build.48
Team Fortress 2
Uninstall 1.0.0.1
VLC media player 1.1.7
XMedia Recode 3.0.8.1
Xross Media Simulator 1.0
XviD MPEG4 Video Codec (remove only)

Zitat:

c:\windows\7Loader.TAG

Was kannst du mir dazu sagen?