Trojaner-Board - GVU-Trojaner auf Lenovo IdeaPad S12

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner auf Lenovo IdeaPad S12 (https://www.trojaner-board.de/128643-gvu-trojaner-lenovo-ideapad-s12.html)

GVU-Trojaner auf Lenovo IdeaPad S12

Auf dem Lenovo S12 (AVG ist installiert) habe ich mir den hier schon mehrfach behandelten GVU-Trojaner eingefangen. Die Seite mit den bekannten "offizösen" Hinweisen und der Aufforderung 100,-Euro zur Freischaltung zu bezahlen, tauchte plötzlich auf und ein Eingabefeld forderte mich auf, dem Zugriff auf die Benutzerkontensteuerung zuzustimmen. Dies habe ich nicht getan (ebenso wenig natürlich die Bezahlung der 100.-Euro), sondern den Rechner runtergefahren. Beim erneuten Hochfahren das gleiche Bild - Rechner komplett gesperrt. Der Task-Manager ließ sich nicht mehr starten.

Daher habe ich den abgesicherten Modus mit Netzwerkumgebung gewählt, Malwarebytes heruntergeladen und wie hier im Forum beschrieben einen kompletten Suchlauf gestartet. Ergebnis: 198 infizierte Objekte (PUP.Blabbers (files, registry value und registry), Trojan.Delf, Trojan. Ransom,Gen, Exploit.Drop.GS file, Exploit.Drop.GSA file). Entfernt habe ich nach Anleitung nichts, ich schaffe es allerdings auch nicht, in Malwarebytes die infzierten Dateien in die Quaratäne zu verschieben.

Da ich alles andere als ein Technikexperte bin, bitte ich um Hilfe! Was muss ich posten, wie bekomme ich die Logfiles? Herzlichen Dank schon einmal im voraus!

Beste Grüße
axel120154

Dann alles erstmal abgesichert mit Netzwerk machen.

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:

Gelesen und verstanden?

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit DDS (+ attach)

Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com | dds.scr | dds.pif
Schließe alle laufenden Programme und starte DDS mit Doppelklick.

Der Desktop wird verschwinden, das ist normal.

Stelle folgendes ein:

[X] dds.txt
[X] attach.txt
[ ] options for dds.txt

Ändere keine Einstellung ohne Anweisung.

Klicke auf Start.

Es werden 2 Logfiles auf deinem Desktop erstellt.
dds.txt

attach.txt

Poste die beiden Logfile hier, möglichst in CODE-Tags.

Zunächst einmal herzlichen Dank für die prompte Antwort - toll! :dankeschoen:

Jetzt zu meinen Aufgaben:

1. Lesestoff "gelesen und verstanden"!

2.AdwCleaner[S1].txt:
# AdwCleaner v2.103 - Datei am 27/12/2012 um 14:28:25 erstellt
# Aktualisiert am 25/12/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : Britta - BRITTA-PC
# Bootmodus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Users\Britta\Downloads\adwcleaner_2.103.exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Britta\AppData\Local\Temp\Uninstall.exe
Datei Gelöscht : C:\Users\Britta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tcbhn.lnk
Ordner Gelöscht : C:\Program Files\AVG Secure Search
Ordner Gelöscht : C:\Program Files\BrowserCompanion
Ordner Gelöscht : C:\Program Files\Common Files\AVG Secure Search
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Program Files\FileConverter_1.3
Ordner Gelöscht : C:\ProgramData\AVG Secure Search
Ordner Gelöscht : C:\Users\Britta\AppData\Local\AVG Secure Search
Ordner Gelöscht : C:\Users\Britta\AppData\Local\Conduit
Ordner Gelöscht : C:\Users\Britta\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla
Ordner Gelöscht : C:\Users\Britta\AppData\Local\Temp\avg@toolbar
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\AVG Secure Search
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\bbrs_002.tb
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\FileConverter_1.3
Ordner Gelöscht : C:\Users\Britta\AppData\LocalLow\PriceGong
Ordner Gelöscht : C:\Users\Britta\AppData\Roaming\BrowserCompanion
Ordner Gelöscht : C:\Users\Britta\AppData\Roaming\OpenCandy

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\FileConverter_1.3
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Toolbar
Schlüssel Gelöscht : HKCU\Software\AVG Secure Search
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{153D7D79-706C-443D-BA98-41CA86982C9D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\Software\BrowserCompanion
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{153D7D79-706C-443D-BA98-41CA86982C9D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\base64
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\chrome
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\prox
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\S
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT3241949
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wit4ie.WitBHO
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wit4ie.WitBHO.2
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\FileConverter_1.3
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{47A8892A-573C-4622-AD12-A573FA4A44ED}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CAE0DC99-F4B8-4326-B99D-93D179A26ADE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{153D7D79-706C-443D-BA98-41CA86982C9D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FileConverter_1.3 Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v23.0.1271.97

Datei : C:\Users\Britta\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [11430 octets] - [27/12/2012 14:27:04]
AdwCleaner[S1].txt - [11202 octets] - [27/12/2012 14:28:25]

########## EOF - C:\AdwCleaner[S1].txt - [11263 octets] ##########

3. dds.txt:DDS Logfile:

Code:

DDS (Ver_2012-11-20.01) - NTFS_x86 NETWORK

Internet Explorer: 9.0.8112.16457

Run by Britta at 15:09:37 on 2012-12-27

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.1790.1015 [GMT 1:00]

.

AV: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}

SP: AVG Anti-Virus Free Edition 2012 *Enabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ================

.

C:\windows\system32\wininit.exe

C:\windows\system32\lsm.exe

C:\windows\Explorer.EXE

C:\windows\system32\ctfmon.exe

C:\windows\system32\conhost.exe

C:\windows\system32\wbem\wmiprvse.exe

C:\windows\system32\svchost.exe -k DcomLaunch

C:\windows\system32\svchost.exe -k RPCSS

C:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\windows\system32\svchost.exe -k netsvcs

C:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted

C:\windows\system32\svchost.exe -k LocalService

C:\windows\system32\svchost.exe -k NetworkService

C:\windows\system32\svchost.exe -k LocalServiceNoNetwork

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxps://www.google.de/

mStart Page = hxxp://lenovo.live.com/

BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: DivX Plus Web Player HTML5 <video>: {326E768D-4182-46FD-9C16-1449A49795F4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll

BHO: AVG Safe Search: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - c:\program files\avg\avg2012\avgssie.dll

BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Windows Live Toolbar Helper: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\program files\windows live toolbar\msntb.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: Windows Live Toolbar: {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\program files\windows live toolbar\msntb.dll

TB: Google Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: Windows Live Toolbar: {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - c:\program files\windows live toolbar\msntb.dll

TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [Device Detection] c:\program files\lidl_fotos\dd.exe

uRun: [MobileDocuments] c:\program files\common files\apple\internet services\ubd.exe

uRun: [Skype] "c:\program files\skype\phone\Skype.exe" /minimized /regrun

uRun: [Spotify] "c:\users\britta\appdata\roaming\spotify\Spotify.exe" /uri spotify:autostart

uRun: [Spotify Web Helper] "c:\users\britta\appdata\roaming\spotify\data\SpotifyWebHelper.exe"

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe

mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [VeriFaceManager] c:\program files\lenovo\veriface\PManage.exe

mRun: [EnergyUtility] c:\program files\lenovo\energy management\utility.exe

mRun: [Energy Management] c:\program files\lenovo\energy management\Energy Management.exe

mRun: [AVG_TRAY] "c:\program files\avg\avg2012\avgtray.exe"

mRun: [vProt] "c:\program files\avg secure search\vprot.exe"

mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"

mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [ROC_ROC_JULY_P1] "c:\program files\avg secure search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1

mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW

StartupFolder: c:\users\britta\appdata\roaming\micros~1\windows\startm~1\programs\startup\ctfmon.lnk - c:\programdata\lsass.exe

StartupFolder: c:\users\britta\appdata\roaming\micros~1\windows\startm~1\programs\startup\dropbox.lnk - c:\users\britta\appdata\roaming\dropbox\bin\Dropbox.exe

StartupFolder: c:\users\britta\appdata\roaming\micros~1\windows\startm~1\programs\startup\runctf.lnk - c:\windows\system32\rundll32.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\blueto~1.lnk - c:\program files\lenovo\bluetooth software\BTTray.exe

mPolicies-System: ConsentPromptBehaviorAdmin = dword:5

mPolicies-System: ConsentPromptBehaviorUser = dword:3

mPolicies-System: EnableUIADesktopToggle = dword:0

IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}

IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\lenovo\bluetooth software\btsendto_ie.htm

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

TCP: NameServer = 192.168.2.1

TCP: Interfaces\{A39AAAD7-7F18-41CD-9D35-E68700CFAA53} : DHCPNameServer = 192.168.2.1

TCP: Interfaces\{A39AAAD7-7F18-41CD-9D35-E68700CFAA53}\75C414E4D2436363344353 : DHCPNameServer = 192.168.2.1 192.168.2.1

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg2012\avgpp.dll

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program files\common files\skype\Skype4COM.dll

SSODL: WebCheck - <orphaned>

SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

.

============= SERVICES / DRIVERS ===============

.

R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [2012-4-19 24896]

R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [2012-1-31 31952]

R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [2012-8-24 301920]

R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [2012-9-3 26984]

R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [2010-1-25 21520]

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-5-31 260648]

S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [2012-7-26 237408]

S1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\drivers\avgmfx86.sys [2011-12-23 41040]

S2 AVGIDSAgent;AVGIDSAgent;c:\program files\avg\avg2012\avgidsagent.exe [2012-8-13 5167736]

S2 avgwd;AVG WatchDog;c:\program files\avg\avg2012\avgwdsvc.exe [2012-2-14 193288]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [2009-7-8 323584]

S2 MBAMScheduler;MBAMScheduler;c:\program files\malwarebytes' anti-malware\mbamscheduler.exe [2012-12-27 399432]

S2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-12-27 676936]

S2 Skype C2C Service;Skype C2C Service;c:\programdata\skype\toolbars\skype c2c service\c2c_service.exe [2012-10-2 3064000]

S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-7-13 160944]

S2 vToolbarUpdater13.2.0;vToolbarUpdater13.2.0;c:\program files\common files\avg secure search\vtoolbarupdater\13.2.0\toolbarupdater.exe --> c:\program files\common files\avg secure search\vtoolbarupdater\13.2.0\ToolbarUpdater.exe [?]

S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\avgidsdriverx.sys [2011-12-23 139856]

S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\avgidsfilterx.sys [2011-12-23 24144]

S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\avgidsshimx.sys [2011-12-23 17232]

S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\drivers\btwl2cap.sys [2010-1-25 29472]

S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\k57nd60x.sys [2009-7-13 229888]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-27 22856]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]

S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2012-4-10 52224]

S3 wsvd;wsvd;c:\windows\system32\drivers\wsvd.sys [2009-7-21 81704]

.

=============== File Associations ===============

.

FileExt: .txt: Applications\Winword.exe="c:\program files\microsoft office\office12\WINWORD.EXE" /n /dde [UserChoice] [default=edit - 'Open' doesn't exist]

.

=============== Created Last 30 ================

.

2012-12-27 13:34:44        --------        d-----w-        C:\Material Bereinigung Logdateien

2012-12-27 06:19:37        --------        d-----w-        c:\users\britta\appdata\roaming\Malwarebytes

2012-12-27 06:19:22        --------        d-----w-        c:\programdata\Malwarebytes

2012-12-27 06:19:20        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-12-27 06:19:20        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-12-27 02:45:36        --------        d-----w-        c:\users\britta\appdata\local\MFAData

2012-12-27 02:45:36        --------        d-----w-        c:\users\britta\appdata\local\Avg2013

2012-12-22 22:54:44        --------        d-----w-        c:\users\britta\appdata\local\Rdio

2012-12-22 22:51:13        --------        d-----w-        c:\users\britta\appdata\local\Deployment

2012-12-22 22:51:13        --------        d-----w-        c:\users\britta\appdata\local\Apps

2012-12-22 20:09:13        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-22 20:09:13        295424        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-16 14:52:08        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-12-16 14:52:06        420864        ----a-w-        c:\windows\system32\vbscript.dll

2012-12-16 14:52:06        194048        ----a-w-        c:\program files\internet explorer\IEShims.dll

2012-12-16 14:52:06        149536        ----a-w-        c:\program files\internet explorer\sqmapi.dll

2012-12-16 14:52:03        142848        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-12-16 14:52:02        194560        ----a-w-        c:\program files\internet explorer\ieproxy.dll

2012-12-16 14:52:01        1129472        ----a-w-        c:\windows\system32\wininet.dll

2012-12-16 14:51:58        1800704        ----a-w-        c:\windows\system32\jscript9.dll

2012-12-16 14:51:56        757280        ----a-w-        c:\program files\internet explorer\iexplore.exe

2012-12-16 14:51:55        387584        ----a-w-        c:\program files\internet explorer\jsdbgui.dll

2012-12-16 14:51:53        678912        ----a-w-        c:\program files\internet explorer\iedvtool.dll

2012-12-16 14:51:51        1427968        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-12-14 16:22:38        2345984        ----a-w-        c:\windows\system32\win32k.sys

2012-12-14 16:21:17        293376        ----a-w-        c:\windows\system32\KernelBase.dll

2012-12-14 16:21:11        271360        ----a-w-        c:\windows\system32\conhost.exe

2012-12-14 16:21:05        169984        ----a-w-        c:\windows\system32\winsrv.dll

2012-12-14 16:18:56        376832        ----a-w-        c:\windows\system32\dpnet.dll

2012-12-14 16:17:46        2048        ----a-w-        c:\windows\system32\tzres.dll

.

==================== Find3M  ====================

.

2012-12-11 20:35:56        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-12-11 20:35:56        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-11-13 20:29:04        354216        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl

2012-11-12 20:21:50        26984        ----a-w-        c:\windows\system32\drivers\avgtpx86.sys

2012-10-04 14:41:50        6144        ---ha-w-        c:\windows\system32\api-ms-win-security-base-l1-1-0.dll

2012-10-04 14:41:50        4608        ---ha-w-        c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll

2012-10-04 14:41:50        3584        ---ha-w-        c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll

2012-10-04 14:41:50        3072        ---ha-w-        c:\windows\system32\api-ms-win-core-util-l1-1-0.dll

.

============= FINISH: 15:10:48,45 ===============

--- --- ---

4. attach.txt
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2012-11-20.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 18.03.2012 20:48:52
System Uptime: 27.12.2012 15:06:58 (0 hours ago)
.
Motherboard: LENOVO | | MoutCook
Processor: Intel(R) Atom(TM) CPU N270 @ 1.60GHz | Socket 437 | 1600/133mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 188 GiB total, 86,444 GiB free.
D: is FIXED (NTFS) - 30 GiB total, 29,381 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: Security Processor Loader Driver
Device ID: ROOT\LEGACY_SPLDR\0000
Manufacturer:
Name: Security Processor Loader Driver
PNP Device ID: ROOT\LEGACY_SPLDR\0000
Service: spldr
.
==== System Restore Points ===================
.
RP43: 15.11.2012 23:21:08 - Geplanter Prüfpunkt
RP44: 16.11.2012 17:27:25 - Windows Update
RP45: 26.11.2012 03:00:27 - Windows Update
RP46: 16.12.2012 15:33:55 - Windows Update
RP48: 22.12.2012 21:07:40 - Windows Modules Installer
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
Activation Assistant for the 2007 Microsoft Office suites
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader 9.0.1 - Deutsch
Apple Application Support
Apple Mobile Device Support
Apple Software Update
AVG 2012
Band-in-a-Box 2011 (Build 312)
Band-in-a-Box Server
Bonjour
Broadcom Gigabit Integrated Controller
Broadcom WLAN
CoyoteWT 1.0
DivX-Setup
Dropbox
Energy Management
Freemake Video Converter Version 3.1.2
Google Chrome
Google Toolbar for Internet Explorer
Google Update Helper
iCloud
iTunes
Java(TM) 6 Update 12
KODAK Create@Home Software (für dm)
Lenovo Bluetooth with Enhanced Data Rate Software
Lenovo EasyCamera
Lenovo OneKey Recovery
Lenovo Quick Start
Malwarebytes Anti-Malware Version 1.65.1.1000
Mein CEWE FOTOBUCH
Microsoft .NET Framework 4 Client Profile
Microsoft Office 2003 Web Components
Microsoft Office 2007 Primary Interop Assemblies
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office File Validation Add-In
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office Live Add-in 1.5
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Small Business Connectivity Components
Microsoft Office Word MUI (German) 2007
Microsoft Save as PDF or XPS Add-in for 2007 Microsoft Office programs
Microsoft Silverlight
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
Microsoft SQL Server Native Client
Microsoft SQL Server Setup Support Files (English)
Microsoft SQL Server VSS Writer
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Norton Security Scan
NVIDIA Drivers
PG Music DirectX Plugins 2.0.0.0
PhotoScape
QuickTime
Rdio
Realtek High Definition Audio Driver
Realtek USB 2.0 Card Reader
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)
Security Update for Microsoft Office 2007 suites (KB2596615) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596672) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596744) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596754) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596792) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596856) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596871) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2597969) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2687311) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2687439) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2687441) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2760416) 32-Bit Edition
Security Update for Microsoft Office Excel 2007 (KB2687307) 32-Bit Edition
Security Update for Microsoft Office InfoPath 2007 (KB2687440) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office Publisher 2007 (KB2596705) 32-Bit Edition
Security Update for Microsoft Office Word 2007 (KB2760421) 32-Bit Edition
Skype Click to Call
Skype™ 5.10
Spotify
Synaptics Pointing Device Driver
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office 2007 suites (KB2596660) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596848) 32-Bit Edition
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2760573) 32-Bit Edition
VC80CRTRedist - 8.0.50727.6195
Virtual Sound Canvas DXi
Windows Live Toolbar
.
==== End Of File ===========================

Ich hoffe dass ich meine Jobs bis hierhin korrekt erledigt habe. Schon mal vielen Dank für die weiteren Anweisungen :knuddel:

Beste Grüße
axel120154

Dann jetzt bitte Combofix:

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So, Combofix ist durch.

Beim Neustart kommt allerdings die Meldung:
"Problem beim Starten von C:\Users\Britta\wgsdgsdgdsgsd.exe. Das angegebene Modul wurde nicht gefunden." Die Fehlermeldung gab´s allerdings schon vor dem Start von Combofix!

Und hier Combofix.txt:
Combofix Logfile:

Code:

ComboFix 12-12-27.03 - Britta 27.12.2012  20:06:17.1.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.1790.1434 [GMT 1:00]

ausgeführt von:: c:\users\Britta\Desktop\ComboFix.exe

AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}

SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\dsgsdgdsgdsgw.pad

c:\windows\s.bat

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-11-27 bis 2012-12-27  ))))))))))))))))))))))))))))))

.

.

2012-12-27 19:17 . 2012-12-27 19:18        --------        d-----w-        c:\users\Britta\AppData\Local\temp

2012-12-27 19:17 . 2012-12-27 19:17        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-12-27 18:31 . 2012-12-27 18:31        --------        d-----w-        c:\users\Britta\AppData\Local\ElevatedDiagnostics

2012-12-27 13:34 . 2012-12-27 13:35        --------        d-----w-        C:\Material Bereinigung Logdateien

2012-12-27 06:19 . 2012-12-27 06:19        --------        d-----w-        c:\users\Britta\AppData\Roaming\Malwarebytes

2012-12-27 06:19 . 2012-12-27 06:19        --------        d-----w-        c:\programdata\Malwarebytes

2012-12-27 06:19 . 2012-12-27 06:20        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-12-27 06:19 . 2012-09-29 18:54        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-12-27 04:42 . 2012-12-27 04:42        2915        ----a-w-        c:\programdata\dsgsdgdsgdsgw.js

2012-12-27 02:45 . 2012-12-27 02:45        --------        d-----w-        c:\users\Britta\AppData\Local\MFAData

2012-12-27 02:45 . 2012-12-27 02:45        --------        d-----w-        c:\users\Britta\AppData\Local\Avg2013

2012-12-22 22:54 . 2012-12-22 22:54        --------        d-----w-        c:\users\Britta\AppData\Local\Rdio

2012-12-22 22:51 . 2012-12-25 23:33        --------        d-----w-        c:\users\Britta\AppData\Local\Deployment

2012-12-22 22:51 . 2012-12-22 22:51        --------        d-----w-        c:\users\Britta\AppData\Local\Apps

2012-12-22 20:09 . 2012-12-16 14:13        295424        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-22 20:09 . 2012-12-16 14:13        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-16 14:52 . 2012-11-14 01:44        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-12-16 14:52 . 2012-11-16 16:33        149536        ----a-w-        c:\program files\Internet Explorer\sqmapi.dll

2012-12-16 14:52 . 2012-11-14 01:51        194048        ----a-w-        c:\program files\Internet Explorer\IEShims.dll

2012-12-16 14:52 . 2012-11-14 01:48        420864        ----a-w-        c:\windows\system32\vbscript.dll

2012-12-16 14:52 . 2012-11-14 01:49        142848        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-12-16 14:52 . 2012-11-14 01:52        194560        ----a-w-        c:\program files\Internet Explorer\ieproxy.dll

2012-12-16 14:52 . 2012-11-14 01:57        1129472        ----a-w-        c:\windows\system32\wininet.dll

2012-12-16 14:51 . 2012-11-14 02:09        1800704        ----a-w-        c:\windows\system32\jscript9.dll

2012-12-16 14:51 . 2012-11-16 16:33        757280        ----a-w-        c:\program files\Internet Explorer\iexplore.exe

2012-12-16 14:51 . 2012-11-14 02:00        387584        ----a-w-        c:\program files\Internet Explorer\jsdbgui.dll

2012-12-16 14:51 . 2012-11-14 02:01        678912        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll

2012-12-16 14:51 . 2012-11-14 01:58        1427968        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-12-14 16:22 . 2012-11-22 02:56        2345984        ----a-w-        c:\windows\system32\win32k.sys

2012-12-14 16:21 . 2012-10-04 16:43        293376        ----a-w-        c:\windows\system32\KernelBase.dll

2012-12-14 16:21 . 2012-10-04 14:57        271360        ----a-w-        c:\windows\system32\conhost.exe

2012-12-14 16:21 . 2012-10-04 16:47        169984        ----a-w-        c:\windows\system32\winsrv.dll

2012-12-14 16:18 . 2012-11-02 05:11        376832        ----a-w-        c:\windows\system32\dpnet.dll

2012-12-14 16:17 . 2012-11-09 04:42        2048        ----a-w-        c:\windows\system32\tzres.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-11 20:35 . 2012-04-09 14:21        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-12-11 20:35 . 2012-03-18 22:01        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-11-13 20:29 . 2012-11-13 20:29        354216        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl

2012-11-12 20:21 . 2012-09-03 20:10        26984        ----a-w-        c:\windows\system32\drivers\avgtpx86.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2012-03-18 39408]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-07-13 17418928]

"Spotify"="c:\users\Britta\AppData\Roaming\Spotify\Spotify.exe" [2012-11-22 7880664]

"Spotify Web Helper"="c:\users\Britta\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-22 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-10 13797920]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-24 7625248]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-23 1537320]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-12-03 35184]

"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-07-15 4081480]

"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2009-06-25 5064520]

"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-07-31 2596984]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2012-09-16 148888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-09-09 421776]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2012-11-01 1263512]

.

c:\users\Britta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

ctfmon.lnk - c:\programdata\lsass.exe [N/A]

Dropbox.lnk - c:\users\Britta\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-12-22 28538560]

runctf.lnk - c:\windows\System32\rundll32.exe [2009-7-14 44544]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-7-1 795936]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart

.

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]

R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]

R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]

R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [x]

R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]

R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]

R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]

R2 vToolbarUpdater13.2.0;vToolbarUpdater13.2.0;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdriverx.sys [x]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\avgidsfilterx.sys [x]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\avgidsshimx.sys [x]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]

R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [x]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [x]

S0 AVGIDSHX;AVGIDSHX;c:\windows\system32\DRIVERS\avgidshx.sys [x]

S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]

S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]

S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [x]

S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc

.

Inhalt des "geplante Tasks" Ordners

.

2012-12-27 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-09 20:35]

.

2012-12-27 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 15:54]

.

2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2012-03-18 22:02]

.

2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2012-03-18 22:02]

.

2012-12-11 c:\windows\Tasks\Norton Security Scan for Britta.job

- c:\progra~1\NORTON~2\Engine\372~1.5\Nss.exe [2012-11-22 09:45]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://www.google.de/

mStart Page = hxxp://lenovo.live.com/

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

HKCU-Run-Device Detection - c:\program files\Lidl_Fotos\dd.exe

HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe

HKLM-Run-VeriFaceManager - c:\program files\Lenovo\VeriFace\PManage.exe

HKLM-Run-vProt - c:\program files\AVG Secure Search\vprot.exe

HKLM-Run-ROC_ROC_JULY_P1 - c:\program files\AVG Secure Search\ROC_ROC_JULY_P1.exe

SafeBoot-mcmscsvc

SafeBoot-MCODS

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-12-27  20:21:13

ComboFix-quarantined-files.txt  2012-12-27 19:21

.

Vor Suchlauf: 8 Verzeichnis(se), 92.489.076.736 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 98.702.757.888 Bytes frei

.

- - End Of File - - 8F5F0BEB842036886ACA3AF22C2D06FD

--- --- ---

Wie geht´s weiter? Danke für die große und schnelle Hilfe bis hierher!!!!

Beste Grüße
axel120154

Ja, wir machen weiter:
Schritt 1:
Deinstalliere Norton Security Scan

Schritt 2:
Combofix-Skript

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

File:: c:\programdata\dsgsdgdsgdsgw.js c:\users\Britta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk c:\users\Britta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk c:\programdata\lsass.exe

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

http://i266.photobucket.com/albums/i.../CFScriptB.gif

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Noch ein kurzer Nachtrag:

In der Quarantäne von Malwarebytes sind jetzt folgende beiden Dateien:

Exploit.DropGS - File - Objekt C:\users\Britta\wgsdgsdgdsgsd.exe
Trojan.Delf - File - Objekt C:\ProgramData\lsass.exe

Beste Grüße
axel120154

Ich befürchte hier hat etwas nicht korrekt geklappt. Auf C: ist jetzt ein Ordner Combofix erstellt, aber keine .txt-Datei, die ich hier als Antwort einfügen könnte.

Die Fehlermeldung "Problem beim Starten ..." (siehe oben) taucht immer noch auf!

Beste Grüße
axel120154

Hast du das Skript ausgeführt?

Ja, natürlich! Alles nach Vorschrift - da bin ich mir ziemlich sicher!

dann hätte ich gerne das Logfile notfalls in c:\qoobox suchen

Dort finde ich zwar Textdateien, aber nur welche von gestern 20:21, also vor der letzten Aktion, sorry. Vorsichtshalber schicke ich sie trotzdem. Vom letzten Lauf mit Uhrzeit 22:55 existiert dann nur wie schon beschrieben der Dateiordner Combofix.

Combofix Logfile:

Code:

ComboFix 12-12-27.03 - Britta 27.12.2012  20:06:17.1.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.1790.1434 [GMT 1:00]

ausgeführt von:: c:\users\Britta\Desktop\ComboFix.exe

AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}

SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\dsgsdgdsgdsgw.pad

c:\windows\s.bat

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-11-27 bis 2012-12-27  ))))))))))))))))))))))))))))))

.

.

2012-12-27 19:17 . 2012-12-27 19:18        --------        d-----w-        c:\users\Britta\AppData\Local\temp

2012-12-27 19:17 . 2012-12-27 19:17        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-12-27 18:31 . 2012-12-27 18:31        --------        d-----w-        c:\users\Britta\AppData\Local\ElevatedDiagnostics

2012-12-27 13:34 . 2012-12-27 13:35        --------        d-----w-        C:\Material Bereinigung Logdateien

2012-12-27 06:19 . 2012-12-27 06:19        --------        d-----w-        c:\users\Britta\AppData\Roaming\Malwarebytes

2012-12-27 06:19 . 2012-12-27 06:19        --------        d-----w-        c:\programdata\Malwarebytes

2012-12-27 06:19 . 2012-12-27 06:20        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-12-27 06:19 . 2012-09-29 18:54        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-12-27 04:42 . 2012-12-27 04:42        2915        ----a-w-        c:\programdata\dsgsdgdsgdsgw.js

2012-12-27 02:45 . 2012-12-27 02:45        --------        d-----w-        c:\users\Britta\AppData\Local\MFAData

2012-12-27 02:45 . 2012-12-27 02:45        --------        d-----w-        c:\users\Britta\AppData\Local\Avg2013

2012-12-22 22:54 . 2012-12-22 22:54        --------        d-----w-        c:\users\Britta\AppData\Local\Rdio

2012-12-22 22:51 . 2012-12-25 23:33        --------        d-----w-        c:\users\Britta\AppData\Local\Deployment

2012-12-22 22:51 . 2012-12-22 22:51        --------        d-----w-        c:\users\Britta\AppData\Local\Apps

2012-12-22 20:09 . 2012-12-16 14:13        295424        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-22 20:09 . 2012-12-16 14:13        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-16 14:52 . 2012-11-14 01:44        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2012-12-16 14:52 . 2012-11-16 16:33        149536        ----a-w-        c:\program files\Internet Explorer\sqmapi.dll

2012-12-16 14:52 . 2012-11-14 01:51        194048        ----a-w-        c:\program files\Internet Explorer\IEShims.dll

2012-12-16 14:52 . 2012-11-14 01:48        420864        ----a-w-        c:\windows\system32\vbscript.dll

2012-12-16 14:52 . 2012-11-14 01:49        142848        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-12-16 14:52 . 2012-11-14 01:52        194560        ----a-w-        c:\program files\Internet Explorer\ieproxy.dll

2012-12-16 14:52 . 2012-11-14 01:57        1129472        ----a-w-        c:\windows\system32\wininet.dll

2012-12-16 14:51 . 2012-11-14 02:09        1800704        ----a-w-        c:\windows\system32\jscript9.dll

2012-12-16 14:51 . 2012-11-16 16:33        757280        ----a-w-        c:\program files\Internet Explorer\iexplore.exe

2012-12-16 14:51 . 2012-11-14 02:00        387584        ----a-w-        c:\program files\Internet Explorer\jsdbgui.dll

2012-12-16 14:51 . 2012-11-14 02:01        678912        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll

2012-12-16 14:51 . 2012-11-14 01:58        1427968        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-12-14 16:22 . 2012-11-22 02:56        2345984        ----a-w-        c:\windows\system32\win32k.sys

2012-12-14 16:21 . 2012-10-04 16:43        293376        ----a-w-        c:\windows\system32\KernelBase.dll

2012-12-14 16:21 . 2012-10-04 14:57        271360        ----a-w-        c:\windows\system32\conhost.exe

2012-12-14 16:21 . 2012-10-04 16:47        169984        ----a-w-        c:\windows\system32\winsrv.dll

2012-12-14 16:18 . 2012-11-02 05:11        376832        ----a-w-        c:\windows\system32\dpnet.dll

2012-12-14 16:17 . 2012-11-09 04:42        2048        ----a-w-        c:\windows\system32\tzres.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-11 20:35 . 2012-04-09 14:21        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-12-11 20:35 . 2012-03-18 22:01        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-11-13 20:29 . 2012-11-13 20:29        354216        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl

2012-11-12 20:21 . 2012-09-03 20:10        26984        ----a-w-        c:\windows\system32\drivers\avgtpx86.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2012-11-13 23:32        129272        ----a-w-        c:\users\Britta\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2012-03-18 39408]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-07-13 17418928]

"Spotify"="c:\users\Britta\AppData\Roaming\Spotify\Spotify.exe" [2012-11-22 7880664]

"Spotify Web Helper"="c:\users\Britta\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-22 1199576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-10 13797920]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-24 7625248]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-07-23 1537320]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-12-03 35184]

"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-07-15 4081480]

"Energy Management"="c:\program files\Lenovo\Energy Management\Energy Management.exe" [2009-06-25 5064520]

"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-07-31 2596984]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2012-09-16 148888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-09-09 421776]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2012-11-01 1263512]

.

c:\users\Britta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

ctfmon.lnk - c:\programdata\lsass.exe [N/A]

Dropbox.lnk - c:\users\Britta\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-12-22 28538560]

runctf.lnk - c:\windows\System32\rundll32.exe [2009-7-14 44544]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-7-1 795936]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart

.

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [x]

R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [x]

R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [x]

R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [x]

R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]

R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [x]

R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]

R2 vToolbarUpdater13.2.0;vToolbarUpdater13.2.0;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\avgidsdriverx.sys [x]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\avgidsfilterx.sys [x]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\avgidsshimx.sys [x]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]

R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [x]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

R3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 wsvd;wsvd;c:\windows\system32\DRIVERS\wsvd.sys [x]

S0 AVGIDSHX;AVGIDSHX;c:\windows\system32\DRIVERS\avgidshx.sys [x]

S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [x]

S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [x]

S1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [x]

S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc

.

Inhalt des "geplante Tasks" Ordners

.

2012-12-27 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-09 20:35]

.

2012-12-27 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 15:54]

.

2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2012-03-18 22:02]

.

2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2012-03-18 22:02]

.

2012-12-11 c:\windows\Tasks\Norton Security Scan for Britta.job

- c:\progra~1\NORTON~2\Engine\372~1.5\Nss.exe [2012-11-22 09:45]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://www.google.de/

mStart Page = hxxp://lenovo.live.com/

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

HKCU-Run-Device Detection - c:\program files\Lidl_Fotos\dd.exe

HKCU-Run-MobileDocuments - c:\program files\Common Files\Apple\Internet Services\ubd.exe

HKLM-Run-VeriFaceManager - c:\program files\Lenovo\VeriFace\PManage.exe

HKLM-Run-vProt - c:\program files\AVG Secure Search\vprot.exe

HKLM-Run-ROC_ROC_JULY_P1 - c:\program files\AVG Secure Search\ROC_ROC_JULY_P1.exe

SafeBoot-mcmscsvc

SafeBoot-MCODS

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-12-27  20:21:13

ComboFix-quarantined-files.txt  2012-12-27 19:21

.

Vor Suchlauf: 8 Verzeichnis(se), 92.489.076.736 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 98.702.757.888 Bytes frei

.

- - End Of File - - 8F5F0BEB842036886ACA3AF22C2D06FD

--- --- ---

2012-12-27 19:20:08 . 2012-12-27 19:20:08 534 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-MCODS.reg.dat
2012-12-27 19:20:08 . 2012-12-27 19:20:08 546 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-mcmscsvc.reg.dat
2012-12-27 19:19:43 . 2012-12-27 19:19:43 192 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-ROC_ROC_JULY_P1.reg.dat
2012-12-27 19:19:43 . 2012-12-27 19:19:43 143 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-vProt.reg.dat
2012-12-27 19:19:42 . 2012-12-27 19:19:42 150 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-VeriFaceManager.reg.dat
2012-12-27 19:19:39 . 2012-12-27 19:19:39 167 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-MobileDocuments.reg.dat
2012-12-27 19:19:39 . 2012-12-27 19:19:39 139 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-Device Detection.reg.dat
2012-12-27 19:19:36 . 2012-12-27 19:19:36 92 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2012-12-27 19:14:23 . 2012-12-27 19:14:23 8,909 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-12-27 18:30:54 . 2012-12-27 19:06:17 215 ----a-w- C:\Qoobox\Quarantine\catchme.log
2012-11-11 01:26:28 . 2012-12-27 06:13:36 83,023,306 ----atw- C:\Qoobox\Quarantine\C\ProgramData\dsgsdgdsgdsgw.pad.vir
2010-01-25 03:50:44 . 2009-04-22 03:37:36 488 ----a-w- C:\Qoobox\Quarantine\C\Windows\s.bat.vir

Beste Grüße
axel120154

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung

Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.

Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.

Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.

Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.

Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.

IE-User müssen das Installieren eines ActiveX Elements erlauben.

Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.

Warte bis die Komponenten herunter geladen wurden.

Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.

http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde
Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png

Speichere das Logfile als ESET.txt auf dem Desktop.

Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2
Speichere es auf dem Desktop.

Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Nein, keine "Sorge", natürlich benötige ich noch weitere Hilfe!!

Schritt 1 (Malwarebytes) ist gelaufen.
Schritt 2: Ich habe jetzt mehrfach versucht den ESET Online Scanner ins Laufen zu bringen. Meiner Meinung nach ist das Installieren von Active-X-Elementen erlaubt, Firewall, Malwarebytes und AVG sind ausgeschaltet, aber ESET läßt sich nicht starten. Nach Setzen des "akzeptiert"-Hakens läßt sich der Button "Start" nicht drücken (bei meinem anderen "gesunden" Rechner ohne Veränderung der Schutzeinstellungen funktioniert er!).

Hier stockt also schon die Umsetzung von Schritt 2. Was ist zu tun bzw. was mache ich falsch?

Vielen Dank für die weitere Hilfe und beste Grüße

axel120154

Selten, aber kann schon mal passieren: Die Alternative

Onlinescan mit Panda Cloud Cleaner

Downloade dir bitte den Panda Cloud Cleaner und starte den Scan.

Bitte nichts löschen. Am Ende nur "View Report" unten rechts klicken.

Kopiere den Scanreport hier in den Thread.