Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google Redirect Virus oder doch nicht? (https://www.trojaner-board.de/129149-google-redirect-virus.html)

chemaholic 07.01.2013 20:43
Google Redirect Virus oder doch nicht?
 
Hallo liebe Helfer!

Ich werde seit längerem bei der Google Suche auf andere Seiten weitergeleitet. Habe das erst mal so hingenommen, Browser neu installiert etc und bin dann auf die Schliche gekommen, dass es sich ja um dieses Google Redirect Virus handeln könnte.
Ich habe mir schon den hosts file im system32 angeschaut und dort aber nichts ungewöhnliches gefunden. Auch habe ich einen ntbtlog.txt file erstellen lassen und dort aber auch nichts merkwürdiges gefunden (also keine filenames mit zufälliger Zahlenkombination, underscore am Anfang des Namens oder übermäßig langem Namen).
Ich habe ebenfalls eine Internet Explorer Optimierung gemacht, aber auch danach blieb das Problem bestehen.
Was mir auch noch aufgefallen ist: Ich benutze eigentlich Google Chrome als Browser und dort ist mir das Redirecting Problem natürlich als erstes aufgefallen, hatte es aber auch bei meinen anderen Browsern (IE und Firefox). Jetzt allerdings kommt es bei Chrome eigentlich nicht mehr vor, bei den anderen beiden allerdings schon noch in fast 100% der Fälle.
Kann mir jemand von Euch helfen? Ich wäre sehr sehr dankbar.
Da ich wirklich nicht sehr fachkundig mit Computern bin, würde ich mich über sehr detaillierte Anleitungen freuen.

Vielen Dank
chemaholic

Kann ich irgendwelche Informationen einholen, um mein Problem einzuschätzen? Hat jemand eine Anleitung?

cosinus 07.01.2013 22:17
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

chemaholic 07.01.2013 22:28
Hallo cosinus! Vielen Dank für deine Antwort. Ich habe hier einen log Eintrag von avira vor ein paar Tagen. Dabei wurde auch eine infizierte Datei gefunden, aber diese war glaub ich deswegen da, weil ich auf einer vermeintlichen Hilfe-Seite zum Google Redirecting Virus was runtergeladen hab, was vielleicht auch nicht ganz koscher war. Diese Datei wurde aber von meinem Computer entfernt.

Code:

 
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 5. Januar 2013  23:22
 
Es wird nach 4599616 Virenstämmen gesucht.
 
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
 
Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : ***
 
Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 14:37:04
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  11.05.2012 01:04:57
LUKE.DLL      : 12.3.0.15      68304 Bytes  11.05.2012 01:04:58
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 01:04:58
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 01:04:58
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 03:16:15
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 15:48:02
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 14:19:20
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 01:53:37
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 19:09:52
VBASE007.VDF  : 7.11.50.230  3904512 Bytes  22.11.2012 22:28:38
VBASE008.VDF  : 7.11.55.142  2214912 Bytes  03.01.2013 22:33:13
VBASE009.VDF  : 7.11.55.143    2048 Bytes  03.01.2013 22:33:13
VBASE010.VDF  : 7.11.55.144    2048 Bytes  03.01.2013 22:33:13
VBASE011.VDF  : 7.11.55.145    2048 Bytes  03.01.2013 22:33:13
VBASE012.VDF  : 7.11.55.146    2048 Bytes  03.01.2013 22:33:13
VBASE013.VDF  : 7.11.55.196  260096 Bytes  04.01.2013 23:08:35
VBASE014.VDF  : 7.11.55.197    2048 Bytes  04.01.2013 23:08:35
VBASE015.VDF  : 7.11.55.198    2048 Bytes  04.01.2013 23:08:35
VBASE016.VDF  : 7.11.55.199    2048 Bytes  04.01.2013 23:08:35
VBASE017.VDF  : 7.11.55.200    2048 Bytes  04.01.2013 23:08:35
VBASE018.VDF  : 7.11.55.201    2048 Bytes  04.01.2013 23:08:35
VBASE019.VDF  : 7.11.55.202    2048 Bytes  04.01.2013 23:08:35
VBASE020.VDF  : 7.11.55.203    2048 Bytes  04.01.2013 23:08:35
VBASE021.VDF  : 7.11.55.204    2048 Bytes  04.01.2013 23:08:35
VBASE022.VDF  : 7.11.55.205    2048 Bytes  04.01.2013 23:08:35
VBASE023.VDF  : 7.11.55.206    2048 Bytes  04.01.2013 23:08:35
VBASE024.VDF  : 7.11.55.207    2048 Bytes  04.01.2013 23:08:35
VBASE025.VDF  : 7.11.55.208    2048 Bytes  04.01.2013 23:08:35
VBASE026.VDF  : 7.11.55.209    2048 Bytes  04.01.2013 23:08:35
VBASE027.VDF  : 7.11.55.210    2048 Bytes  04.01.2013 23:08:35
VBASE028.VDF  : 7.11.55.211    2048 Bytes  04.01.2013 23:08:35
VBASE029.VDF  : 7.11.55.212    2048 Bytes  04.01.2013 23:08:35
VBASE030.VDF  : 7.11.55.213    2048 Bytes  04.01.2013 23:08:35
VBASE031.VDF  : 7.11.55.234    41984 Bytes  04.01.2013 23:08:35
Engineversion  : 8.2.10.224
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 01:53:44
AESCRIPT.DLL  : 8.1.4.78      467323 Bytes  22.12.2012 13:26:31
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 22:29:29
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 21:27:16
AERDL.DLL      : 8.2.0.74      643445 Bytes  07.11.2012 13:53:08
AEPACK.DLL    : 8.3.1.2      819574 Bytes  22.12.2012 13:26:31
AEOFFICE.DLL  : 8.1.2.50      201084 Bytes  05.11.2012 13:53:08
AEHEUR.DLL    : 8.1.4.168    5628280 Bytes  22.12.2012 13:26:30
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 21:24:14
AEGEN.DLL      : 8.1.6.12      434549 Bytes  13.12.2012 22:29:28
AEEXP.DLL      : 8.3.0.4      184692 Bytes  22.12.2012 13:26:31
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 01:53:43
AECORE.DLL    : 8.1.30.0      201079 Bytes  13.12.2012 22:29:27
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 13:53:07
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 01:04:57
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 14:37:04
AVREP.DLL      : 12.3.0.15    179208 Bytes  11.05.2012 01:04:58
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 14:37:03
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  11.05.2012 01:04:57
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  11.05.2012 01:04:58
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 20:27:46
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 01:04:58
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 20:27:44
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 14:37:03
 
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50e8a55f\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
 
Beginn des Suchlaufs: Samstag, 5. Januar 2013  23:22
 
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'Reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrCtrCen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YCMMirage.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
 
Der Suchlauf über die ausgewählten Dateien wird begonnen:
 
Beginne mit der Suche in 'C:\cleanup.bat'
C:\cleanup.bat
  [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/Delplug.A
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54040501.qua' verschoben!
 
 
Ende des Suchlaufs: Samstag, 5. Januar 2013  23:26
Benötigte Zeit: 03:56 Minute(n)
 
Der Suchlauf wurde vollständig durchgeführt.
 
      0 Verzeichnisse wurden überprüft
    36 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    35 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

cosinus 07.01.2013 22:39
Log ist unvollständig!!

chemaholic 07.01.2013 22:42
Tschuldigung, hab wohl falsch kopiert! Hab's gerade oben ergänzt.

cosinus 07.01.2013 22:45
Der Fund sieht mir nach einem Fehlalarm aus.
Hattest du sonst nie Funde? Auch mit anderen Tool wie zb Malwarebytes nicht?

chemaholic 08.01.2013 00:58
Hallo!
Ich mache gerade einen großen Scan mit Malwarebytes, der läuft noch (ist aber in den Endzügen). Zwischenzeitlich hat sich allerdings mein Avira wieder zu Wort gemeldet und meint einen Trojaner (crypt.zpack.gen8) entdeckt zu haben.
Hier der Log:

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 8. Januar 2013  00:49

Es wird nach 4615483 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : NAME

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 14:37:04
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  11.05.2012 01:04:57
LUKE.DLL      : 12.3.0.15      68304 Bytes  11.05.2012 01:04:58
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 01:04:58
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 01:04:58
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 03:16:15
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 15:48:02
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 14:19:20
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 01:53:37
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 19:09:52
VBASE007.VDF  : 7.11.50.230  3904512 Bytes  22.11.2012 22:28:38
VBASE008.VDF  : 7.11.55.142  2214912 Bytes  03.01.2013 22:33:13
VBASE009.VDF  : 7.11.55.143    2048 Bytes  03.01.2013 22:33:13
VBASE010.VDF  : 7.11.55.144    2048 Bytes  03.01.2013 22:33:13
VBASE011.VDF  : 7.11.55.145    2048 Bytes  03.01.2013 22:33:13
VBASE012.VDF  : 7.11.55.146    2048 Bytes  03.01.2013 22:33:13
VBASE013.VDF  : 7.11.55.196  260096 Bytes  04.01.2013 23:08:35
VBASE014.VDF  : 7.11.56.23    206848 Bytes  07.01.2013 23:08:13
VBASE015.VDF  : 7.11.56.24      2048 Bytes  07.01.2013 23:08:13
VBASE016.VDF  : 7.11.56.25      2048 Bytes  07.01.2013 23:08:13
VBASE017.VDF  : 7.11.56.26      2048 Bytes  07.01.2013 23:08:13
VBASE018.VDF  : 7.11.56.27      2048 Bytes  07.01.2013 23:08:13
VBASE019.VDF  : 7.11.56.28      2048 Bytes  07.01.2013 23:08:13
VBASE020.VDF  : 7.11.56.29      2048 Bytes  07.01.2013 23:08:13
VBASE021.VDF  : 7.11.56.30      2048 Bytes  07.01.2013 23:08:13
VBASE022.VDF  : 7.11.56.31      2048 Bytes  07.01.2013 23:08:13
VBASE023.VDF  : 7.11.56.32      2048 Bytes  07.01.2013 23:08:13
VBASE024.VDF  : 7.11.56.33      2048 Bytes  07.01.2013 23:08:13
VBASE025.VDF  : 7.11.56.34      2048 Bytes  07.01.2013 23:08:13
VBASE026.VDF  : 7.11.56.35      2048 Bytes  07.01.2013 23:08:13
VBASE027.VDF  : 7.11.56.36      2048 Bytes  07.01.2013 23:08:13
VBASE028.VDF  : 7.11.56.37      2048 Bytes  07.01.2013 23:08:13
VBASE029.VDF  : 7.11.56.38      2048 Bytes  07.01.2013 23:08:13
VBASE030.VDF  : 7.11.56.39      2048 Bytes  07.01.2013 23:08:13
VBASE031.VDF  : 7.11.56.52    52736 Bytes  07.01.2013 23:08:13
Engineversion  : 8.2.10.224
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 01:53:44
AESCRIPT.DLL  : 8.1.4.78      467323 Bytes  22.12.2012 13:26:31
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 22:29:29
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 21:27:16
AERDL.DLL      : 8.2.0.74      643445 Bytes  07.11.2012 13:53:08
AEPACK.DLL    : 8.3.1.2      819574 Bytes  22.12.2012 13:26:31
AEOFFICE.DLL  : 8.1.2.50      201084 Bytes  05.11.2012 13:53:08
AEHEUR.DLL    : 8.1.4.168    5628280 Bytes  22.12.2012 13:26:30
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 21:24:14
AEGEN.DLL      : 8.1.6.12      434549 Bytes  13.12.2012 22:29:28
AEEXP.DLL      : 8.3.0.4      184692 Bytes  22.12.2012 13:26:31
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 01:53:43
AECORE.DLL    : 8.1.30.0      201079 Bytes  13.12.2012 22:29:27
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 13:53:07
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 01:04:57
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 14:37:04
AVREP.DLL      : 12.3.0.15    179208 Bytes  11.05.2012 01:04:58
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 14:37:03
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  11.05.2012 01:04:57
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  11.05.2012 01:04:58
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 20:27:46
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 01:04:58
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 20:27:44
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 14:37:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50eb1f11\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 8. Januar 2013  00:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YCMMirage.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\SysWOW64\reginia.dll'
C:\Windows\SysWOW64\reginia.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8

Beginne mit der Desinfektion:
C:\Windows\SysWOW64\reginia.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54e6ce77.qua' verschoben!


Ende des Suchlaufs: Dienstag, 8. Januar 2013  00:54
Benötigte Zeit: 00:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    44 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    43 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Den Malwarebytes Log poste ich dann, wenn der Scan fertig ist.
Gruß

Hier ist nun der Malwarebytes Log:

Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.07.10

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
 [Administrator]

07.01.2013 22:49:28
mbam-log-2013-01-07 (22-49-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 540669
Laufzeit: 2 Stunde(n), 41 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Ist das normal, dass diese Logs so kurz sind?

cosinus 08.01.2013 19:56
Was hast du hierdran eigentlich nicht verstanden:

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Ich wollte nur schon vorhandene Scans sehen, aber neue Scans mit Malwarebytes o.ä. solltest du nocht garnicht machen

chemaholic 08.01.2013 21:03
Hallo cosinus!
Hier ist noch eine alte log-Datei von Malwarebytes:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.30.08

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
[Administrator]

Schutz: Aktiviert

30.10.2012 22:45:28
mbam-log-2012-10-30 (22-45-28).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230086
Laufzeit: 5 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Tschuldigung, dass ich den weiteren Scan mit Malwarebytes gemacht habe (das mit Avira war kein neuer Scan, das kam im Hintergrund auf). Ich hatte mir diese alte Datei angeschaut und war mir gar nicht sicher, ob das überhaupt eine richtige log-Datei war, da eben - im Vgl zu den Avira-logfiles - fast keine Infos drin waren. Deswegen habe ich den Scan wiederholt. Aber gut, ich werde jetzt nichts mehr auf eigene Faust machen.

Hast du trotzdem vielleicht Vorschläge für die weitere Vorgehensweise?

cosinus 08.01.2013 21:16
Ich will erstmal Informationen sammeln. Gab es sonst keine Funde?

chemaholic 08.01.2013 21:21
Ich habe noch dieses eine Ergebnis von Avira erhalten, als ich ein vermeintlich hilfreiches Program runterladen wollte. Darin wurde aber dann wohl doch eine infizierte Datei entdeckt und auch direkt in Quarantäne verschoben.

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 5. Januar 2013  23:22

Es wird nach 4599616 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (plain)  [6.1.7600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : name

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 14:37:04
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  11.05.2012 01:04:57
LUKE.DLL      : 12.3.0.15      68304 Bytes  11.05.2012 01:04:58
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  11.05.2012 01:04:58
AVREG.DLL      : 12.3.0.17    232200 Bytes  11.05.2012 01:04:58
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 03:16:15
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 15:48:02
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 14:19:20
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 01:53:37
VBASE006.VDF  : 7.11.41.250  4902400 Bytes  06.09.2012 19:09:52
VBASE007.VDF  : 7.11.50.230  3904512 Bytes  22.11.2012 22:28:38
VBASE008.VDF  : 7.11.55.142  2214912 Bytes  03.01.2013 22:33:13
VBASE009.VDF  : 7.11.55.143    2048 Bytes  03.01.2013 22:33:13
VBASE010.VDF  : 7.11.55.144    2048 Bytes  03.01.2013 22:33:13
VBASE011.VDF  : 7.11.55.145    2048 Bytes  03.01.2013 22:33:13
VBASE012.VDF  : 7.11.55.146    2048 Bytes  03.01.2013 22:33:13
VBASE013.VDF  : 7.11.55.196  260096 Bytes  04.01.2013 23:08:35
VBASE014.VDF  : 7.11.55.197    2048 Bytes  04.01.2013 23:08:35
VBASE015.VDF  : 7.11.55.198    2048 Bytes  04.01.2013 23:08:35
VBASE016.VDF  : 7.11.55.199    2048 Bytes  04.01.2013 23:08:35
VBASE017.VDF  : 7.11.55.200    2048 Bytes  04.01.2013 23:08:35
VBASE018.VDF  : 7.11.55.201    2048 Bytes  04.01.2013 23:08:35
VBASE019.VDF  : 7.11.55.202    2048 Bytes  04.01.2013 23:08:35
VBASE020.VDF  : 7.11.55.203    2048 Bytes  04.01.2013 23:08:35
VBASE021.VDF  : 7.11.55.204    2048 Bytes  04.01.2013 23:08:35
VBASE022.VDF  : 7.11.55.205    2048 Bytes  04.01.2013 23:08:35
VBASE023.VDF  : 7.11.55.206    2048 Bytes  04.01.2013 23:08:35
VBASE024.VDF  : 7.11.55.207    2048 Bytes  04.01.2013 23:08:35
VBASE025.VDF  : 7.11.55.208    2048 Bytes  04.01.2013 23:08:35
VBASE026.VDF  : 7.11.55.209    2048 Bytes  04.01.2013 23:08:35
VBASE027.VDF  : 7.11.55.210    2048 Bytes  04.01.2013 23:08:35
VBASE028.VDF  : 7.11.55.211    2048 Bytes  04.01.2013 23:08:35
VBASE029.VDF  : 7.11.55.212    2048 Bytes  04.01.2013 23:08:35
VBASE030.VDF  : 7.11.55.213    2048 Bytes  04.01.2013 23:08:35
VBASE031.VDF  : 7.11.55.234    41984 Bytes  04.01.2013 23:08:35
Engineversion  : 8.2.10.224
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 01:53:44
AESCRIPT.DLL  : 8.1.4.78      467323 Bytes  22.12.2012 13:26:31
AESCN.DLL      : 8.1.10.0      131445 Bytes  13.12.2012 22:29:29
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 21:27:16
AERDL.DLL      : 8.2.0.74      643445 Bytes  07.11.2012 13:53:08
AEPACK.DLL    : 8.3.1.2      819574 Bytes  22.12.2012 13:26:31
AEOFFICE.DLL  : 8.1.2.50      201084 Bytes  05.11.2012 13:53:08
AEHEUR.DLL    : 8.1.4.168    5628280 Bytes  22.12.2012 13:26:30
AEHELP.DLL    : 8.1.25.2      258423 Bytes  11.10.2012 21:24:14
AEGEN.DLL      : 8.1.6.12      434549 Bytes  13.12.2012 22:29:28
AEEXP.DLL      : 8.3.0.4      184692 Bytes  22.12.2012 13:26:31
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 01:53:43
AECORE.DLL    : 8.1.30.0      201079 Bytes  13.12.2012 22:29:27
AEBB.DLL      : 8.1.1.4        53619 Bytes  05.11.2012 13:53:07
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  11.05.2012 01:04:57
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 14:37:04
AVREP.DLL      : 12.3.0.15    179208 Bytes  11.05.2012 01:04:58
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 14:37:03
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  11.05.2012 01:04:57
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  11.05.2012 01:04:58
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 20:27:46
NETNT.DLL      : 12.3.0.15      17104 Bytes  11.05.2012 01:04:58
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 20:27:44
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 14:37:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_50e8a55f\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Samstag, 5. Januar 2013  23:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'Reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrCtrCen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YCMMirage.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\cleanup.bat'
C:\cleanup.bat
  [FUND]      Enthält Erkennungsmuster des Batch-Virus BAT/Delplug.A
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54040501.qua' verschoben!


Ende des Suchlaufs: Samstag, 5. Januar 2013  23:26
Benötigte Zeit: 03:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    36 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    35 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
Das sind allerdings alle Informationen, die ich habe. :confused:

cosinus 08.01.2013 21:27
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

chemaholic 08.01.2013 22:08
Vielen Dank für deine Anweisungen.

Hier der log:

Code:
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2013.01.08.12

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
[administrator]

08.01.2013 21:56:50
mbar-log-2013-01-08 (21-56-50).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 31808
Time elapsed: 15 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
Es wurde wohl immer noch nichts gefunden...

Ich hatte allerdings folgende Meldung vor Beginn des Scans:

Code:
Registry value "AppInit_Dlls" has been found, which may be caused by rootkit activity.
Note: Press "No" if you're not sure. If the tool crashes or terminates unexpectedly during a system scan, restart the tool and press "Yes" should this message appear again.
Do you want to remove this value and restart this tool?
Yes / No
Hier habe ich erst einmal, wie empfohlen, "no" geklickt. Es kam ja auch nicht zu einem plötzlichen Abbruch des Scans.

cosinus 09.01.2013 10:25
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

chemaholic 09.01.2013 19:56
Okay!
Ich wollte CombiFix starten und hatte auch Avira abgeschaltet (mittels Echtzeitscanner --> AUS), allerdings zeigt CombiFix an, dass der Scanner trotzdem noch aktiv sei.
Was kann ich tun?

Hat doch noch alles geklappt!

Hier der Log File:

Code:
ComboFix 13-01-08.01 - Dominik Nachname 09.01.2013  20:21:55.1.4 - x64
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.3893.2359 [GMT 1:00]
ausgeführt von:: c:\users\Dominik Nachname\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\cleanup.exe
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\vpngui.exe.lnk
c:\programdata\pswi_preloaded.exe
C:\zip.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-09 bis 2013-01-09  ))))))))))))))))))))))))))))))
.
.
2013-01-09 19:30 . 2013-01-09 19:30        --------        d-----w-        c:\users\UpdatusUser\AppData\Local\temp
2013-01-09 19:30 . 2013-01-09 19:30        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-01-09 09:56 . 2013-01-09 09:57        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{E173009B-E9B7-47BA-8348-5D17C6C6A417}
2013-01-08 21:26 . 2013-01-08 21:27        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C6909E02-F4D2-478B-92E9-DD03517F0994}
2013-01-08 09:26 . 2013-01-08 09:26        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B912E9DC-FF53-45E1-AECB-75847CD23FC9}
2013-01-07 21:24 . 2013-01-07 21:24        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\Programs
2013-01-07 14:15 . 2013-01-07 14:15        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{4C4E3E5F-3576-4A08-8E59-878CAB7E16E6}
2013-01-07 01:02 . 2013-01-07 01:02        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B4109758-9894-4D30-AA7B-B8EBE3196103}
2013-01-06 13:01 . 2013-01-06 13:01        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C75F2646-2CD8-4ADA-B2EE-75313076840C}
2013-01-05 22:08 . 2013-01-05 22:08        61440        ----a-w-        c:\windows\SysWow64\drivers\ktgz.sys
2013-01-05 22:08 . 2013-01-05 22:08        0        ----a-w-        C:\backup.reg
2013-01-05 14:29 . 2013-01-05 14:29        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{4DC5A961-A520-4284-A16A-E46411DEB46C}
2013-01-04 17:15 . 2013-01-04 17:16        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{1EE4D581-2A99-4DA3-89E3-8A32C3FF6246}
2013-01-03 22:31 . 2013-01-03 22:32        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{1E6CD97E-952A-4867-BEA9-F2975604028C}
2013-01-02 23:05 . 2013-01-02 23:05        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{ECA085D9-3B64-46E1-A242-AEEF6AE992D3}
2013-01-02 10:57 . 2013-01-02 10:58        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{3E494002-906E-4CC4-956C-27DC44F6E4DD}
2013-01-01 16:43 . 2013-01-01 16:43        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C9CE02BF-F6C9-474F-A8F5-80C789CC6E40}
2012-12-30 14:27 . 2012-12-30 14:28        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{8E76AF90-A6DF-4B9C-9BD3-87BB2AA7F134}
2012-12-30 02:02 . 2012-12-30 02:02        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{824CF6DA-5B47-47D9-AF08-661FEA4E8726}
2012-12-29 14:02 . 2012-12-29 14:02        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C51ADF26-794B-43DC-80DD-0B610C21516B}
2012-12-28 13:29 . 2012-12-28 13:30        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{1E265F86-FAFF-4351-B19E-174BB50DFF08}
2012-12-27 19:09 . 2012-12-27 19:10        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{BD0A6020-199B-4E03-A75C-834BEFA3D6AE}
2012-12-26 23:13 . 2012-12-26 23:13        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{8FAFA17C-180E-4C0C-8E64-65B235D3FD1C}
2012-12-26 09:54 . 2012-12-26 09:55        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B7FC1433-3C46-40FC-A630-D7BE1019654B}
2012-12-25 16:55 . 2012-12-25 16:55        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{D3E00663-E4D9-4A67-9D44-A48BFA276ADC}
2012-12-24 22:50 . 2012-12-24 22:51        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{86BB106D-BEC6-4C41-B294-70880BA2838C}
2012-12-24 08:41 . 2012-12-24 08:41        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{D6E57656-6AF3-4A3E-A463-F0F3EA326043}
2012-12-24 08:16 . 2012-12-24 08:16        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{5BC8EF07-9507-44CB-9E11-B05D7BD799A9}
2012-12-23 23:54 . 2012-12-23 23:54        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{CB1E57CC-2832-4AF8-8FE1-CD4C439E57F1}
2012-12-23 10:39 . 2012-12-23 10:39        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B3D29450-C48C-4508-A411-7098F37940A4}
2012-12-22 13:25 . 2012-12-16 16:52        46080        ----a-w-        c:\windows\system32\atmlib.dll
2012-12-22 13:25 . 2012-12-16 14:40        367616        ----a-w-        c:\windows\system32\atmfd.dll
2012-12-22 13:25 . 2012-12-16 14:25        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll
2012-12-22 13:25 . 2012-12-16 14:25        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll
2012-12-22 13:23 . 2012-12-22 13:24        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C3D74A0C-0796-4653-A89D-2819AA080A35}
2012-12-21 19:12 . 2012-12-21 19:12        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{2340F26B-02DE-479C-A3FB-44CC1D697026}
2012-12-21 13:22 . 2012-12-21 13:22        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{02820047-0E9D-466E-8A8B-0D5A4AF861B2}
2012-12-20 10:41 . 2012-12-20 10:42        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{57FD1368-664B-4D5C-86FF-E65211C37A24}
2012-12-19 10:37 . 2012-12-19 10:38        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{5B0372E7-4151-4622-89A7-1E769E9F356B}
2012-12-18 08:05 . 2012-12-18 08:05        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{C1AE0EAD-A212-468F-9775-22685F55147B}
2012-12-17 11:42 . 2012-12-17 11:42        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{2B4150A8-9059-4F1B-91A5-631D8FFD51F4}
2012-12-16 23:13 . 2012-12-16 23:13        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{3EBA3EF0-B6E6-4398-A21E-9EEC5F236116}
2012-12-16 11:12 . 2012-12-16 11:13        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{FEEF4873-3749-4AB8-AA19-3C3A2F6D79EC}
2012-12-15 23:12 . 2012-12-15 23:12        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{1A151A0F-5517-48FB-8FD4-E7E0E81A4BD9}
2012-12-15 11:11 . 2012-12-15 11:12        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{5D21E3C4-3A19-48E0-8F75-CEC48EA53618}
2012-12-14 23:11 . 2012-12-14 23:11        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{39A62422-9854-46DE-8898-E12470A8F84E}
2012-12-14 11:10 . 2012-12-14 11:11        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{95CF8259-50E3-4187-AB07-CEFCFD1BD538}
2012-12-13 23:10 . 2012-12-13 23:10        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{7FCB1227-E944-410A-9179-47AF1DA2CC82}
2012-12-13 11:07 . 2012-12-13 11:07        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B746B2BA-528D-4F74-A015-5974A2F3BD1B}
2012-12-12 23:06 . 2012-12-12 23:06        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{D6A96840-1819-4BA6-955C-6B0F8BB7F1FD}
2012-12-12 11:06 . 2012-12-12 11:06        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{4C85E5C6-0048-4AA6-A273-0CDAB29391A5}
2012-12-11 23:05 . 2012-12-11 23:06        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{B3A4046A-EBA2-41F2-83AD-675FD098A194}
2012-12-11 22:40 . 2012-11-09 05:34        2048        ----a-w-        c:\windows\system32\tzres.dll
2012-12-11 22:40 . 2012-11-09 04:49        2048        ----a-w-        c:\windows\SysWow64\tzres.dll
2012-12-11 22:40 . 2012-11-22 08:20        3147264        ----a-w-        c:\windows\system32\win32k.sys
2012-12-11 11:05 . 2012-12-11 11:05        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{1A094D26-53B6-4E5A-9C6F-D586861BBC6D}
2012-12-10 22:41 . 2012-12-10 22:42        --------        d-----w-        c:\users\Dominik Nachname\AppData\Local\{EA6A05E1-F7B2-47E5-AF7C-6356C14F5070}
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-09 11:51 . 2012-06-16 18:49        74248        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-01-09 11:51 . 2012-06-16 18:49        697864        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2012-12-22 18:23 . 2011-08-07 23:45        893552        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2012-12-22 18:23 . 2011-08-07 23:44        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM-2\StartResources.dll
2012-12-22 18:23 . 2011-07-25 04:12        1236816        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2012-12-14 15:49 . 2012-10-30 21:42        24176        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-12-12 02:02 . 2010-07-07 15:49        67413224        ----a-w-        c:\windows\system32\MRT.exe
2012-10-16 21:20 . 2012-11-28 09:27        135168        ----a-w-        c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2012-10-16 21:20 . 2012-11-28 09:27        347648        ----a-w-        c:\windows\apppatch\AppPatch64\AcLayers.dll
2012-10-16 20:34 . 2012-11-28 09:27        559104        ----a-w-        c:\windows\apppatch\AcLayers.dll
2012-10-12 07:19 . 2012-10-27 12:27        9291768        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{17C5DA0F-D2F6-4875-AB23-25AF7CA554BA}\mpengine.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-11-09 17878704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files (x86)\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files (x86)\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files (x86)\Launch Manager\Wbutton.exe" [2010-06-21 436264]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"YouCam Mirage"="c:\program files (x86)\CyberLink\YouCam\YCMMirage.exe" [2010-10-29 136488]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2010-06-08 618496]
"PDFPrint"="c:\program files (x86)\PDF24\pdf24.exe" [2011-12-16 220744]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"BrMfcWnd"="c:\program files (x86)\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]
"ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R0 olqaehm;olqaehm;c:\windows\system32\drivers\ktgz.sys [x]
R2 ACProtector;AC Auto-update system;c:\program files\AxiomCoders\ACProtector\ACProtector.exe [2012-02-29 142808]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-10-19 160944]
R2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
R3 CZCanSrv;CZCanSrv;c:\program files (x86)\Common Files\Carl Zeiss\CZCanSrv.exe [2011-09-02 258048]
R3 DESVUSB;Dell service driver;c:\windows\system32\DRIVERS\desrvusb.sys [2009-06-04 24064]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam_x64.sys [2008-03-13 27136]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2010-05-24 246304]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-05-10 51712]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2011-06-23 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2010-10-27 24680]
S2 aksdf;aksdf;c:\windows\system32\drivers\aksdf.sys [2009-08-26 71040]
S2 deMntrService;Dell AIO Center Service;c:\program files\Dell\MFP_DELL\deMntrService.exe [2007-06-28 164864]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]
S2 MTBService_1.8.1.8;MTB2004 Server (1.8.1.8);c:\program files\Carl Zeiss\MTB 2004 - 1.8.1.8\MTB Server Console\MTBService.exe [2012-03-02 20480]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-27 236136]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [2010-10-29 31088]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-18 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-27 158976]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-06-21 287232]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2010-03-04 75816]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-09-30 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-09-30 180736]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-03-02 1098784]
S3 WisLMSvc;WisLMSvc;c:\program files (x86)\Launch Manager\WisLMSvc.exe [2009-10-23 118560]
S4 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - avipbb
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-16 11:51]
.
2013-01-09 c:\windows\Tasks\Fjmzu.job
- c:\windows\system32\rundll32.exe [2009-07-13 01:14]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-09-02 11465320]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-09-02 2120808]
"DeStatusMon"="c:\program files\Dell\MFP_DELL\deDvcStatus.exe" [2007-06-28 394240]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 415256]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.facebook.com/
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to MP3 Converter - c:\users\Dominik Nachname\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
LSP: %systemroot%\AxiomLsp.dll
TCP: DhcpNameServer = 80.69.100.110 80.69.100.214
FF - ProfilePath - c:\users\Dominik Nachname\AppData\Roaming\Mozilla\Firefox\Profiles\et0sk0sk.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-RocketDock - c:\program files (x86)\RocketDock\RocketDock.exe
Wow6432Node-HKLM-Run-ScanSoft OmniPage SE 4-reminder - c:\program files (x86)\ScanSoft\OmniPageSE4\Ereg\Ereg.exe
SafeBoot-BsScanner
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-Corel Photo Downloader - c:\program files (x86)\Corel\Corel Snapfire Plus\Corel Photo Downloader.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-01-09  20:33:34
ComboFix-quarantined-files.txt  2013-01-09 19:33
.
Vor Suchlauf: 11 Verzeichnis(se), 445.601.193.984 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 448.033.509.376 Bytes frei
.
- - End Of File - - BB6E9E10ACE9C29842A818C82E070A19
Habe im log File meinen eigentlichen Nachname durch "Nachname" ersetzt. Hoffe das ist okay so für deine Einschätzung des log files.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:10 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27