Trojaner-Board - GVU Trojaner auf Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner auf Windows XP (https://www.trojaner-board.de/133433-gvu-trojaner-windows-xp.html)

GVU Trojaner auf Windows XP

Servuz,

auch mich hat es erwischt. Seit Gestern habe ich die Bildschirmsperre der GVU und nix geht mehr.
Abgesicherter Modus über meinen Zugang funktioniert nicht, System fährt gleich wieder runter.
Habe aber noch einen Admin und Gast Zugang. Beide sind über den Abgesicherten Modus erreichbar.
Da ich in kurzen Recherchen im Netz erschreckende Sachen gelesen habe, bin ich überzeugt, hier professionelle Hilfe zu erhalten.

Grüße Pitboing

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:

Bitte lesen:
Regeln für die Bereinigung

Illegal genutzte Software
Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
Keine Garantie
Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
Keine Alleingänge
Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
Aufmerksam lesen und nachfragen
Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
Richtig antworten
- Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
- Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss.
- Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
  [CODE] (Logfile) [/CODE]
- Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten.
Keine privaten Nachrichten
Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
Wie läuft die Bereinigung ab?
Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo ryder,

ich hatte Probleme mit Norton, Combofix zeigte ständig an, das ich den Scanner noch aktiv hätte,auch nach einer Deinstallation von Norton kam die gleiche Meldung!
Habe Sie dann ignoriert.... ich hoffe das war kein Fehler.

Grüße Pitboing

hier kommt der Logfile:

Code:

ComboFix 13-04-09.01 - Administrator 09.04.2013  19:45:53.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2390 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

AV: Norton 360 Online *Enabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton 360 Online *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

c:\dokumente und einstellungen\All Users\SPL28.tmp

c:\windows\Downloaded Program Files\popcaploader.dll

c:\windows\Downloaded Program Files\popcaploader.inf

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000007_.tmp.dll

c:\windows\system32\_000011_.tmp.dll

c:\windows\system32\muzapp.exe

c:\windows\system32\SET164.tmp

c:\windows\system32\SET1A8.tmp

c:\windows\system32\SET1AC.tmp

c:\windows\system32\SET1AD.tmp

c:\windows\system32\SET53.tmp

c:\windows\system32\SET55.tmp

c:\windows\system32\SET59.tmp

c:\windows\system32\SET5A.tmp

c:\windows\system32\SET61.tmp

c:\windows\system32\SET63.tmp

c:\windows\system32\SET8C.tmp

c:\windows\system32\SET8D.tmp

c:\windows\system32\SET91.tmp

c:\windows\system32\SET92.tmp

c:\windows\system32\SET93.tmp

c:\windows\system32\SET97.tmp

c:\windows\system32\SET99.tmp

c:\windows\system32\SETFA.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-03-09 bis 2013-04-09  ))))))))))))))))))))))))))))))

.

.

2013-04-08 17:43 . 2013-04-08 20:05        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-03-30 17:39 . 2013-03-30 17:39        --------        d-----w-        c:\programme\Samsung

2013-03-30 15:39 . 2013-03-30 15:39        --------        d-----w-        c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Adobe

2013-03-21 19:04 . 2013-02-12 00:32        12928        -c----w-        c:\windows\system32\dllcache\usb8023x.sys

2013-03-21 19:04 . 2013-02-12 00:32        12928        -c----w-        c:\windows\system32\dllcache\usb8023.sys

2013-03-14 09:06 . 2013-03-14 09:06        16486616        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-03-14 09:06 . 2012-03-29 19:17        693976        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-03-14 09:06 . 2011-05-20 05:48        73432        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-12 00:32 . 2008-04-13 18:56        12928        ------w-        c:\windows\system32\drivers\usb8023x.sys

2013-02-12 00:32 . 2004-08-03 23:04        12928        ----a-w-        c:\windows\system32\drivers\usb8023.sys

2013-02-05 19:56 . 2004-08-04 00:57        916480        ----a-w-        c:\windows\system32\wininet.dll

2013-02-05 19:56 . 2004-08-04 00:57        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2013-02-05 19:56 . 2004-08-04 00:58        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2013-02-05 05:53 . 2004-08-04 00:42        385024        ----a-w-        c:\windows\system32\html.iec

2013-01-26 03:55 . 2004-08-04 00:57        552448        ------w-        c:\windows\system32\oleaut32.dll

2012-07-04 17:57 . 2011-04-17 14:58        85472        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

2009-03-31 20:47 . 2009-01-17 19:53        324976        ----a-w-        c:\programme\mozilla firefox\components\coFFPlgn.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]

"WinSys2"="c:\windows\system32\winsys2.exe" [2008-07-09 208896]

"SAFEHOME HotKeys"="c:\programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 25088]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"lxeamon.exe"="c:\programme\Lexmark S300-S400 Series\lxeamon.exe" [2010-01-18 770728]

"EzPrint"="c:\programme\Lexmark S300-S400 Series\ezprint.exe" [2010-01-18 139944]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-12-08 421736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-10-08 16744256]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-10-08 203072]

"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2011-10-08 1632360]

"Philips Device Listener"="c:\programme\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe" [2012-12-25 380416]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\PPLiveVA\\Application\\pplap.exe"=

"c:\\WINDOWS\\system32\\lxeacoms.exe"=

"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\scan\\scanman6.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Programme\\Landwirtschafts Simulator 2011\\FarmingSimulator2011.exe"=

"c:\\Programme\\Landwirtschafts Simulator 2011\\game.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\Anno5.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\AutoPatcher.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\InitEngine.exe"=

"e:\\Programme\\Star Wars-The Old Republic\\swtor\\retailclient\\swtor.exe"=

"e:\\Programme\\Star Wars-The Old Republic\\launcher.exe"=

"e:\\Programme\\Stronghold2.exe"=

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.01.2009 11:22 717296]

R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 14:33 80232]

R2 a2free;a-squared Free Service;c:\programme\a-squared Free\a2service.exe [28.12.2009 21:43 1858144]

R2 lxea_device;lxea_device;c:\windows\system32\lxeacoms.exe -service --> c:\windows\system32\lxeacoms.exe -service [?]

S2 lxeaCATSCustConnectService;lxeaCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxeaserv.exe [23.05.2010 09:35 98984]

S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [07.08.2009 20:51 36608]

.

Inhalt des "geplante Tasks" Ordners

.

2013-04-07 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 09:06]

.

2013-04-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2013-04-09 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{07BA1DA9-F501-4796-8728-74D1B91A6CD5} - c:\programme\PokerStars.EU\PokerStarsUpdate.exe

TCP: DhcpNameServer = 192.168.2.1

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game08.zylom.com/activex/zylomgamesplayer.cab

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ok2huwh4.default\

FF - ExtSQL: 2013-04-06 16:53; {BBDA0591-3099-440a-AA10-41764D9DB4DB}; c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\IPSFFPlgn

FF - ExtSQL: 2013-04-08 19:37; {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}; c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\coFFPlgn

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

HKU-Default-RunOnce-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil32_11_6_602_171_ActiveX.exe

AddRemove-{D8CE69B0-9274-4b8c-BA49-0FF6A20A3C65} - c:\programme\SAMSUNG\SYMBIAN USB Download Driver\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-04-09 19:51

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

c:\programme\Internet Explorer\iexplore.exe [3972] 0x89A7A460

c:\programme\Internet Explorer\iexplore.exe [4072] 0x89A54DA0

c:\programme\Internet Explorer\iexplore.exe [532] 0x897C2BC0

c:\programme\Internet Explorer\iexplore.exe [3980] 0x89316838

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

.

c:\windows\TEMP\~DF3AA4.tmp 16384 bytes

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 1

.

**************************************************************************

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net

Windows 5.1.2600 

.

CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

device: opened successfully

user: error reading MBR 

kernel: MBR read successfully

detected disk devices:

detected hooks:

\Driver\atapi DriverStartIo -> 0x89CA70AE

\Driver\atapi -> 0x89ca6f76

IoDeviceObjectType -> ParseProcedure -> 0x89ca620c

\Device\Harddisk0\DR0 -> ParseProcedure -> 0x89ca620c

user != kernel MBR !!! 

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5e,5e,00,70,1f,f8,91,48,9a,d9,42,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5e,5e,00,70,1f,f8,91,48,9a,d9,42,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2013-04-09  19:52:19

ComboFix-quarantined-files.txt  2013-04-09 17:52

.

Vor Suchlauf: 6.077.603.840 Bytes frei

Nach Suchlauf: 6.560.788.480 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - FC505699A7760C56C8B58C20F8B04997

Ok. Da ist irgendwas sehr faul. Kannst du wieder normal booten? Wenn ja, sichere bitte mal alle wichtigen Daten bevor wir weiter machen.

Leider geht das über mein normales Konto immer noch nicht. Weiterhin der GVU Trojaner
Ich kann nur über den Admin rein... warum ich den hab weiß ich auch nicht...
Den PC hat mir ein Bekannter zusammengestellt. Der hat wohl ein Adminkonto angelegt.
Kann ich hierrüber auch meine Daten sichern?

Über den Admin kommst du natürlich an alle Daten dran.

Mach mal so weiter:

Scan mit MBAR
Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Ich habe erfolgreich das Tool gestartet,hatte auch 3 Treffer.
MBar hat mich aufgefordert das System zu reinigen und neu zu starten. Danach habe ich einen 2. scan gemacht.Jetzt keine Treffer mehr aber auch keine logfile.
Aber ich kann jetzt wieder über mein Konto rein und der Sperrbildschirm ist weg.

Schön, ich hätte aber dennoch gerne das Logfile mit den Funden gesehen.

Ist der Logfile vielleicht irgendwo gespeichert?
Was ist jetzt noch zu tun?
Datensicherung?
Gibt es da auch Tools die so etwas vereinfachen?

Wie wärs wenn wir diesen kleinen Hinweis aus meiner Anleitung nehmen?

Zitat:

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

sry alles durchsucht keine logfile

Dann gehe bitte ins infizierte Konto und scanne nochmals mit Combofix.

so hier die logfile:

Code:

ComboFix 13-04-09.01 - ElitePC 09.04.2013  22:49:32.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2433 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\ElitePC\Desktop\ComboFix.exe

AV: Norton 360 Online *Enabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton 360 Online *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\ElitePC\Anwendungsdaten\skype.ini

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-03-09 bis 2013-04-09  ))))))))))))))))))))))))))))))

.

.

2013-04-09 18:45 . 2013-04-09 18:45        35144        ----a-w-        c:\windows\system32\drivers\mbamchameleon.sys

2013-04-09 18:32 . 2013-04-09 18:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2013-04-08 17:43 . 2013-04-08 20:05        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2013-03-30 17:39 . 2013-03-30 17:39        --------        d-----w-        c:\programme\Samsung

2013-03-21 19:04 . 2013-02-12 00:32        12928        -c----w-        c:\windows\system32\dllcache\usb8023x.sys

2013-03-21 19:04 . 2013-02-12 00:32        12928        -c----w-        c:\windows\system32\dllcache\usb8023.sys

2013-03-14 09:06 . 2013-03-14 09:06        16486616        ----a-w-        c:\windows\system32\FlashPlayerInstaller.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-03-14 09:06 . 2012-03-29 19:17        693976        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-03-14 09:06 . 2011-05-20 05:48        73432        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-12 00:32 . 2008-04-13 18:56        12928        ------w-        c:\windows\system32\drivers\usb8023x.sys

2013-02-12 00:32 . 2004-08-03 23:04        12928        ----a-w-        c:\windows\system32\drivers\usb8023.sys

2013-02-05 19:56 . 2004-08-04 00:57        916480        ----a-w-        c:\windows\system32\wininet.dll

2013-02-05 19:56 . 2004-08-04 00:57        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2013-02-05 19:56 . 2004-08-04 00:58        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2013-02-05 05:53 . 2004-08-04 00:42        385024        ----a-w-        c:\windows\system32\html.iec

2013-01-26 03:55 . 2004-08-04 00:57        552448        ------w-        c:\windows\system32\oleaut32.dll

2012-07-04 17:57 . 2011-04-17 14:58        85472        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

2009-03-31 20:47 . 2009-01-17 19:53        324976        ----a-w-        c:\programme\mozilla firefox\components\coFFPlgn.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"Spiele Post"="c:\programme\OXXOGames\GPlayer\GameCenterNotifier.exe" [2011-10-13 479984]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]

"WinSys2"="c:\windows\system32\winsys2.exe" [2008-07-09 208896]

"SAFEHOME HotKeys"="c:\programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 25088]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"lxeamon.exe"="c:\programme\Lexmark S300-S400 Series\lxeamon.exe" [2010-01-18 770728]

"EzPrint"="c:\programme\Lexmark S300-S400 Series\ezprint.exe" [2010-01-18 139944]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-11-02 59240]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-12-08 421736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-10-08 16744256]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-10-08 203072]

"nwiz"="c:\programme\NVIDIA Corporation\nview\nwiz.exe" [2011-10-08 1632360]

"Philips Device Listener"="c:\programme\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe" [2012-12-25 380416]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\ElitePC\Startmenü\Programme\Autostart\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsNetHood"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\PPLiveVA\\Application\\pplap.exe"=

"c:\\WINDOWS\\system32\\lxeacoms.exe"=

"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\scan\\scanman6.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Programme\\Landwirtschafts Simulator 2011\\FarmingSimulator2011.exe"=

"c:\\Programme\\Landwirtschafts Simulator 2011\\game.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\Anno5.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\AutoPatcher.exe"=

"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 2070\\InitEngine.exe"=

"e:\\Programme\\Star Wars-The Old Republic\\swtor\\retailclient\\swtor.exe"=

"e:\\Programme\\Star Wars-The Old Republic\\launcher.exe"=

"e:\\Programme\\Stronghold2.exe"=

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.01.2009 11:22 717296]

R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 14:33 80232]

R2 a2free;a-squared Free Service;c:\programme\a-squared Free\a2service.exe [28.12.2009 21:43 1858144]

R2 lxea_device;lxea_device;c:\windows\system32\lxeacoms.exe -service --> c:\windows\system32\lxeacoms.exe -service [?]

S2 lxeaCATSCustConnectService;lxeaCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxeaserv.exe [23.05.2010 09:35 98984]

S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [07.08.2009 20:51 36608]

S3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys [09.04.2013 20:45 35144]

.

Inhalt des "geplante Tasks" Ordners

.

2013-04-09 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 09:06]

.

2013-04-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

IE: {{07BA1DA9-F501-4796-8728-74D1B91A6CD5} - c:\programme\PokerStars.EU\PokerStarsUpdate.exe

TCP: DhcpNameServer = 192.168.2.1

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game08.zylom.com/activex/zylomgamesplayer.cab

FF - ProfilePath - c:\dokumente und einstellungen\ElitePC\Anwendungsdaten\Mozilla\Firefox\Profiles\3up4jwml.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - ExtSQL: !HIDDEN! 2009-10-18 11:24; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - user.js: yahoo.homepage.dontask - true

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-BLASC - c:\programme\buffed\BLASC.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-04-09 22:54

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5c,f6,f2,66,81,4d,16,4d,af,60,9b,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5e,5e,00,70,1f,f8,91,48,9a,d9,42,\

.

[HKEY_USERS\S-1-5-21-1123561945-790525478-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:3b,52,be,b4,42,fa,79,e2,3d,d0,5f,45,bc,ee,22,76,68,43,b1,45,71,

   16,94,47,9e,aa,9c,e2,b3,30,30,8c,61,76,7e,9f,97,2f,37,90,62,d3,de,a6,5e,6d,\

"rkeysecu"=hex:2f,20,05,df,a2,92,8b,f3,ae,d7,c1,81,bf,ba,1a,b8

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2013-04-09  22:55:45

ComboFix-quarantined-files.txt  2013-04-09 20:55

ComboFix2.txt  2013-04-09 17:52

.

Vor Suchlauf: 6.465.847.296 Bytes frei

Nach Suchlauf: 6.512.656.384 Bytes frei

.

- - End Of File - - AE47DBAF2C48D268FCC707C2C9986397

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.

Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner

Lade und starte Eset Online Scanner

Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hier die Ergebnisse:

Schritt 1: 1 Fund
da hab ich 2 logfiles!?!

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.04.10.10
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrator :: CORE2DUOE7300 [Administrator]
 

Schutz: Aktiviert
 

10.04.2013 19:01:42

mbam-log-2013-04-10 (19-01-42).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 482418

Laufzeit: 1 Stunde(n), 3 Minute(n), 13 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Programme\Steganos Safe Home\dllregister.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

und

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.04.10.10
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrator :: CORE2DUOE7300 [Administrator]
 

Schutz: Aktiviert
 

10.04.2013 19:01:42

MBAM-log-2013-04-10 (20-05-23).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 482418

Laufzeit: 1 Stunde(n), 3 Minute(n), 13 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Programme\Steganos Safe Home\dllregister.exe (Adware.Agent.ZGen) -> Keine Aktion durchgeführt.
 

(Ende)

Schritt2: 2 Funde

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=a21b2e9d5eb37642a72efacd7cc1cded

# engine=13591

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-04-10 07:26:22

# local_time=2013-04-10 09:26:22 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# scanned=164191

# found=2

# cleaned=0

# scan_time=4277

sh=890AF20E9078D7D9A0C9BEC3661A662E2F919B57 ft=1 fh=70880bb46cf841aa vn="Win32/TrojanDownloader.Agent.RDN trojan" ac=I fn="C:\Programme\Mozilla Firefox\BASE524866.EXE"

sh=890AF20E9078D7D9A0C9BEC3661A662E2F919B57 ft=1 fh=70880bb46cf841aa vn="Win32/TrojanDownloader.Agent.RDN trojan" ac=I fn="C:\Programme\Mozilla Firefox\BASE7151436.EXE"

Schritt 3:

Code:

 Results of screen317's Security Check version 0.99.61  

 Windows XP Service Pack 3 x86   

 Internet Explorer 8  
 ``````````````Antivirus/Firewall Check:`````````````` 

Norton 360 Online   

 Antivirus up to date!  
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.75.0.1300  

 Java(TM) 6 Update 20  

 Java version out of Date! 

 Adobe Flash Player         11.6.602.180  

 Adobe Reader 9 Adobe Reader out of Date! 

 Mozilla Firefox 13.0.1 Firefox out of Date!  
 ````````Process Check: objlist.exe by Laurent````````  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C::  
 ````````````````````End of Log``````````````````````

So ich hoffe wir sind einen Schritt weiter...:killpc: