markise 20.06.2013 11:36

Win7 langsam, Lizenzierung verschwunden, Scanner findet 'Bloodhound.MalPE', Malwarebytes verschwunden... aah!

ich scheine da ein Problem mit meinem Laptop zu haben.. er wurde mal mit Windows Vista gekauft und hat 2009 ein Upgrade auf Windows 7 bekommen. (So ein Sonderangebot für Studentenlizenz.)


Seit längerem ist er langsam (ich hätte mich wirklich mal drum kümmern sollen).

Vor ein paar Wochen hat der SMTP-Server meines Emailanbieters gesagt, dass er sich weigert mit meinem Rechner zu kommunizieren, weil es Missbrauchsverdacht gäbe. Nach zwei Warnungen hat er nicht mehr geantwortet. Ich habe draufhin mein Mailkennwort geändert (und mir ist aufgefallen, dass die Verbindungs-Verschlüsselung ausgeschaltet war, die hab ich eingeschaltet >.<), und nach ein paar Tagen gings wieder. Hätte mir zu denken geben sollen.

Vor ein paar Tagen hat er sich beim Installieren von den neuesten Updates aufgehängt (sowas sollte nicht ne ganze Nacht dauern) und beim Neustart gesagt, die Echtheit der Kopie sei noch nicht bestätigt. Außerdem sagt er 'Windows muss wiederhergestellt werden. An Windows wurde eine nicht autorisierte Änderung vorgenommen. Sie müssen Windows-Systemdateien erneut installieren oder wiederherstellen, um eine Aktivierung durchzuführen." Es gibt keine Stelle, wo man den Code wieder eingeben kann (nur bei Windows anrufen geht, hab ich noch nicht gemacht), und Systemwiederherstellung hat nichts geändert. Das ist soweit stabil. (Oh, und der Desktophintergrund ist weg.)

Ich habe Malwarebytes laufen lassen, es hat drei Dinge gefunden und entfernt. Ich möchte gerne das Logfile posten, aber ich finde das Programm nicht mehr. Im Menü ist es nicht und der Ordner enthält nur Textdokumente und eine .dat und eine .msg-Datei, sowie einen Ordner mit Sprachfiles (.lng). (Bin ich zu blöd oder ist das einfach verschwunden? o.O! Seh ich jetzt erst..)

Seit vorgestern oder so sagt der Virenscanner-Hintergrundscanner Symantec, dass er 'Bloodhound.MalPE' gefunden hat, das erste mal in C:\program files\mozilla firefox in updater.exe, danach alle in C:\Users\test\AppData\Temp in DWH[zahlen].tmp. Die tauchen immer wieder auf. Ich habe alle Internetverbindungen gekappt.

AAAaahhhh! Ich mach mir langsam Sorgen, dass das was Übleres ist.. ich hatte sowieso vor, ihn neu aufzusetzen, aber ich muss noch ein paar Daten haben, die beim letzten Sicherheitsbackup noch nicht dabei waren, und Einstellungen und so wären auch nicht schlecht.. hab aber Angst, dass das neue System auch gleich so aussieht. Und muss ich meine Kreditkarte sperren vielleicht.. ich hab die in der Vergangenheit durchaus benutzt.. aaaahhhh! :(

Für Hilfe wäre ich sehr dankbar. (Bitte helft mir! :( )


Ich hab die Programme von der Anleitung druberlaufenlassen, hier sind die Logfiles:


ryder 20.06.2013 11:44

Da ist kein Malwarebefall zu sehen, aber das was du beschreibst schreit förmlich danach das System einmal sauber neu aufzusetzen.

markise 20.06.2013 11:54

Uff, das klingt ja beruhigend. Danke fürs Drüberschaun. :)

Weißt du vielleicht, was es hiermit auf sich hat - Der Log von Symantec, mit den ganzen Bloodhounds - ist das noch gefährlich? Im Moment kommen keine neuen, aber ich trau dem noch nicht..


Dateiname,Risiko,Aktion,Risikotyp,Quelladresse,Computer,Benutzer,Status,Aktueller Ablageort,Primäre Aktion,Sekundäre Aktion,Protokolliert von,Aktionsbeschreibung,Datum und Uhrzeit
updater.exe,Bloodhound.MalPE,Isoliert,Heuristik,C:\program files\mozilla firefox\,AREA51,SYSTEM,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,17.06.2013 14:16:23
DWH50D.tmp,Bloodhound.MalPE,Nur protokollieren,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,SYSTEM,Nur protokollieren,C:\Users\test\AppData\Local\Temp\,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde nicht geändert.,18.06.2013 08:11:23
DWH50D.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,18.06.2013 08:12:35
DWH6E3A.tmp,Bloodhound.MalPE,Nur protokollieren,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,SYSTEM,Nur protokollieren,C:\Users\test\AppData\Local\Temp\,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde nicht geändert.,19.06.2013 00:54:18
DWH5B6F.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 08:30:09
DWH6E3A.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 08:37:02
DWH8B54.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 18:33:49
DWH64CD.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 18:34:54
DWH7AAE.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 18:35:58
DWHE724.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 18:36:51
DWHC4D3.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:18:30
DWHF717.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:19:24
DWH7076.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:20:17
DWH2721.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:21:12
DWH8947.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:22:18
DWHD91D.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:23:15
DWH18F6.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:24:05
DWH686F.tmp,Bloodhound.MalPE,Isoliert,Heuristik,C:\Users\test\AppData\Local\Temp\,AREA51,test,Infiziert,Isolieren,Von Sicherheitsrisiko bereinigen,Isolieren,Auto-Protect-Scan,Die Datei wurde erfolgreich isoliert.,19.06.2013 23:25:02

ryder 20.06.2013 11:56

Ich würde der Kiste eh nicht weiter trauen. Aber wir können mal schauen was uns Combofix verrät:

Scan mit Combofix
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

markise 20.06.2013 12:39

Der Rechner ist heute wirklich legendär langsam.. man sollte seine Rechner nicht 5 Jahre ohne neuaufsetzen laufen lassen.. >.<

Hier ist der log:


ComboFix 13-06-18.02 - tarquin 20.06.2013  13:08:31.1.2 - x86
Microsoft Windows 7 Professional  6.1.7601.1.1252.49.1031.18.1918.764 [GMT 2:00]
ausgeführt von:: c:\users\test\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Disabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
FW: Symantec Endpoint Protection *Enabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
SP: Symantec Endpoint Protection *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
(((((((((((((((((((((((  Dateien erstellt von 2013-05-20 bis 2013-06-20  ))))))))))))))))))))))))))))))
2013-06-20 11:21 . 2013-06-20 11:21        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-06-20 11:21 . 2013-06-20 11:21        --------        d-----w-        c:\users\boinc_master\AppData\Local\temp
2013-06-17 12:42 . 2013-06-17 12:42        60872        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{49E604A7-0B97-4777-96F7-2CCB303E6FAD}\offreg.dll
2013-06-17 12:16 . 2013-06-17 12:30        --------        d-----w-        c:\windows\rescache
2013-06-15 11:20 . 2013-05-08 05:38        1293672        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2013-06-14 16:53 . 2013-06-08 11:13        2706432        ----a-w-        c:\windows\system32\mshtml.tlb
2013-06-14 16:53 . 2013-06-08 11:41        218112        ----a-w-        c:\program files\Internet Explorer\sqmapi.dll
2013-06-14 16:45 . 2013-05-17 01:25        2877440        ----a-w-        c:\windows\system32\jscript9.dll
2013-06-14 16:45 . 2013-05-17 01:25        108032        ----a-w-        c:\program files\Internet Explorer\jsdebuggeride.dll
2013-06-14 16:45 . 2013-05-17 01:25        61440        ----a-w-        c:\windows\system32\iesetup.dll
2013-06-14 16:45 . 2013-05-17 01:25        257536        ----a-w-        c:\program files\Internet Explorer\ieproxy.dll
2013-06-14 16:45 . 2013-05-17 01:25        235520        ----a-w-        c:\program files\Internet Explorer\IEShims.dll
2013-06-14 16:45 . 2013-05-17 01:25        109056        ----a-w-        c:\windows\system32\iesysprep.dll
2013-06-14 16:45 . 2013-05-14 08:40        71680        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe
2013-06-14 16:44 . 2013-05-17 01:25        817664        ----a-w-        c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-06-14 16:44 . 2013-05-17 02:32        770648        ----a-w-        c:\program files\Internet Explorer\iexplore.exe
2013-06-14 16:44 . 2013-05-17 01:25        1767936        ----a-w-        c:\windows\system32\wininet.dll
2013-06-14 15:59 . 2013-06-14 15:59        --------        d-----w-        c:\users\test\AppData\Roaming\Malwarebytes
2013-06-14 15:29 . 2013-06-14 15:29        --------        d-----w-        c:\users\tarquin\AppData\Roaming\Malwarebytes
2013-06-14 15:28 . 2013-06-14 15:28        --------        d-----w-        c:\programdata\Malwarebytes
2013-06-14 15:28 . 2013-06-14 16:27        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2013-06-12 13:09 . 2013-04-26 04:55        492544        ----a-w-        c:\windows\system32\win32spl.dll
2013-06-12 13:09 . 2013-05-13 03:08        903168        ----a-w-        c:\windows\system32\certutil.exe
2013-06-12 13:09 . 2013-05-13 04:45        1160192        ----a-w-        c:\windows\system32\crypt32.dll
2013-06-12 13:09 . 2013-05-13 04:45        140288        ----a-w-        c:\windows\system32\cryptsvc.dll
2013-06-12 13:09 . 2013-05-13 04:45        103936        ----a-w-        c:\windows\system32\cryptnet.dll
2013-06-12 13:09 . 2013-05-13 03:08        43008        ----a-w-        c:\windows\system32\certenc.dll
2013-06-12 13:09 . 2013-05-06 05:06        3968872        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-06-12 13:09 . 2013-05-06 05:06        3913576        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-06-11 07:55 . 2013-05-13 06:19        7016152        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{49E604A7-0B97-4777-96F7-2CCB303E6FAD}\mpengine.dll
2013-05-28 21:33 . 2013-05-28 21:33        --------        d-----w-        c:\windows\system32\Wat
2013-05-22 22:34 . 2013-05-22 22:34        --------        d-----w-        c:\program files\Common Files\Java
2013-05-22 22:32 . 2013-05-22 22:31        94112        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll
2013-05-22 22:31 . 2013-05-22 22:31        --------        d-----w-        c:\program files\Java
2013-05-22 22:07 . 2013-05-11 22:27        262552        ----a-w-        c:\program files\Mozilla Firefox\browser\components\browsercomps.dll
2013-05-22 22:07 . 2013-05-11 22:26        96664        ----a-w-        c:\program files\Mozilla Firefox\webapprt-stub.exe
2013-05-22 22:07 . 2013-05-11 22:26        170232        ----a-w-        c:\program files\Mozilla Firefox\webapp-uninstaller.exe
2013-05-22 22:07 . 2013-05-11 22:26        26520        ----a-w-        c:\program files\Mozilla Firefox\plugin-hang-ui.exe
2013-05-22 22:07 . 2013-05-11 22:26        193824        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice_installer.exe
2013-05-22 22:07 . 2013-05-11 22:26        117144        ----a-w-        c:\program files\Mozilla Firefox\maintenanceservice.exe
2013-05-22 22:07 . 2010-03-18 16:15        770384        ----a-w-        c:\program files\Mozilla Firefox\msvcr100.dll
2013-05-22 22:07 . 2010-03-18 16:15        421200        ----a-w-        c:\program files\Mozilla Firefox\msvcp100.dll
2013-05-22 22:07 . 2013-05-11 22:26        74136        ----a-w-        c:\program files\Mozilla Firefox\breakpadinjector.dll
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
2013-05-22 22:31 . 2012-07-10 20:42        866720        ----a-w-        c:\windows\system32\npDeployJava1.dll
2013-05-22 22:31 . 2011-01-15 13:30        788896        ----a-w-        c:\windows\system32\deployJava1.dll
2013-05-22 22:19 . 2012-12-01 14:50        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-05-22 22:19 . 2012-12-01 14:50        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-10 17:49 . 2011-03-28 16:36        22240        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2013-05-02 00:06 . 2010-12-26 19:00        238872        ------w-        c:\windows\system32\MpSigStub.exe
2013-04-12 13:45 . 2013-04-23 17:17        1211752        ----a-w-        c:\windows\system32\drivers\ntfs.sys
2013-04-10 05:18 . 2013-05-15 14:47        218984        ----a-w-        c:\windows\system32\drivers\dxgmms1.sys
2013-04-10 05:18 . 2013-05-15 14:47        728424        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys
2013-04-10 03:14 . 2013-05-15 14:47        2347520        ----a-w-        c:\windows\system32\win32k.sys
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-06-13 08:20        64792        ----a-w-        c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
2011-02-18 05:12        94208        ----a-w-        c:\users\tarquin\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
2011-02-18 05:12        94208        ----a-w-        c:\users\tarquin\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
2011-02-18 05:12        94208        ----a-w-        c:\users\tarquin\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
2011-02-18 05:12        94208        ----a-w-        c:\users\tarquin\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2010-01-25 115560]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-05-11 958576]
"*Restore"="c:\windows\System32\rstrui.exe" [2010-11-20 262656]
c:\users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\tarquin\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2011-5-25 24176560]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
[HKLM\~\startupfolder\C:^Users^tarquin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\tarquin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-05-11 10:37        958576        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2008-07-09 22:05        46368        ----a-w-        c:\program files\ScanSoft\PaperPort\IndexSearch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2010-02-05 11:45        385856        ----a-w-        c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2008-07-09 22:07        29984        ----a-w-        c:\program files\ScanSoft\PaperPort\pptd40nt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPort11reminder]
2007-08-31 08:01        328992        ----a-w-        c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 08:03        210472        ----a-w-        c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-07-13 160944]
R3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;c:\program files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe [2011-01-08 87336]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2010-06-25 35088]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2013-05-28 1343400]
R4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-09-23 2799808]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2012-08-08 106656]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - AWLDRPOW
*Deregistered* - awldrpow
------- Zusätzlicher Suchlauf -------
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer =
FF - ProfilePath - c:\users\tarquin\AppData\Roaming\Mozilla\Firefox\Profiles\zw0mz0bl.default\
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-Symantec Antvirus
--------------------- Gesperrte Registrierungsschluessel ---------------------
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
@Denied: (Full) (Everyone)
Zeit der Fertigstellung: 2013-06-20  13:24:20
ComboFix-quarantined-files.txt  2013-06-20 11:24
Vor Suchlauf: 22 Verzeichnis(se), Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), Bytes frei
- - End Of File - - 4A593FD997D5FFFF78A028B1DC272542

ryder 20.06.2013 12:44

Wenn man Symantec Produkte benutzt muss man sich da auch nicht wundern.

ryder 20.06.2013 12:44

Fein ... Benenne die Combofix exe um in uninstall.exe und lass sie laufen.

markise 20.06.2013 12:50

>Wenn man Symantec Produkte benutzt muss man sich da auch nicht wundern.

Kannst du mir da was besseres empfehlen? War mir nicht bewusst, dass das zu Problemen führen kann. :/

>Fein ... Benenne die Combofix exe um in uninstall.exe und lass sie laufen.
ComboFix beschwert sich, dass Symantec läuft und sagt, ich solle es ausschalten, bevor ich auf ok klicke in dem Fenster. Symantec selbst meint, es sei aus. Was soll ich tun? Sollte das so passieren?

ryder 20.06.2013 12:53

Genau das meine ich ... Warnung ignorieren.

markise 20.06.2013 12:57

"ComboFix wurde deinstalliert."

Was hat er denn da gelöscht? (Also das Ding im Logfile, nicht ComboFix selber.)

ryder 20.06.2013 13:33

Habe bitte Verständnis dafür, dass wir bei dem hohen Aufkommen an Bereinigungen, die wir hier durchführen üblicherweise nicht auch noch eine ausführliche Analyse der Situation liefern können.

markise 20.06.2013 14:11

Alles klar, entschuldige bitte. Dass ihr das einfach so anbietet, ist sowieso schon unglaublich.

Kann ich den Rechner jetzt als sauber genug betrachten, um die Daten runterzuziehen und ihn neu aufzusetzen?

ryder 20.06.2013 16:59

Ja, du bist "sauber".

markise 20.06.2013 17:13

Danke vielmals für deine Zeit und Mühe!! Ihr seid Helden des Internets.

ryder 20.06.2013 17:13

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board

