Virenalarm nach Installation von AntiVir 9, ADSPY/SaveNow.BV.1;TR/Crypt.TPM.Gen u.a.
 

Hallo zusammen,

ich habe folgendes Problem, das ich in dieser "Kombination" in keinem anderem Thread gefunden habe. Ich hoffe, Ihr könnt mir weiterhelfen!

Ich habe letztlich die neue Version von Avira AntiVir installiert. Nach dem ersten Suchlauf wurden direkt zwei Funde angezeigt: ADSPY/SaveNow.BV.1 und
ADSPY/SaveNow.CG. Ich habe diese gelöscht.
Später, ich hatte kurz zuvor einen USB-Stick angebracht, meldete AntiVirs Guard
zwei Trojanische Pferde: TR/Autorun.ZG.8 und TR/Crypt.TPM.Gen
Die habe ich in Quarantäne gepackt. Sie kamen ziemlich offensichtlich vom Speicherstick!

Sehr beunruhigt ob dieser Funde besuchte ich Euer Board und hab dann auch die empfohlenen Programme (CCleaner hatte ich bereits) installiert und durchlaufen lassen. Prompt fand Malwarebytes 12(!) weitere infizierte Dateien. (Scheint Adware zu sein - keine Ahnung!)
Die Report Dateien füge ich unten ein.

Meine zwei Hauptfragen:
1) Wenn ich die Malware lösche - kann ich davon ausgehen, dass mein System wieder "sauber" ist?

und (bitte nicht schreien - ich bin halt so gar kein Fachmann!):
2) Ich habe bis zu den Funden Online-Banking gemacht. Kann ich das nach Löschen der Dateien mit neuem Passwort wieder aufnehmen?

Ich danke Euch schon im Voraus für Eure Mühe!

Hier der Report von Malwarebytes:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2722
Windows 5.1.2600 Service Pack 2

31.08.2009 22:11:53
mbam-log-2009-08-31 (22-11-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 153725
Laufzeit: 52 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo und :hallo:

bitte diese Liste beachten und abarbeiten. (außer MalwareBytes, das hast Du schon ausgeführt)

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo Cosinus,
vielen Dank für Deine schnelle Rückmeldung und die Willkommensgrüße!
Ich habe CCleaner laufen lassen - eine Datei in der Registry kann nicht gelöscht werden ("Ungenutzte Datei-Endunge {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79})

Das Programm erstellt aber keine Reports, oder?
Im Zip befindet sich jetzt also nur der Log File von HijackThis.

http://www.file-upload.net/download-1862034/log.zip.html

Viele Grüße,
Tintoretto

Hijackthis? :confused: In der Anleitung ist doch von RSIT die Rede! Bitte nachreichen.

Äh- sorry, das war missverständlich,
der File ist von RSIT. Ich dachte das wäre das Gleiche, weil RSIT doch HJT downloaded ?!

Ja, RSIT lädt Hijackthis herunter, aber da gibts noch eine menge an anderen wichtigen Infos im Logfile von RSIT. Ich seh mir das mal eben an.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Außerdem fehlen da Updates!!

Du MUSST mehr auf die Aktualität der Programme achten.


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.


Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Cosinus,
vielen Dank für Deine umfassende Antwort und ums Kümmern allgemein !
Ich hab´nun den ersten Schritt ausgeführt und die Einstellungen so vorgenommen, dass mir alle Dateien angezeigt werden ( nach der Anleitung).

Trotzdem werden die beiden von Dir angegebenen Dateien
C:\WINDOWS\system32\drivers\mailKmd.sys
C:\WINDOWS\system32\drivers\Wbutton.sys
nicht gefunden!? Kann das sein oder hab ich womöglich irgendwas übersehen?
Ich glaube, alles gemacht zu haben...

Gruß,
Tintoretto

Dann führ mal bitte Combofix aus, bitte genau lesen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

[/QUOTE]

Hallo Cosinus,
Habe versucht, die Schritte so auszuführen, wie beschrieben.
Erste Unsicherheit: - Das klappt nicht- weder, wenn die Datei in dem "Download-Ordner" angezeigt wurde, noch wenn der Button bereits auf dem Desktop ist. Ich habe sie dann umbenannt in "smss.exe", geht das auch ?!

Zweite Unsicherheit/ Problem:
Trotzdem ich Antivir sogar gelöscht und danach den Compi neu gestartet habe(?!), zeigt mir Combofix kurz nach der Ausführung die Meldung, dass noch ein Scanner von AntiVir aktiv ist und es zu Problemen kommen könnte (Diese Meldung gleich dreimal).
Ich bin daher noch nicht weiter fortgefahren.

Viele Grüße,
Tintoretto

Wenn Du sagtst "Ziel speichern" unter, erscheint doch ein Fenster wo Du den Pfad angeben und unten den Dateinamen (speichern unter) angeben musst. Und das gibts bei Dir nicht?

Das meine ich: http://img272.imageshack.us/img272/5...rnunteroi1.jpg
Bei Dateiname gleich von vornherein smss.exe eingeben!

Die Option "Ziel speichern unter" erscheint bei mir nicht per Rechtsklick.
Da kommt dann ja so ein Optionsfeld, aber "Ziel speichern unter" ist da nicht dabei.

Du klickst aber schon auf das fettgedruckte "KLICK"? :D

Hallo Cosinus,
ähem-ja, mit Rechtsklick auf das "KLICK" klappt es ganz wunderbar:schmoll:.
(Zum Glück sieht keiner meinen richtigen Namen!!)

Lustigen Gruß, Tinto

Hallo Cosinus,
Nachdem das "Ziel speichern unter" nun klappt, kommt trotzdem noch sehr flott die Meldung, dass noch drei Real-Time-Virenscanner von Antivir laufen. Ich habe AntiVir jedoch gelöscht (und zwar nicht nur die Desktop- Verknüpfung, sondern ganz regulär über "Software"). Wie stoppe ich diese Scanner?! Und warum habe ich drei davon?!Eigene Recherche hat noch nichts erbracht.

Viele Grüße,
Tintoretto

Wenn der Regenschirm von Avira eingeklappt ist sollte es schon passen...

Hi,
So jetzt habe ich Combofix ausgeführt. Hier das Logfile:
#ComboFix 09-09-06.06 - ++++ 07.09.2009 20:21.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.382.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\++++\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD100-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-982049814-2109433001-3863649361-1003
c:\windows\Installer\2159a.msi

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-07 bis 2009-09-07 ))))))))))))))))))))))))))))))
.

2009-09-01 07:24 . 2009-09-01 19:20 -------- d-----w- c:\programme\trend micro
2009-09-01 07:24 . 2009-09-01 07:25 -------- d-----w- C:\rsit
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-28 08:36 . 2009-08-28 08:37 -------- d-----w- c:\programme\CCleaner
2009-08-19 07:40 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-12 18:50 . 2009-08-12 18:50 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-07 18:00 . 2006-06-04 21:13 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-08-25 20:02 . 2007-05-02 20:19 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\phonostar-Player
2009-08-19 09:31 . 2006-09-02 12:37 -------- d-----w- c:\programme\devolo
2009-08-19 06:33 . 2005-09-15 09:04 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-19 06:32 . 2005-09-15 09:05 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-05 09:05 . 2005-09-15 09:39 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2005-09-15 09:39 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-09-15 09:40 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-26 15:59 . 2005-09-15 09:39 673792 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 15:58 . 2005-09-15 09:39 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 08:17 . 2005-09-15 09:39 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:17 . 2005-09-15 09:39 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:17 . 2005-09-15 09:39 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:17 . 2005-09-15 09:39 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:17 . 2005-09-15 09:39 737280 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:17 . 2005-09-15 09:39 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-22 11:35 . 2005-09-15 09:39 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:53 . 2005-09-15 09:39 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:53 . 2005-09-15 09:39 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 11:32 . 2005-09-15 09:39 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:22 . 2005-09-15 09:39 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2005-09-15 09:39 132096 ----a-w- c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
2008-08-14 13:57 2484224 ----a-w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2007-12-05 98304]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2007-12-05 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-01-19 82010]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-19 761946]
"LaunchAp"="c:\launch manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\launch manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\launch manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\launch manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\launch manager\Wbutton.exe" [2005-04-18 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CtrlVol"="c:\launch manager\CtrlVol.exe" [2003-09-16 20480]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-08 57344]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-01 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-3 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Dokumente und Einstellungen\\D.Loiberzeder\\Desktop\\Skype.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Adobe\\Adobe Help Center\\ahc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"554:TCP"= 554:TCP:554
"554:UDP"= 554:UDP:554
"1755:TCP"= 1755:TCP:1755
"1755:UDP"= 1755:UDP:1755

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [15.09.2005 11:47 200192]
S1 mailKmd;mailKmd; [x]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
Inhalt des "geplante Tasks" Ordners

2009-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Arcor Online - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Winamp Toolbar Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\2bmpdr57.default\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-07 20:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\launch manager\CtrlVol.exe???????8???????H???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@????????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s????(J?w??@?N'?s??? ?-6@????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C86 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"???????/???????-???V???????????oc7~????????????????`????????????????????c7~????`???????+???8???????????x?8~????`?????????8~`??????????????|???????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-07 20:27
ComboFix-quarantined-files.txt 2009-09-07 18:27

Vor Suchlauf: 17 Verzeichnis(se), 43.688.206.336 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 44.823.339.008 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

164 --- E O F --- 2009-08-27 14:21
#

Gruß, Tintoretto

Ach Du Sch... was ist das denn?? :eek:


Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus.

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo Cosinus,
der Avenger hat wohl auch nix gefunden:(

Gruß,Tintoretto

Doch! Er hat den Treiber entfernt!

Wenn noch Probleme sind, bitte melden.

Hi Cosinus
Du meinst das war´s ? Das ist ja Super!:daumenhoc
Also nochmal vielen Dank für die tolle Hilfe und für die Geduld!

Combofix hat hier einiges verstellt. Falls ich nicht zurechtkomme,
melde ich mich nochmal!

Alles Gute,
Tintoretto

Was hat's denn alles verstellt? :confused:

Das, was ich bisher überblicke:
Desktophintergrund ist ein anderer (mein vorheriger),
Der Standardbrowser ist der Internet Explorer statt dem zuvor eingestelltem
Firefox,
meine Ausdrucke sehen total scheiße aus (haben Lücken...)
letzteres war aber schon nach Malwarebytes so glaube ich...


Ist das unüblich?

Gruß,
Tintoretto

Das mit dem Desktophintergrund und dem Standardbrowser kann schon durch Combofix passieren, aber das mit dem Drucker ist sehr unüblich. Ich glaub auch nicht, dass MalwareBytes daran schuld ist, eher wird beim Drucker ne Druckkopfreinigung oder eine neue Patrone fällig. CF und MBAM können ja nicht direkt auf den Druckkopf scripten ;)

Ansonsten gilt das: