Trojaner-Board - Div. Viren / Adaware funde (Adaware Zango...)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Div. Viren / Adaware funde (Adaware Zango...) - Systemuhr festellt sich ständig (https://www.trojaner-board.de/77184-div-viren-adaware-funde-adaware-zango-systemuhr-festellt-staendig.html)

Div. Viren / Adaware funde (Adaware Zango...) - Systemuhr festellt sich ständig

Hallo Liebe Forengemeinde.

Mein Vater hat mich heute angerufen das ich mal nach seinem Computer schauen sollte, da sich die Systemuhr ständig verstellen würde. Hab den Computer direkt im abgesicherten Modus und deaktivierter Systemwiederherstellung hochgefahren und Antivir / Malwarbyte und Hijackthis durchlaufen lassen und auf div. Seiten analysieren lassen. Bei Malwarbyte wurden über 91 Funde gemacht die aber komplett nach einem Neustart entfernt wurden. Habe dann erneut alles duchlaufen lassen und danach gabs keine Funde mehr.

Nun hab ich allerdings den Computer neugestartet und einen Quickscann durchgeführt und siehe da... 12 Funde.

Hier mal das Logfile von Hijackthis

Code:

 Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - Default URLSearchHook is missing

O1 - Hosts: 195.155.155.1 nw4host

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll

O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Real*com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe

O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 

--

End of file - 8878 bytes

Und hier noch von Malwarebyte

Code:

Scan type: Quick Scan

Objects scanned: 96065

Time elapsed: 8 minute(s), 3 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 11

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54a3f8b7-228e-4ed8-895b-de832b2c3959} (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bfc08cff-c737-4433-bd5a-0ee7efcfee54} (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1f158a1e-a687-4a11-9679-b3ac64b86a1c} (Adware.Seekmo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{93b0fa7b-50f6-41b4-ac7e-612a72ce8c3c} (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Products\568267acfc5644dab06f058006ddbae3 (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Installer\Features\9ee2330ae5f4470cac801baac83818c9 (Adware.Zango) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\seekmo (Adware.Seekmo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\seekmosa (Adware.Seekmo) -> No action taken.
 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> No action taken.
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Habe hier eine Logfile hochgeladen von dem Programm RSIT: http://www.file-upload.net/download-.../info.txt.html. Vielleicht hilft das ebenfalls weiter. Der Computer meines Vaters Windows XP ich glaube Professionel mit SP3.

Kann mir jemand sagen ob der Computer eventuell noch zu retten ist oder ist es Sinnvoll den PC komplett platt zu machen...? Würd mich echt super freuen wenn mir jemand helfen könnte. In diesem Sinne danke schonmal im Voraus.

Gruß Manu aka PhoenixBoy23

Hallo,

poste die Logfiles bitte vollständig.

- bei Hijackthis fehlt der Kopf
- von RSIT das eigentliche Logfile (log.txt)

Oh okay, sry! Hier sind die fehlenden Teile:

Die Hijackthis Logfile (mit Kopf ;))

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:09:17, on 07.09.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Programme\Logitech\Video\LogiTray.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Siemens_WLAN\WlanMon.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Spyware Doctor\SDTrayApp.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

C:\Programme\Logitech\Video\FxSvr2.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Spyware Doctor\svcntaux.exe

C:\Programme\Spyware Doctor\swdsvc.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Spyware Doctor\swdoctor.exe

C:\WINDOWS\System32\alg.exe

C:\Programme\Java\jre6\bin\jucheck.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu2\toolbaru.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe 

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Siemens WLAN Monitor] C:\Programme\Siemens_WLAN\WlanMon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [SDTray] C:\Programme\Spyware Doctor\SDTrayApp.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150203426702

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 7484 bytes

Und die Seite auf der die Logfile zu finden ist:

File-Upload.net - log.txt

Gruß Manu

S3 NTACCESS;NTACCESS; \??\D:\NTACCESS.sys []

Dieser Eintrag ist mir nur aufgefallen. Falls die Datei noch da ist, bitte bei Virustotal auswerten lassen und hier alle Ergebenisse mit Prüfsummen posten

Ich bin ehrlich gesagt gerade etwas verwirrt da ich gerade keine Ahnung hab wo diese Datei sitzen soll?! Denn das Laufwerk D: bei diesem Computer ist ein DVD Laufwerk. Wo kann ich diese Datei denn finden?! :S

Übrigens entschuldige bitte das ich mich bislang noch nicht für die vorangegangene Arbeit die du bisher gemacht hast bedankt habe - VIELEN DANK :)

Ich bin mir bei der Datei nur nicht ganz sicher. Vllt war das auch aus einer Installation von der Mainboard-CD oder so. Andere verdächtige Einträge hab ich da nicht gesehen.

Mach mal einen Durchlauf mit Combofix, falls die Virenmeldungen noch da sind:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

[/QUOTE]

Hey....! Habe jetzt die CC-Cleaner Systemreinigung durchgeführt wie in der Anleitung beschrieben. Allerdings wird im Bereich "Registry" der Fehler "Ungenutzte Datei-Endungen" trotz mehrmaligem beheben immer und immer wieder angezeigt. Nun bin ich mir etwas unsicher ob ich Combofix starten soll, da ja in der Anleitung steht das erst wenn alles behoben wurde das System "bereinigt" ist.

Ja, der CClaner findet da häufiger was. Mach noch einen Durchlauf, fang dann mit Combofix an.

ungenutzte Dayei-Endungen in Registry

Hallo!

Sorry, dass ich mich hier einmische, aber meines Wissens nach gehoert der angesprochene Registry-Eintrag bzgl. ungenutzter Datei-Endungen zum Avira AntiVir. Er nutzt diesen Key um sich gegen Angriffe von aussen zu schuetzen, weshalb man diesen Eintrag am besten einfach in Ruhe laesst.

Viel Erfolg beim Kampf gegen die Schaedlinge! :daumenhoc
Sonja

Zitat:

Zitat von malwarefight (Beitrag 463791)

Vielen Dank für die Info :)

Werde sobald ich heute Abend nach Hause komme mit dem Combofix beginnen.

Soah hier nun endlich die erwünschte Logfile!!!

Code:

ComboFix 09-09-08.01 - Manu 08.09.2009 19:48.1.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.205 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Manu\Desktop\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-08-08 bis 2009-09-08  ))))))))))))))))))))))))))))))

.
 

2009-09-07 19:49 . 2009-09-07 19:49        --------        d-----w-        c:\programme\CCleaner

2009-09-07 19:48 . 2009-09-07 19:48        --------        d-----w-        c:\dokumente und einstellungen\Manu\Anwendungsdaten\Yahoo!

2009-09-07 19:35 . 2008-12-11 06:38        159600        ----a-w-        c:\windows\system32\drivers\pctgntdi.sys

2009-09-07 19:35 . 2009-08-24 12:05        206256        ----a-w-        c:\windows\system32\drivers\PCTCore.sys

2009-09-07 19:35 . 2009-08-19 09:01        86888        ----a-w-        c:\windows\system32\drivers\PCTAppEvent.sys

2009-09-07 19:35 . 2009-09-07 19:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\PC Tools

2009-09-07 19:35 . 2008-12-10 09:36        64392        ----a-w-        c:\windows\system32\drivers\pctplsg.sys

2009-09-07 19:35 . 2009-09-08 17:37        --------        d-----w-        c:\programme\Spyware Doctor

2009-09-07 19:35 . 2009-09-07 19:35        --------        d-----w-        c:\dokumente und einstellungen\Manu\Anwendungsdaten\PC Tools

2009-09-07 19:35 . 2009-09-07 19:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools

2009-09-06 19:34 . 2005-09-23 05:29        626688        ----a-w-        c:\windows\system32\msvcr80.dll

2009-09-06 18:44 . 2009-09-08 17:38        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2009-09-06 17:56 . 2009-09-06 17:56        --------        d-----w-        C:\rsit

2009-09-06 17:20 . 2009-09-06 17:20        --------        d-----w-        c:\dokumente und einstellungen\Manu\Anwendungsdaten\Malwarebytes

2009-09-06 16:58 . 2009-09-06 16:58        --------        d-----w-        c:\programme\Trend Micro

2009-09-06 14:58 . 2009-09-07 19:48        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2009-09-06 14:58 . 2009-09-06 14:58        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!

2009-09-06 14:58 . 2009-09-06 14:58        --------        d-----w-        c:\programme\Yahoo!

2009-09-06 05:56 . 2009-09-06 05:56        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2009-09-06 05:56 . 2009-08-03 11:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-06 05:56 . 2009-09-06 05:56        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-09-06 05:56 . 2009-09-06 05:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-09-06 05:56 . 2009-08-03 11:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-08-11 14:24 . 2009-07-10 13:26        1315328        -c----w-        c:\windows\system32\dllcache\msoe.dll

2009-08-10 17:45 . 2009-08-10 17:45        --------        d-sh--w-        c:\dokumente und einstellungen\Manu\PrivacIE

2009-08-10 17:36 . 2009-08-10 17:36        --------        d-sh--w-        c:\dokumente und einstellungen\Manu\IETldCache

2009-08-10 17:00 . 2009-07-03 16:55        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll

2009-08-10 17:00 . 2009-07-03 16:55        246272        -c----w-        c:\windows\system32\dllcache\ieproxy.dll

2009-08-10 17:00 . 2009-08-10 17:01        --------        d-----w-        c:\windows\ie8updates

2009-08-10 16:59 . 2009-07-01 07:08        101376        -c----w-        c:\windows\system32\dllcache\iecompat.dll

2009-08-10 16:56 . 2009-08-10 16:59        --------        dc-h--w-        c:\windows\ie8
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-06 17:08 . 2001-08-18 10:00        49174        ----a-w-        c:\windows\system32\perfc007.dat

2009-09-06 17:08 . 2001-08-18 10:00        320094        ----a-w-        c:\windows\system32\perfh007.dat

2009-08-14 04:58 . 2009-09-06 18:45        7396        ----a-w-        c:\windows\system32\drivers\pctcore.cat

2009-08-11 16:18 . 2007-09-04 14:27        --------        d-----w-        c:\dokumente und einstellungen\Manu\Anwendungsdaten\Image Zone Express

2009-08-10 16:52 . 2009-02-04 17:34        --------        d-----w-        c:\programme\Weight Watchers FlexPoints

2009-08-05 08:59 . 2006-06-16 07:37        206336        ----a-w-        c:\windows\system32\mswebdvd.dll

2009-07-28 14:33 . 2009-06-24 07:34        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-07-17 19:01 . 2006-06-16 07:38        58880        ----a-w-        c:\windows\system32\atl.dll

2009-07-13 21:43 . 2004-08-04 07:57        286208        ----a-w-        c:\windows\system32\wmpdxm.dll

2009-07-03 16:55 . 2006-04-28 13:08        915456        ----a-w-        c:\windows\system32\wininet.dll

2009-06-16 14:36 . 2001-08-18 10:00        81920        ----a-w-        c:\windows\system32\fontsub.dll

2009-06-16 14:36 . 2001-08-18 10:00        119808        ----a-w-        c:\windows\system32\t2embed.dll

2009-06-15 10:43 . 2002-08-29 01:43        78848        ----a-w-        c:\windows\system32\telnet.exe

2009-06-15 10:43 . 2006-06-16 07:38        82944        ----a-w-        c:\windows\system32\tlntsess.exe

2008-05-15 17:20 . 2006-04-27 16:36        66408        ----a-w-        c:\programme\mozilla firefox\components\jar50.dll

2008-05-15 17:20 . 2006-04-27 16:36        54112        ----a-w-        c:\programme\mozilla firefox\components\jsd3250.dll

2008-05-15 17:20 . 2008-05-15 17:20        34688        ----a-w-        c:\programme\mozilla firefox\components\myspell.dll

2008-05-15 17:20 . 2008-05-15 17:20        46456        ----a-w-        c:\programme\mozilla firefox\components\spellchk.dll

2008-05-15 17:20 . 2006-04-27 16:36        171880        ----a-w-        c:\programme\mozilla firefox\components\xpinstal.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LogitechSoftwareUpdate"="c:\programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-12 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2005-07-19 221184]

"LogitechVideoRepair"="c:\programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="c:\programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"Siemens WLAN Monitor"="c:\programme\Siemens_WLAN\WlanMon.exe" [2007-03-13 954368]

"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"ISTray"="c:\programme\Spyware Doctor\pctsTray.exe" [2009-07-22 1181064]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Dokumente und Einstellungen\\Manu\\Desktop\\Eigene Dateien\\salt-water Leecher.exe"=

"c:\\Programme\\Kyodai Mahjongg 2006\\kmj.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=

"c:\\Programme\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.icd"=

"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"c:\\Programme\\MSN Messenger\\livecall.exe"=

"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=

"c:\\WINDOWS\\system32\\java.exe"=

"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
 

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [07.09.2009 21:35 206256]

R2 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [07.09.2009 21:35 348752]

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 23:46 28224]

S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 23:46 27072]
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - mchInjDrv
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Inhalt des "geplante Tasks" Ordners
 

2009-07-03 c:\windows\Tasks\Norton Security Scan for Manu.job

- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 03:53]
 

2009-07-03 c:\windows\Tasks\Norton Security Scan.job

- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 03:53]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

IE: &Preispiratensuche nach markiertem Text - c:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\dokumente und einstellungen\Manu\Anwendungsdaten\Mozilla\Firefox\Profiles\amkbi17e.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-08 19:58

Windows 5.1.2600 Service Pack 3 NTFS
 

detected NTDLL code modification:

ZwClose
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2009-09-08 20:01

ComboFix-quarantined-files.txt  2009-09-08 18:01
 

Vor Suchlauf: 14 Verzeichnis(se), 93.589.172.224 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 93.875.552.256 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

193        --- E O F ---        2009-09-07 17:40

Code:

2009-07-03 c:\windows\Tasks\Norton Security Scan.job

- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 03:53]

Du hattest mal Norton installiert? :confused: Irgendwie sind da noch Reste drin!
Sonst seh ich da so nix. Sind denn noch Meldungen vom Virenscanner gekommen?

Zitat:

Zitat von cosinus (Beitrag 464131)

Code:

2009-07-03 c:\windows\Tasks\Norton Security Scan.job

- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 03:53]

Du hattest mal Norton installiert? :confused: Irgendwie sind da noch Reste drin!
Sonst seh ich da so nix. Sind denn noch Meldungen vom Virenscanner gekommen?

Hmm also ich werd jetzt nochmal alles durchlaufen lassen...! Habe Malwarebytes und Antivir... ist das ausreichend?

Ausreichend wofür? Um zuverlässig Befall zu verhindern? Nein.
Mit einem Virenscanner reagierst Du bloß, Ziel ist es, dass Schaddateien auf Deinen Computer garnicht erst gelagen bzw. ausgeführt werden. Wenn Du Dich blind auf den Virenscanner verlässt, bist Du verlassen, denn garnicht mal selten übersieht er Schädlinge, v.a. neue.

Lies Dir doch mal bitte in diesem Zusammenhang diesen Artikel durch: Kompromittierung unvermeidbar?

Zitat:

Zitat von cosinus (Beitrag 464143)

So war das im prinziep nun nicht gemeint. Sondern um zu erkennen bzw. zu wissen ob der PC nun sauber ist :D

Dann sag es doch auch so :party: :D
Du darfst auch nicht vergessen, das RSIT und Combofix auch viele Infos brachten. Wie gesagt, mehr hab ich da an Verdächtigem Zeugs nicht gesehen, wenn aber doch noch Meldungen bei diesem PC auftauchen müssen wir und diese nochmal genauer ansehen.

Das andere würd ich jetzt mal spontan sagen... ist mir so auch klar! Es hat eben immer auch was mit "intelligentem" serven etc. zu tun :) Aber naja sowas erklär dann mal einem Menschen der ü 50 ist und sein ganzes Leben so mal garnichts mit Computern anfangen konnte...! Das man sich nichtnur auf seine Virenscanner oder so verlassen kann ist ja logisch, denn im prinziep schlägt er ja erst an wenn es ja schon zu spät ist ! ;)

Jedenfalls nochmals vielen Dank für die ganze Mühe die du dir gemacht hast :)

Tja, wenn er sich nicht gerade jeden Tag Software rauf und runterinstalliert, würde er mit eingeschränkten Rechten (also normale Benutzerrechte) am besten fahren. Wenn er dann mal Adminrechte braucht:

- installierst Du ihm das
- oder sagst ihm wie sich sich als Admin anmeldet um höhere Rechte zu bekommen

Es geht alles. Ich hab einem Bekannten, der auch noch nie mit Rechnern vorher was zu tun hatte mal eine ältere XP-Maschine vor ca. vier jahren (Ende 2005) hingestellt, alle Standardprogramme vorher installiert. Er loggt sich mit einfachen Benutzerrechten ein (keine Adminrechte) und die Kiste hat trotz nicht installiertem Hintergrundwächter eines Virenscanners nicht die Seuche. Es ist das Zusammenspiel aus

1.) eingeschänkten Rechten
2.) sinnvoller Konfiguration
3.) natürlich auch etwas mit Sinn und Verstand surfen (er klickt nicht auf Märchenseiten :lach:)
4.) Updates einspielen (mach ich bei ihm hin und wieder aber nicht hysterisch alle 4 Wochen ;)
5.) bei hartnäckigen "Pflegefällen" :heilig: den Leuten das Admin bzw. root Passwort nicht verraten :D

Hrhr hmmm ja gut eventuell sollte ich mir solch ein Szenario mal überlegen.
Also der Computer läuft wieder wie eine eins :)! Ich danke dir nochmals herzlichst für deine Mühe und die Zeit die du für mich hier verballert hast *lach :D

Lg Manu ;)