merkwürdige Dateien im Autostart
 

das Bild was im Anhang ist zeigt meinen Autostart im CCleaner.
Ich hatte mir letztens ein paar viren eingefangen und seitdem sind da merkwürdige progamme drin. Ich kann leider nicht zuordnen, was es ist. ich weiß das noch viren drauf sind aber ich kann sie nicht finden.
hoffe auf viel Hilfe :(
danke im vorraus

ps.: abgesehen von Avira und Nero kann ich von den schwarzen einträgen nichts zuordnen.
achja hab windows XP 32 bit
alles andere einfach fragen

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
• Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

Ich kann die Texte zwar einfügen, aber wenn ich abschicken will, wird der Server zurückgesetzt.
So war es schonmal bei dem Versuch ein Hijack reinzuposten.

Währrend des Suchlaufs sagte Avira:

Kannst Du die Logfile bei File-Upload.net hochladen und mir den Downloadlink posten ?

hxxp://www.file-upload.net/download-2581538/Extras.Txt.html
bzw
hxxp://www.file-upload.net/download-2581535/OTL.Txt.html

Hy,
WIr benötigen für die nächsten Schritte Adminstrative Rechte.


Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
Log von OTLfix
Gmer.txt
OTL.txt

Das kam nach dem Neustart:

GMER Logfile:
GMER Logfile:
--- --- ---
[/CODE]
--- --- ---


Hier noch die Otl.txt datei: hxxp://www.file-upload.net/download-2581723/OTL.Txt.html
wenn du die extras.txt datei brauchst sag bescheid.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

woa das war gruselig^^
Kannst du mir in Nachhinein kurz zusammengefasst erklären, was war, was wir gemacht haben und was jetzt ist?
Combofix Logfile:
--- --- ---

Na willkommen Mebroot -.-

Was spricht gegen ein Formatieren ?

(Anleitung by myrtille)

Schritt 1

Lade Dir bitte folgendes Programm runter und führe es aus: profiles.exe
Es erstellt eine Textdatei, bitte kopiere den Inhalt in deine nächste Antwort.


Schritt 2

Bitte führe auch folgendes aus:
Windows + R Taste drücken --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklick auf die file.bat.

Es sollte sich eine Textdatei öffnen, bitte kopiere auch den Inhalt dieser Datei in deine nächste Antwort.

hier numer 1
hier die nummer 2
wie meintest du das mit dem formatieren?
alles?
ich brauch die daten :)

weiß nich ob ich heute noch mehr schaffe...

du hast dir die neueste Variante von Mebroot/Sinowal eingefangen. Als erstes möchte ich daher sagen, dass es sich dabei um einen Backdoor trojaner handelt, sprich andere konnten auf deinen Rechner zugreifen, deine Passwörter auslesen und Einstellungen verändern.

Der Befall ist ein Rootkit und versteckt sich im Master Boot Record, nur sehr wenige Programme, in der Regel spezialisierte Programme, können diesen Befall derzeit sehen.

Das sicherste ist in solchen Fällen immer neuaufzusetzen, wir können dir aber helfen die Überreste des Befalls zu entfernen, wenn du nicht Neuaufsetzen willst.

Falls du Bereinigen dem Neuaufsetzen vorziehst, würde ich gerne Folgendes versuchen:

Downloade HelpAsst_mebroot_fix.exe und speichere das Tool auf Deinem Desktop.
Schließe alle Programme und Fenster.
Doppelklicke das Tool und folge den Anweisungen.
Sollte das Tool noch eine MBR-Infektion finden, erlaube mbr -f laufen zu lassen und den Computer neu zu starten.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.


Wenn das Tool während des ersten Laufs keine MBR-Infektion gemeldet hat:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

mbr -f

Starte den Computer neu.
Warte nach dem Neustart mindestens 5 Minuten und fahre wie folgt fort:

Start => ausführen => schreibe das folgende Kommando dort hinein und bestätige mit Enter:

helpasst -mbrt

Vergesse nicht das Leerzeichen zwischen helpasst und -mbrt !
Wenn das Tool fertig ist, öffnet sich ein Logfile.
Poste mir den Inhalt in Deine nächste Antwort.

das kam raus
könnte dieser Virus über unser Heimnetzwerk auf einen anderen Pc (beide am gleichen Modem) zugreifen?

Zu deiner Frage, Ja könnte er

Schritt 1

Starte den PC bitte neu auf. Im BootMenu solltest Du nun neben deinem Betriebssystem den Eintrag Wiederherstellungskonsole finden. Wähle diesen mit Hilfe der Pfeiltasten aus und bestätige mit Enter.

Nun sollte sich ein schwarzes Fenster öffnen wo folgendes zu sehen ist
C:\windows:>

Hier bitte fixmbr eingeben und Enter drücken. Mit Exit wird die RC geschlossen und der PC neu gestartet.

Solltest Du eine Warnmeldung bekommen, fahre mit Schritt 2 nicht fort


Schritt 2

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
ComboFix.txt
OTL.txt

hier schonmal combofix
Combofix Logfile:
--- --- ---

hier die otl datei
OTL Logfile:
--- --- ---

Drücke die Windows + R taste --> helpasst -mbrt (reinkopieren) --> OK

Poste mir bitte die Logfile.
Der Befehl fixmbr in der RC funktionierte ohne Probleme ?
Nebenbei, wie läuft der Rechner ?

logfile

er läuft definitiv schneller.
letztens mal wieder gespielt wo vorher 4 fps waren, waren jetzt 24 sehr viel angenehmer^^

was meinst du mit Problemen?
Ich hab das gestartet dann 1 also, sodass C:\WINDOWS da stand und dann fixmbr dann hat er gewarnt, dass ich evtl nicht mehr auf andere Partitionen zugreifen kann oder so und dann hab ich j gedrückt und dann meinte er fertig und keine Probleme.

Hast Du einen Dell PC ?

Schritt 1

Windows + R taste --> Helpasst -folder -->OK


Schritt 2

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scan.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.


Schritt 3

Starte bitte OTL. Wähle unter
Extra Registrierung: Benutze Safe List
und klicke den Scan Button


Bitte poste in Deiner nächsten Antwort
Log von Helpasst
MBAM Log
OTL.txt
Extras.txt

nein habe einen HP
und gab keinen Log?!

Hast Du dafür eine Recovery Partition? Normalerweise ist bei solch OEMs keine WIndowsCD beim Kauf dabei.


Fahre mal mit den restlichen Schritten fort.

was ist ein Oem?

und ja habe ich aber den hat mein Vater angelegt. konnte damit nie etwas anfangen?!

Was hat dein Vater angelegt ?

Ein Recovery Laufwerk

Der Suchlauf ist jetzt beendet mit 6 infizierten Objekten davon ist aber keines benannt mit C:\System Volume Information

Alles entfernen und fertig.

Hoffen wir mal das wir auf die Recovery noch zugreifen können, sonst muss ich mir was einfallen lassen ;)

hier erstma der suchlauf
hier ist OTL
OTL Logfile:
OTL EXTRAS Logfile:
--- --- ---

--- --- ---

hier die extras
OTL EXTRAS Logfile:
--- --- ---

Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update XX) von Oracle und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


Schritt 3

• ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
• IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
• O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Schritt 4

Starte bitte OTL.exe und klicke auf den Quick Scan Button.


Bitte poste in Deiner nächsten Antwort
Log von OTLfix
Log von ESET
OTL.txt

Berichte wie der Rechner läuft.

hier erstma der Fix
hier ist die Javara.log datei

ist das normal das Eset sehr lange benötigt?
hab bei 50 min 11%

Das geht ja noch schnell ;)

das kam bei eset raus

und das bei OTL
OTL Logfile:
--- --- ---

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   ---

   killAll::
Rootkit::
C:\WINDOWS\System32\drivers\avprnzsn.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avprnzsn]

   ---

2. Speichere dies als CFScript.txt auf Deinem Desktop
   .
   http://i266.photobucket.com/albums/i.../CFScriptB.gif
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Schritt 2

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
Combofix.txt
OTL.txt
Extras.txt
Berichte ob noch irgendwelche Probleme vorhanden sind.

combofix
Combofix Logfile:
--- --- ---


OTL.txt
OTL Logfile:
--- --- ---

Probleme inwiefern?

Wäre ich ansonsten clean?
Extras.txt
OTL EXTRAS Logfile:
--- --- ---




dAmit kann ich grad nichts anfangen?!

Ne noch nicht ganz -.-
Iwas läuft da mit und will sich nicht wirklich finden lassen.

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument: (nutze den "alles auswählen" Button)
   
   Code:

   ---

   KillAll::

FCopy::
c:\windows\NiwradSoft Shell Pack\Backup\winlogon.exe | c:\windows\system32\winlogon.exe
c:\windows\NiwradSoft Shell Pack\Backup\winlogon.exe | c:\windows\ServicePackFiles\i386\winlogon.exe
c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll | c:\windows\ServicePackFiles\i386\comctl32.dll
c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll | c:\windows\system32\comctl32.dll
c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll | c:\windows\$NtServicePackUninstall$\comctl32.dll
c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll | c:\windows\SoftwareDistribution\Download\e7d5f3dc50cc78c5a07ca9b24ee13a63\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
c:\windows\NiwradSoft Shell Pack\Backup\comctl32.dll | c:\windows\SoftwareDistribution\Download\81b207e4d73b88e755fb591f47d88f3a\sp1qfe\asms\60\msft\windows\common\controls\comctl32.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ServicePackFiles\i386\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\system32\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\system32\dllcache\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB980182-IE8\SP3QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB947864-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB944533-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB942615-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB939653-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB937143-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\ie7updates\KB933566-IE7\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\$hf_mig$\KB912812\SP2QFE\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\mshtml.dll | c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\mshtml.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\ServicePackFiles\i386\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\system32\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\$NtServicePackUninstall$\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2qfe\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\user32.dll | c:\windows\SoftwareDistribution\Download\6f667da50bb6ed52a71fae1f7f60833d\sp2gdr\user32.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ServicePackFiles\i386\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\system32\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\system32\dllcache\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB947864-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB944533-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB942615-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB939653-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB937143-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\ie7updates\KB933566-IE7\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB931768-IE7\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\$hf_mig$\KB912812\SP2QFE\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2gdr\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\SoftwareDistribution\Download\2f38e2f82437bdec6ae09cb7068d115b\sp2qfe\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2gdr\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\wininet.dll | c:\windows\SoftwareDistribution\Download\1179fdacaf30ac4fd417b6324d828e12\sp2qfe\wininet.dll
c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe | c:\windows\explorer.exe
c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe | c:\windows\ServicePackFiles\i386\explorer.exe
c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe | c:\windows\$NtServicePackUninstall$\explorer.exe
c:\windows\NiwradSoft Shell Pack\Backup\explorer.exe | c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe | c:\windows\ServicePackFiles\i386\ctfmon.exe
c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe | c:\windows\$NtServicePackUninstall$\ctfmon.exe
MBR::

   ---

2. Speichere dies als CFScript.txt auf Deinem Desktop
   .
   http://i266.photobucket.com/albums/i.../CFScriptB.gif
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

hier die Logdatei
Combofix Logfile:
--- --- ---

:wallbash:

Fehler im Skript

Bitte folgendes erneut als CFScript.txt speichern und wie vorher verwenden
Schritt 2

Lade Dir bitte Gmer neu herunter und führe es laut Anweisung aus.

hier die combofix
hxxp://www.file-upload.net/download-2597215/ComboFix.txt.html

war zu lang

hier die gmer log.txt
GMER Logfile:
--- --- ---

Sieht alles gut aus. Noch Probleme ?

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt

ja er könnte noch schneller sein :)
ein paar tricks nachdem ich dir jetzt meinen ganzen PC veröffentlicht hab :)
OTL Logfile:
OTL EXTRAS Logfile:
--- --- ---

--- --- ---

OTL EXTRAS Logfile:
--- --- ---