Trojaner-Board - Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert (https://www.trojaner-board.de/90738-meldung-windows-security-alert-av-security-suite-antivirus-software-alert.html)

Folgender Registry-Eintrag kann nicht gelöscht werden:

{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Fehler: Ungenutzte Datei-Endungen.

Der kommt immer wieder, egal wie oft ich den Fehler behebe.

Habe im Internet noch einen Hinweis gefunden, dass dieser Schlüssel nicht weiter schlimm ist, wenn er nicht gelöscht werden kann.
Also habe ich Combofix laufen lassen :

Combofix Logfile:

Code:

ComboFix 10-09-14.05 - Mein Computer 15.09.2010  20:26:37.2.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.383.129 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Mein Computer\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-08-15 bis 2010-09-15  ))))))))))))))))))))))))))))))

.
 

2010-09-15 16:26 . 2010-09-15 16:26        --------        d-----w-        c:\programme\CCleaner

2010-09-14 21:08 . 2010-09-14 21:08        --------        d-----w-        C:\_OTL

2010-09-13 17:42 . 2010-09-13 17:42        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla

2010-09-13 17:10 . 2010-09-13 17:10        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Ahead

2010-09-13 17:10 . 2010-09-14 20:54        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2010-09-12 10:57 . 2010-09-12 10:57        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Malwarebytes

2010-09-12 10:57 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-12 10:56 . 2010-09-12 10:57        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-09-12 10:56 . 2010-09-12 10:56        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-09-12 10:56 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-09-11 23:08 . 2010-09-13 18:21        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Lokale Einstellungen\Anwendungsdaten\qohtbrdfm

2010-09-11 23:08 . 2010-09-13 18:21        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Lokale Einstellungen\Anwendungsdaten\gbpubxomt

2010-08-17 13:17 . 2010-08-17 13:17        58880        -c----w-        c:\windows\system32\dllcache\spoolsv.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-13 17:06 . 2010-09-13 17:06        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2010-09-11 06:21 . 2009-12-27 10:44        --------        d-----w-        c:\programme\KVB-Erstattungsantrag PC

2010-09-06 19:30 . 2009-12-09 18:28        --------        d-----w-        c:\programme\Lexmark 1200 Series

2010-08-17 13:17 . 2006-02-28 12:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe

2010-07-28 10:00 . 2009-12-07 12:46        --------        d-----w-        c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Ahead

2010-07-28 10:00 . 2010-07-28 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe

2010-07-22 15:48 . 2006-02-28 12:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2010-06-30 12:28 . 2006-02-28 12:00        149504        ----a-w-        c:\windows\system32\schannel.dll

2010-06-24 12:22 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2006-02-28 12:00        1852032        ----a-w-        c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2006-02-28 12:00        354304        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-06-18 17:44 . 2006-02-28 12:00        293888        ----a-w-        c:\windows\system32\winsrv.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]

"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 16384000]

"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]

"Control Center"="c:\programme\ASUS\WLAN Card Utilities\Center.exe" [2005-02-03 1585664]

"Lexmark 1200 Series"="c:\programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 57344]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.12.2009 14:54 108289]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt --> e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt [?]

S3 W8100XP;Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ;c:\windows\system32\drivers\mrv8ka51.sys [07.12.2009 15:14 258560]
 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-08-23 16:34        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners
 

2010-09-15 c:\windows\Tasks\User_Feed_Synchronization-{EB539243-3C83-4E20-B205-9AE767393008}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyServer = http=127.0.0.1:6092

uInternet Settings,ProxyOverride = <local>

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Mein Computer\Anwendungsdaten\Mozilla\Firefox\Profiles\wzcqaz9d.default\

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-09-15 20:30

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\e:\everest ultimate engineer edition v.4.00.1059 beta\kerneld.wnt"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1764)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2010-09-15  20:31:50

ComboFix-quarantined-files.txt  2010-09-15 18:31
 

Vor Suchlauf: 8 Verzeichnis(se), 311.830.339.584 Bytes frei

Nach Suchlauf: 9 Verzeichnis(se), 311.788.453.888 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 66EE177FC83C23A74C6E36DAEFB3A229

--- --- ---

Zitat:

Zitat von Katti169 (Beitrag 568594)

Folgender Registry-Eintrag kann nicht gelöscht werden:

{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Fehler: Ungenutzte Datei-Endungen.

Der kommt immer wieder, egal wie oft ich den Fehler behebe.

Warum steht doch in der Anleitung vom CCleaner!! Lesen!

Zitat:

Sollte auf dem PC Avira's AntiVir installiert sein so kann der CCleaner folgenden Eintrag nicht löschen:
Zitat:
Die Dateiendung {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} verweist auf eine ungültige Programmerkennung. Diese Verweise bleiben oft nach Deinstallationen übrig.

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Ja du hast Recht, sorry. Ich hätte besser lesen sollen.
Ich dachte ich hatte den Schlüssel schon....

hier der Log von GMER:

GMER Logfile:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-09-15 21:49:01

Windows 5.1.2600 Service Pack 3

Running: 6ddj5fkv.exe; Driver: C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\kgpyakod.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7ADA706                                            ZwCreateKey

SSDT            F7ADA6FC                                            ZwCreateThread

SSDT            F7ADA70B                                            ZwDeleteKey

SSDT            F7ADA715                                            ZwDeleteValueKey

SSDT            F7ADA71A                                            ZwLoadKey

SSDT            F7ADA6E8                                            ZwOpenProcess

SSDT            F7ADA6ED                                            ZwOpenThread

SSDT            F7ADA724                                            ZwReplaceKey

SSDT            F7ADA71F                                            ZwRestoreKey

SSDT            F7ADA710                                            ZwSetValueKey

SSDT            F7ADA6F7                                            ZwTerminateProcess
 

Code            \??\C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys  pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2DCC                80504668 4 Bytes  CALL 8747F413 

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys            section is writeable [0xF67FF360, 0x3CEED5, 0xE8000020]

?               C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS          Das System kann die angegebene Datei nicht finden. !

?               C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\mbr.sys          Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Und hier von OSAM
OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 22:11:32 on 15.09.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"ClientCpl.cpl" - ? - C:\WINDOWS\system32\ClientCpl.cpl  (File found, but it contains no detailed information)

"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ASNDIS5 Protocol Driver" (ASNDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\system32\ASNDIS5.SYS

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\DOKUME~1\MEINCO~1\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys

"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys

"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys

"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys

"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - E:\Everest Ultimate Engineer Edition v.4.00.1059 beta\kerneld.wnt  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"Si3132r5" (Si3132r5) - "Silicon Image, Inc" - C:\WINDOWS\system32\drivers\Si3132r5.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll

{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{0D41B8C5-2599-4893-8183-00195EC8D5F9} "asusTek_sysctrl Class" - ? - C:\WINDOWS\DOWNLO~1\ASUSTE~1.DLL / hxxp://support.asus.com/common/asusTek_sys_ctrl.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Mein Computer\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

"LightScribe Control Panel" - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"Control Center" - "ASUSTeK COMPUTER INC." - C:\Programme\ASUS\WLAN Card Utilities\Center.exe

"InCD" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCD.exe

"Lexmark 1200 Series" - "Lexmark International, Inc." - "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe"

"NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"SecurDisc" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASWLSVC" (ASWLSVC) - ? - C:\WINDOWS\system32\ASWLSVC.exe  (File found, but it contains no detailed information)

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe

"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Der Remover ließ sich leider nicht starten.
Den musste ich über die Console aufrufen, hier war der MBR-Status dann unknown.
Dann habe ich - natürlich auf eigene Gefahr ;-) - den Befehl "bootkit_remover.exe fix \\.\PhysicalDrive1" ausgeführt (ein Freund aus der Informatik hat mir hierbei geholfen) und jetzt ist der Status "OK(DOS/Win32 Boot code found"

Habe die beiden Screenshots mal hochgeladen.

Was muss ich jetzt noch tun?

Danke für eure Hilfe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

hier schon mal der Log vom Malware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4629

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.09.2010 19:14:36
mbam-log-2010-09-16 (19-14-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 327562
Laufzeit: 1 Stunde(n), 20 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der andere Log folgt....

Und hier der log von AntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/16/2010 at 10:12 PM

Application Version : 4.43.1000

Core Rules Database Version : 5506
Trace Rules Database Version: 3318

Scan type : Complete Scan
Total Scan Time : 02:08:51

Memory items scanned : 480
Memory threats detected : 0
Registry items scanned : 5809
Registry threats detected : 0
File items scanned : 186694
File threats detected : 18

Adware.Tracking Cookie
www.elitepartner.de [ E:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\G4N4ZZRN ]
pornme.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
pornoprinzen.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
sex.sex-ag.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
www.pornoprinzen.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
www.shareadult.com [ E:\Dokumente und Einstellungen\Ernst\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ED254QNT ]
atdmt.com [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
googleads.g.doubleclick.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
m.de.2mdn.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
media.sparkart.net [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]
oddcast.com [ E:\Dokumente und Einstellungen\Katrin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\7NLNV6VQ ]

Trojan.Agent/Gen-Koobface[Bonkers]
E:\PROGRAMME\DBV-WINTERTHUR\WINAS32\DOCGEN.EXE

Trojan.Agent/Gen-Krpytik
E:\PROGRAMME\TUWINBAU\BSHTOP.DLL
E:\PROGRAMME\TUWINBAU\CHECKBFSRUNNING.EXE
E:\PROGRAMME\TUWINBAU\HELPSYS.DLL
E:\PROGRAMME\TUWINBAU\JPEGLIB.DLL
E:\PROGRAMME\TUWINBAU\METAVIEW.DLL
E:\PROGRAMME\TUWINBAU\PDFLIB.DLL

Zitat:

Trojan.Agent/Gen-Koobface[Bonkers]
E:\PROGRAMME\DBV-WINTERTHUR\WINAS32\DOCGEN.EXE

Trojan.Agent/Gen-Krpytik
E:\PROGRAMME\TUWINBAU\BSHTOP.DLL
E:\PROGRAMME\TUWINBAU\CHECKBFSRUNNING.EXE
E:\PROGRAMME\TUWINBAU\HELPSYS.DLL
E:\PROGRAMME\TUWINBAU\JPEGLIB.DLL
E:\PROGRAMME\TUWINBAU\METAVIEW.DLL
E:\PROGRAMME\TUWINBAU\PDFLIB.DLL

Sieht soweit ok aus. Kennst Du diese Objekte?
DBV hört sich nach Versicherung an. TUWINBAU kenn ich nicht.

Ja die kenne ich sind beides Versicherungsprogramme, werden aber nicht mehr gebraucht. Und wenn können wir sie neu installieren.

Ist mein PC jetzt wieder Viren-Trojanerfrei?

Dann die Dateien bitte nicht löschen. Das sind Fehlalarme.

Wir sind auch durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Wow super!!! :Boogie:
Vielen lieben Dank für deine Hilfe - ohne dich hätte ich es nciht hinbekommen!!!! :bussi:

Ihr seit echt ein tolles Forum und wenn demnächst noch mal Probele haben sollte wende ich mich wieder an euch.

Liebe Grüße und noch mal danke, danke, danke,
Katrin