Trojaner-Board - Rechner langsam nach Viren-Löschung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Rechner langsam nach Viren-Löschung (https://www.trojaner-board.de/92638-rechner-langsam-viren-loeschung.html)

Rechner langsam nach Viren-Löschung

Hallo zusammen,

ich hatte vor einigen Tagen einen Virus auf meinem Rechner, welcher IE Werbung aufpoppen lies. Ich bin dann einer Anleitung zur Entfernung des Virus/der Viren gefolgt und habe folgendes getan:

1. Systemwiederherstellung ausschalten
2. Rechner im abgesicherten Modus starten
3. Mit SUPERAntiSpyWare Professional den Rechner durchsucht (vorher das Prog upgedated)
4. Rechner neugestartet, erneut im abgesicherten Modus, und nochmal mit dem Prog gesucht.
5. Systemwiederherstellung wieder aktiviert.

Beim ersten Durchlauf fand das Programm ca. 500 infizierte Dateien beim zweiten Versuch immernoch ca. 100 ....

Und auch wenn ich das Programm jetzt nochmal laufen lasse, findet es infizierte Dateien -.-

Einziger Lichtblick: Die Werbung ist verschwunden ... yay!
Dafür ist mein Rechner weiterhin extrem langsam und scheinbar noch infiziert.

Ich habe gerade mal Malwarebytes drüberlaufen lassen, hier der Bericht:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5074

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.11.2010 15:39:08
mbam-log-2010-11-08 (15-39-08).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152912
Laufzeit: 5 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\65MWRMP54G (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Zur Info: Ich habe ein Acer-Notebook mit WinXP Home3.
Fast hätte ich es vergesssen: Ich hatte zwischenzeitlich eine externe Festplatte angeschlossen, für den Fall das ich da auch irgendetwas zu beachten habe...

Für weitere Infos fragt einfach nach.
Vielen Dank im Voraus.

Gruß,

Flino

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo cosinus,

erstmal vielen Dank für deine Unterstützung.
Ich habe die Scans mit folgenden Ergebnissen durchgeführt:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5081

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.11.2010 16:54:26
mbam-log-2010-11-09 (16-54-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 240702
Laufzeit: 45 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der Scan konnte keine infizierten Dateien finden, aber wärend er gesucht hat, hat mir Avira einen Fund von popunder[1].htm gemeldet.

Die OTL Ergebnisse habe ich angehangen.

Gruß,

Flino

Zitat:

C:\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE

Wasndas hier?! :pfui:

Das ist eine unbenutzte Datei. Disqualifiziert mich der Besitz dieser Datei schon für weitere Unterstützung? Die Datei hat auch 100% nichts mit dem Virenbefall meines Rechners zu tun.

Gruß,

Flino

Leider ja, denn es gilt:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Genau genommen falle ich nicht in diese Kategorie, denn ich nutze das Programm nicht. Installiert ist Office 2007.

Gruß,

Flino

Und was macht das Teil auf dem Rechner? Von allein kommt es da nicht hin :daumenrunter:

Ja stimmt, ich habe das Prog von einem Freund bekommen aber nutzen tue ich es nicht und das ist das Einzige, dass eure Regel verbietet. Aber schon okay ich werde mich wieder alleine mit meinem Problem beschäftigen. Ihr solltet trotzdem drüber nachdenken eure Regeln auf den Besitz solcher Software zu erweitern :daumenhoc

Viele Grüße,

Flino

Lösch es sofort und ich mach eine Ausnahme, du hast ja auch den Kram nicht installiert.

Werde ich machen. Da ich jedoch von keiner weiteren Hilfe ausging habe ich den Rechner gerade nochmal im abgesicherten Modus gestartet und lasse Malwarebytes einen komplett Scan machen (Systemwiederherstellung ist deaktiviert). Soll ich die dazugehörige Logfile (wenn fertig) posten, bzw. sonst noch etwas tuen?
Vielen Dank für die Ausnahme und die Unterstützung.

Gruß,

Flino

Ja poste erstmal das Log wenn der Scan fertig ist. Dann sehen wir weiter.

Nagut jetzt bin ich verwirrt. Das Log sieht wie folgt aus:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5087

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.11.2010 12:32:40
mbam-log-2010-11-10 (12-32-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 242321
Laufzeit: 1 Stunde(n), 25 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Also laut Malwarebytes bin ich clean?
Gibt es eine Möglichkeit das gegen zu prüfen? Ich kann das nicht wirklich glauben.

Gruß,

Flino

Hast du das Log con SASW noch? Poste alle davon falls es mehrere davon gibt.

Ja habe zwei Logs von SASW (wobei es eigentlich mehr sein müssten da ich alleine zwei Vollscanns gemacht habe O.o ).

Erste Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/06/2010 at 03:51 PM

Application Version : 4.45.1000

Core Rules Database Version : 5820
Trace Rules Database Version: 3632

Scan type : Complete Scan
Total Scan Time : 01:21:19

Memory items scanned : 250
Memory threats detected : 0
Registry items scanned : 7429
Registry threats detected : 4
File items scanned : 21873
File threats detected : 98

Adware.IWantSearchBar
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKCR\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser#{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@clicksor[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@288_[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@unitymedia[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@vinvest.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@opti.inextmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@user.lucidmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@247realmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.etracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@myroitracking[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bluestreak[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz10.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mlsat02[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@media6degrees[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@pointroll[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@advertising[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@advertise[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.heias[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.pubmatic[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.gamesbannernet[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.performance-netzwerk[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adtech[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz9.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradetracker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz10.91491.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fl01.ct2.comclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.jamba[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@invitemedia[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@interclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@stat.dealtime[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adserverplus[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@overture[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@track.right-ads[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adecn[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@windowsmedia[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@gomyhit[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adserver.71i[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tacoda[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.medienhaus[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.monster[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@weborama[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@harrenmedianetwork[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@clickpayz7.91485.information-seeking[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@spaindemoaccount.solution.weborama[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@microsoftwindows.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad1.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adfunky[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@hasenet.122.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@serving-sys[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ar.atwola[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[4].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atwola[4].txt
C:\Dokumente und Einstellungen\***\Cookies\***@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@445541762785972[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@shopping.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@1067766890[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adbrite[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@monstercom.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tribalfusion[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.gomeotrack[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@www.burstnet[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ads.creative-serving[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@revsci[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@collective-media[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.adc-serv[2].txt

Malware.Trace
HKU\S-1-5-21-2533848456-3200070809-1298556610-1006\SOFTWARE\XML

Trojan.Agent/Gen-Kryptek
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\YCV.EXE
C:\WINDOWS\Prefetch\YCV.EXE-087953DC.pf

Trojan.Agent/Gen-FakeFraud
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMP\YCW.EXE
C:\WINDOWS\Prefetch\YCW.EXE-31523A64.pf

Zweiter Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/08/2010 at 03:27 PM

Application Version : 4.45.1000

Core Rules Database Version : 5823
Trace Rules Database Version: 3635

Scan type : Quick Scan
Total Scan Time : 00:14:23

Memory items scanned : 549
Memory threats detected : 0
Registry items scanned : 1488
Registry threats detected : 1
File items scanned : 8213
File threats detected : 4

Disabled.SecurityCenterOption
HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER#UPDATESDISABLENOTIFY

Adware.Tracking Cookie
.doubleclick.net [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
adx.chip.de [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
.apmebf.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\cookies.sqlite ]

Konnte die Logs leider nicht anhängen, habe immer die Fehlermeldung "Ungültige Datei" bekommen.

Gruß,

Flino

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005.02.15 03:06:22 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]

O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell - "" = Autorun

O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell\verb\command - "" = C:\WINDOWS\explorer.exe -- [2008.04.14 03:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation)

O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell - "" = AutoRun

O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found

[2010.11.08 21:40:45 | 000,000,000 | ---D | C] -- C:\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE

[2010.11.08 21:30:35 | 000,000,000 | ---D | C] -- C:\RUSE_The_Art_Of_Deception_XBOX360-SPARE

[2010.10.31 11:17:25 | 000,007,549 | ---- | C] () -- C:\WINDOWS\System32\novav7.ctm

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo cosinus,

hat etwas länger gedauert (sorry) aber ich habe den Fix jetzt durchgeführt. Das Log habe ich angehangen.

Gruß,

Flino

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo cosinus,

habe mich durch die Liste gearbeitet mit folgendem Ergbins:

CCleaner hat bei der Registry Reinigung einen Eintrag immer wieder gefunden, auch nach dem 10. Durchlauf (siehe angehänte .jpg file). Ansonsten gab es hier keine Probleme. (Jedoch ist eure Anleitung veraltet. Anstelle der Jahoo! Toolbar möchte er jetzt im nächsten Schritt Google Chrome installieren.)

Für Combofix musste ich Avira deinstallieren, da ich es nicht deaktiviert bekommen habe. Ich habe sogar den Autostart des Programms deaktiviert und neugestartet aber irgendwo im Hintergrund lief es trotzdem weiter. Danach habe ich CF laufen lassen mit folgendem Ergebnis:

Combofix Logfile:

Code:

ComboFix 10-11-11.02 - *** 12.11.2010  15:40:00.1.2 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3070.2595 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe

c:\programme\WinPCap

c:\programme\WinPCap\daemon_mgm.exe

c:\programme\WinPCap\npf_mgm.exe

c:\programme\WinPCap\rpcapd.exe

c:\windows\fix.exe

c:\windows\system32\drivers\npf.sys

c:\windows\system32\Packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\WanPacket.dll

c:\windows\system32\wpcap.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_NPF
 
 

(((((((((((((((((((((((   Dateien erstellt von 2010-10-12 bis 2010-11-12  ))))))))))))))))))))))))))))))

.
 

2010-11-12 13:56 . 2010-11-12 13:56        --------        d-----w-        c:\programme\CCleaner

2010-11-12 10:05 . 2010-11-12 10:05        --------        d-----w-        C:\_OTL

2010-11-08 14:58 . 2010-09-18 06:52        953856        ------w-        c:\windows\system32\dllcache\mfc40u.dll

2010-11-08 14:58 . 2010-09-18 06:52        974848        ------w-        c:\windows\system32\dllcache\mfc42.dll

2010-11-08 14:57 . 2010-08-23 16:11        617472        ------w-        c:\windows\system32\dllcache\comctl32.dll

2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-11-08 14:30 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-11-08 14:30 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote

2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\programme\ConduitEngine

2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ConduitEngine

2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\programme\Vuze_Remote

2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp

2010-11-06 10:08 . 2010-11-06 10:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com

2010-11-06 10:08 . 2010-11-06 10:08        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache

2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com

2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\programme\SUPERAntiSpyware

2010-11-06 09:53 . 2010-11-06 09:53        --------        d---a-w-        C:\Navilog1

2010-11-06 09:53 . 2010-11-06 09:53        --------        d-----w-        c:\programme\Navilog1

2010-11-06 09:51 . 2010-11-06 09:51        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü

2010-10-31 11:35 . 2010-10-31 11:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData

2010-10-31 10:43 . 2010-10-31 10:43        --------        d-----w-        c:\programme\PDF Annotator

2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Softland

2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland

2010-10-31 10:17 . 2010-02-05 14:00        1700352        ----a-w-        c:\windows\system32\GdiPlus.dll

2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PDF Annotator

2010-10-23 09:40 . 2010-10-23 09:40        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\whyteboard

2010-10-23 09:36 . 2010-10-23 09:36        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mendeley Ltd

2010-10-13 21:05 . 2010-10-13 21:05        --------        d-----w-        c:\windows\system32\NtmsData
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 11:22 . 2004-08-04 04:00        974848        ----a-w-        c:\windows\system32\mfc42u.dll

2010-09-18 06:52 . 2004-08-04 04:00        974848        ----a-w-        c:\windows\system32\mfc42.dll

2010-09-18 06:52 . 2004-08-04 04:00        954368        ----a-w-        c:\windows\system32\mfc40.dll

2010-09-18 06:52 . 2004-08-04 04:00        953856        ----a-w-        c:\windows\system32\mfc40u.dll

2010-09-10 05:47 . 2004-08-04 04:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-09-10 05:47 . 2004-08-04 04:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-09-10 05:47 . 2004-08-04 04:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2010-09-01 11:50 . 2004-08-04 04:00        285824        ----a-w-        c:\windows\system32\atmfd.dll

2010-09-01 07:54 . 2004-08-04 04:00        1852928        ----a-w-        c:\windows\system32\win32k.sys

2010-08-27 08:01 . 2004-08-04 04:00        119808        ----a-w-        c:\windows\system32\t2embed.dll

2010-08-27 05:57 . 2004-08-04 04:00        99840        ----a-w-        c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2004-08-04 04:00        357248        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-08-23 16:11 . 2004-08-04 04:00        617472        ----a-w-        c:\windows\system32\comctl32.dll

2010-08-17 13:17 . 2004-08-04 04:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe

2010-08-16 08:44 . 2004-08-04 04:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 11:26        3908192        ----a-w-        c:\programme\ConduitEngine\ConduitEngine.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

2010-10-18 11:26        3908192        ----a-w-        c:\programme\Vuze_Remote\tbVuze.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
 

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
 

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7331840]

"nwiz"="nwiz.exe" [2005-12-14 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]

"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2005-12-13 344064]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 22:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

backup=c:\windows\pss\BTTray.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk

backup=c:\windows\pss\Microtek Scanner Finder.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer ePower Management]

2005-11-18 15:06        3079680 begin_of_the_skype_highlighting**************06 3079680******end_of_the_skype_highlighting        ----a-w-        c:\acer\Empowering Technology\ePower\Acer ePower Management.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe]

2005-10-24 15:45        2462208        ----a-w-        c:\acer\Empowering Technology\admtray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 22:07        932288        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-09-23 03:47        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

2009-04-24 03:16        203928        ----a-w-        d:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]

2005-12-21 14:02        53248        ------w-        c:\programme\Realtek\InstallShield\AzMixerSel.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

2008-04-14 02:23        110592        ----a-w-        c:\windows\system32\bthprops.cpl
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]

2009-03-23 18:00        1983816        ----a-w-        c:\programme\Canon\MyPrinter\BJMYPRT.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-07-24 15:02        490952        ----a-w-        d:\programme\DAEMON Tools Lite\daemon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2010-06-03 01:50        1144104        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]

2005-10-19 08:30        69632        ----a-w-        c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]

2005-12-13 16:08        344064        ----a-w-        c:\acer\Empowering Technology\ePower\ePower_DMC.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]

2005-11-16 16:00        397312        ----a-w-        c:\acer\Empowering Technology\eRecovery\Monitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2006-10-26 22:47        31016        ----a-w-        d:\programme\Microsoft Office\Office12\GrooveMonitor.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]

2010-04-25 08:25        133368        ----a-w-        c:\programme\ICQ7.1\ICQ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]

2009-05-19 17:39        136544        ----a-w-        c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

2006-01-09 17:23        589824        ----a-w-        c:\progra~1\LAUNCH~1\LManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

2005-12-13 20:31        151552        ------w-        c:\programme\Acer\Acer Arcade\PCMService.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2005-02-15 02:39        98304        ----a-w-        c:\programme\QuickTime\qttask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2005-12-19 13:52        15797248        ----a-w-        c:\windows\RTHDCPL.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-07-25 03:23        149280        ----a-w-        d:\programme\Java\jre6\bin\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2005-07-20 14:05        729177        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2010-07-12 16:32        74752        ----a-w-        d:\programme\Winamp\winampa.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=

"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Programme\\eMule\\emule.exe"=

"d:\\Games\\SNES\\zsnesw_2.exe"=

"c:\\Programme\\ICQ7.1\\ICQ.exe"=

"c:\\Programme\\ICQ7.1\\aolload.exe"=

"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"d:\\Programme\\Vuze\\Azureus.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"16594:TCP"= 16594:TCP:Vuze
 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.11.2008 12:05 721904]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]

S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 05:00 14336]

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]

S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

nosGetPlusHelper        REG_MULTI_SZ           nosGetPlusHelper

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.internetcologne.de

uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/

IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\

FF - prefs.js: browser.search.selectedEngine - Google.de

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - component: d:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll

FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll

FF - plugin: d:\programme\Mozilla Firefox\plugins\npwachk.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

SafeBoot-AVG Anti-Spyware Driver

SafeBoot-AVG Anti-Spyware Guard

MSConfigStartUp-!AVG Anti-Spyware - d:\programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe

MSConfigStartUp-DAEMON Tools - d:\programme\DAEMON Tools\daemon.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-11-12 15:44

Windows 5.1.2600 Service Pack 3 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(668)

c:\programme\SUPERAntiSpyware\SASWINLO.DLL
 

- - - - - - - > 'explorer.exe'(2088)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Intel\Wireless\Bin\EvtEng.exe

c:\programme\Intel\Wireless\Bin\S24EvMon.exe

c:\acer\Empowering Technology\admServ.exe

c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

d:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Intel\Wireless\Bin\RegSrvc.exe

c:\programme\CyberLink\Shared Files\RichVideo.exe

c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-11-12  15:46:29 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-11-12 14:46
 

Vor Suchlauf: 20 Verzeichnis(se), 26.250.641.408 Bytes frei

Nach Suchlauf: 22 Verzeichnis(se), 26.119.897.088 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - BF3DA20DACD35472D9F91AC3EC28B437

--- --- ---

Gruß,

Flino

Ja, die Anleitungen könnte man mal wieder überarbeiten. Leider ist da nicht immer Zeit für da, und es ist auch sehr schwierig jede Änderung mitzubekommen, die sich auf die Anleitung auswirkt, also im Zweifel einfach einmal mehr als nachfragen.

Zitat:

Windows 5.1.2600 Service Pack 3 FAT NTAPI

FAT32 als Dateisystem auf der Systempartition von WindowsXP ist keine gute Idee. Kann man zum Glück ohne Datenverlust d.h. ohne zu formatieren ändern, die wichtigsten Daten sollte man vor dem convert aber immer gesichert haben. Machen wir später.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo cosinus,

ich muss einen zwischen Schritt einlegen. Kannst du mir vielleicht auch bei Avira helfen? Ich bekomme das Programm nicht beendet. Ich kann es zwar deaktivieren (reicht das schon um gmer und osam laufen zu lassen?) aber nicht komplett beenden. Wenn ich den Prozess direkt im Taskmanager killen will wird mir der Zugriff verweigert, genau wie wenn ich versuche die Dienste in der Verwaltung von XP zu deaktivieren. Ich bin definitiv Systemadmin und ich will nicht jedes mal wenn ich eine Log erstellen muss das ganze Programm löschen und neu installieren -.-

Gruß,

Flino

Regenschirm schließen reicht.

So... habe alle drei Logs erstellt und angehangen.

Gruß,

Flino

Wir müssen wohl den MBR reparieren.
Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Done. Hier das neue Log.

Gruß,

Flino

Code:

      Size  Device Name          MBR Status

  --------------------------------------------

    111 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo cosinus,

habe die Vollscans durchgeführt. Malwarebytes konnte nichts finden und SASW fand Tracking Cookies. Nach den Scans habe ich den Rechner neugestartet und da hat mir Avira direkt eine Warnung gegeben (siehe jpg).

Gruß,

Flino

Sieht an für sich ok aus. Was hat AntiVir da genau gefunden? Der Screenshot ist nutzlos weil der Pfad zur uninstall.exe nicht angezeigt wird.

Oh, sorry. Hier sind ein paar mehr Details.

Gruß,

Flino

Ist ein Fehlalarm, die uninstall.exe ist vom legitimen Programm Notepad++

Hallo cosinus,

heißt das ich bin virenfrei? Wenn ja: Was mache ich mit der externen Platte die ich zwischenzeitlich (kurz bevor ich mich hier gemeldet habe) angeschlossen hatte? Gibt es eine gute Methode die auf einen Befall zu prüfen? Oder ist das nicht nötig?

Gruß,

Flino

Hast du die ext. Platte nicht mit Malwarebytes geprüft? :wtf:

Ne hatte sie abgenommen da ich nicht wusste, ob was drauf gesprungen ist, und für den Fall das sie clean ist, wollte ich nicht riskieren sie zu infizieren.
Werde sie heute Abend nochmal dranhängen und durchscannen, werde die Autoplay Funktion vorher abstellen. Hast du sonst noch Tipps die ich beachten sollte?

Gruß,

Flino

Hallo cosinus,

ich habe jetzt meine externe Platte (und auch nochmal mein gesamtes System) auf Viren gescannt und bin laut Scanner clean.
Vielen Dank für deine Hilfe, wir können das Thema damit als erledigt ansehen (wie man von FAT32 auf NTFS wechselt weiß ich, habe es nur bisher nicht gebraucht ;) ).

Nochmals vielen Dank,

Flino

PS: Muss bzw. kann ich das Thema irgendwie schleßen oder machen das die Admins?

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.