Trojaner-Board - My Security Shield Virus: Ist alles weg?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - My Security Shield Virus: Ist alles weg? (https://www.trojaner-board.de/94235-my-security-shield-virus-alles-weg.html)

My Security Shield Virus: Ist alles weg?

Hallo,
ich habe Windows 7 Home und habe von einem Verwandten eine Mail bekommen. In dem vermeintlichem Link zu einem Fotoalbum war Malware.

Ich habe ihn nach folgendem Tut entfernt und bin jetzt bei "Weitergehende Prüfung" und brauche weitere Instruktionen.

http://www.trojaner-board.de/89160-m...entfernen.html

Am Ende habe ich jetzt noch drei Fragen:
1. Was soll ich jetzt meinem Verwandten raten?
2. Wie kann ich mich vor solchen Fake Mails und bösen Links schützen?
3. Ich hatte bis vor 3 Tagen ein MCAfee Test Abonnement. Das ist aber jetzt abgelaufen und ich habe mir überlegt Kaspersky von der Computer Bild zu holen. Macht das Sinn?

Vielen Dank für eure Hilfe und einen guten Rutsch

Mr. Opfer

Zitat:

1. Was soll ich jetzt meinem Verwandten raten?

Stammt die Mail tatsächlich von deinen Verwandten? Hast du sie gefragt und sie haben bestätigt, dass sie genau diese Mail gesendet haben?

Zitat:

2. Wie kann ich mich vor solchen Fake Mails und bösen Links schützen?

Gesundes Maß an Misstrauen. Nicht alles blind anklicken. Auch wenns von Bekannten kommt, kann virulenter Code drin sein. Dem Virenscanner kann man nicht völlig vertrauen, denn neuer virulenter Code wird unzuverlässig bis gar nicht erlennt. Außerdem musst du jede Software wie Betriebssystem, Browser + Plugins + Erweiterungen, Java, PDF-Viewer etc. ständig aktuell halten und nie mit Adminrechten ständig unterwegs sein.

Zitat:

3. Ich hatte bis vor 3 Tagen ein MCAfee Test Abonnement. Das ist aber jetzt abgelaufen und ich habe mir überlegt Kaspersky von der Computer Bild zu holen. Macht das Sinn?

Nein. Auch Bezahlversionen der Virenscanner ändern nichts an den prinzipiellen Schwächen von Virenscanner, als optionales Hilfsmittel reichen auch die kostenlosen Scanner. Man kann sich mit Geld kein "Hirnersatz" kaufen, es gibt keine Sicherheit in bunten Pappschachteln.

Hier mal "meine" 5 goldene Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

1. Ich habe ihn angeschrieben die Mail war nicht von ihm.
3. Ok gut das hilft mir weiter. Danke für den super Link. Der hat mir echt die Augen geöffnet.

Aber jetzt noch das aktuell Wichtigste: Was muss ich denn jetzt noch wegen dem Security Shield Ding machen?

Im Tut stand ja ich soll noch ein Mal ein Thema im Forum zur Sicherheit erstellen, damit jemand gucken kann ob wirklich alles weg ist.

P.S.
So ich habe mir mal den Hauptartikel jetzt ganz durchgelesen und bin gerade dabei die "Lecks" zu schließen. Könntest du vielleicht noch einen Link posten wo ich Instruktionen für aktuelle Systeme (Win 7) und Dienste (z.B. Vayo (omg hat der viel scheiße drauf)) finde. Ich kann ja nicht einfach irgendwas deaktivieren oder löschen. Leider sind auf der Seite auch viele Links tot.

Zitat:

Im Tut stand ja ich soll noch ein Mal ein Thema im Forum zur Sicherheit erstellen, damit jemand gucken kann ob wirklich alles weg ist.

Poste erstmal alle schon erstellten Logs.

öööbb...
Ich habe die Logs leider nicht gespeichert. Sorry wußte ich nicht. Stand auch nicht im Tut. :pfeiff:

Und jetzt?

Die von malwarebytes findest du im Reiter Logdateien.

Und in der Anleitung steht:

Zitat:

Achtung: Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nicht vergessen CCleaner mit OTL Logfiles....

1. Scan

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5406

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.12.2010 13:50:05
mbam-log-2010-12-28 (13-50-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 339306
Laufzeit: 51 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Jerekin\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Jerekin\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

2. Scan

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5406

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

28.12.2010 14:07:39
mbam-log-2010-12-28 (14-07-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159297
Laufzeit: 2 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bei OTL kommt folgendes Pop-up nach einger zeit des Scannens:

Acess violation at adress 00546704 in module 'OTL.exe'. Read of adress 00000000.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ok ich habe Firewalls & Co ausgestellt und dann den Cleaner benutzt. Als ich die suche mit Cofi gestartet habe kam nach einiger Zeit eine Fehlermeldung:

PEV.cfxxe funktioniert nicht mehr.
Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und sie werden benachrichtigt, wenn eine Lösung gefunden wird.

Ich habe ok geklickt. Das Programm wurde nicht geschlossen und es kam dann wieder ein Fenster, das einen Ladebalke mit der Überschrift Lösungssuche beinhaltete. Dann stand da es konnte keine Lösung gefunden wurde. Darauf habe ich schließen gedrückt. Cofi war immer noch offen und es stand da sowas wie sammle Loginformationen.
Ich dachte durch die Fenster es hatte sich aufgehängt also schloss ich es.

Ich probierte es danach noch ein zweites mal und ließ es dann trotz der Fenster einfach weiterlaufen. Schließlich hat es mir das Logfile angezeigt.
Kann es sein das die Meldung kam weil der Lappi in den Ruhezustand oder so wechselte?

Combofix Logfile:

Code:

ComboFix 10-12-28.03 - Jerekin 29.12.2010  14:26:20.2.4 - x64

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3950.2704 [GMT 1:00]

ausgeführt von:: c:\users\Jerekin\Desktop\cofi.exe..exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Vorheriger Suchlauf -------

.

c:\users\Jerekin\AppData\Local\ntrmnofihy.exe

c:\users\Jerekin\AppData\Roaming\.#

c:\users\Jerekin\AppData\Roaming\.#\MBX@EFC@2162740.###

c:\users\Jerekin\AppData\Roaming\.#\MBX@EFC@2162770.###

c:\users\Jerekin\AppData\Roaming\Microsoft\Windows\Recent\Bugbear.url

c:\windows\system32\ccrpTmr6.dll

c:\windows\SysWow64\ccrpTmr6.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-29  ))))))))))))))))))))))))))))))

.
 

2010-12-29 13:28 . 2010-12-29 13:28        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-12-29 13:07 . 2010-11-16 11:01        8199504        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{CF622400-D654-4A49-85FF-3047017CB79D}\mpengine.dll

2010-12-29 09:58 . 2010-12-29 09:58        --------        d-----w-        c:\program files\CCleaner

2010-12-28 10:56 . 2010-12-28 10:56        --------        d-----w-        c:\users\Jerekin\AppData\Roaming\Malwarebytes

2010-12-28 10:56 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2010-12-28 10:56 . 2010-12-28 10:56        --------        d-----w-        c:\programdata\Malwarebytes

2010-12-28 10:56 . 2010-12-28 10:56        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2010-12-24 18:12 . 2010-12-24 18:13        --------        d-----w-        c:\program files (x86)\3Planesoft Screensaver Manager

2010-12-24 18:12 . 2010-12-24 18:12        --------        d-----w-        c:\programdata\3Planesoft

2010-12-24 18:12 . 2010-08-06 11:24        688640        ----a-w-        c:\windows\SysWow64\3Planesoft_Screensaver_Manager.scr

2010-12-24 18:11 . 2010-11-11 16:37        964096        ----a-w-        c:\windows\SysWow64\Fireplace_3D_Screensaver.scr

2010-12-24 15:24 . 2010-12-24 15:24        --------        d-----w-        c:\users\Jerekin\AppData\Local\TO-Works

2010-12-24 15:24 . 2004-03-09 02:00        224016        ----a-w-        c:\windows\SysWow64\tabctl32.ocx

2010-12-24 15:24 . 2004-03-08 23:00        662288        ----a-w-        c:\windows\SysWow64\mscomct2.ocx

2010-12-24 12:18 . 2010-12-24 12:18        --------        d-----w-        c:\users\Jerekin\AppData\Roaming\InstallShield

2010-12-24 10:58 . 2010-12-24 10:58        --------        d-----w-        c:\users\Jerekin\AppData\Roaming\teamspeak2

2010-12-24 10:56 . 2010-12-24 10:56        34064        ----a-w-        c:\windows\SysWow64\lhacm.acm

2010-12-24 10:56 . 2010-12-24 10:57        --------        d-----w-        c:\program files (x86)\Teamspeak2_RC2

2010-12-23 09:14 . 2010-12-23 09:14        2300696        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll

2010-12-23 09:14 . 2010-12-23 09:14        --------        d-----w-        c:\programdata\FLEXnet

2010-12-23 09:14 . 2010-12-23 09:14        42776        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll

2010-12-23 09:14 . 2010-12-23 09:14        1220416        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2010-12-21 09:09 . 2010-11-04 06:37        696592        ----a-w-        c:\program files\Internet Explorer\iexplore.exe

2010-12-20 16:57 . 2010-12-20 23:11        --------        d-----w-        c:\users\Jerekin\AppData\Local\Adobe

2010-12-08 19:31 . 2010-12-08 19:37        --------        d-----w-        c:\program files (x86)\Dungeon Lords
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-06 11:59 . 2010-11-06 11:59        1409        ----a-w-        c:\windows\QTFont.for

2010-11-06 10:33 . 2010-11-06 10:33        15360        ----a-r-        c:\users\Jerekin\AppData\Roaming\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E910.exe

2010-11-06 10:33 . 2010-11-06 10:33        11264        ----a-r-        c:\users\Jerekin\AppData\Roaming\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E96.exe

2010-11-06 09:25 . 2010-11-06 09:18        2829        ----a-w-        c:\windows\War3Unin.pif

2010-11-06 09:25 . 2010-11-06 09:18        139264        ----a-w-        c:\windows\War3Unin.exe

2010-10-23 18:20 . 2010-10-23 18:20        184320        ----a-r-        c:\users\Jerekin\AppData\Roaming\Microsoft\Installer\{89D02D94-ACBF-4AD8-B8B7-3B5114535F71}\icon.exe

2010-10-23 13:41 . 2010-10-23 13:41        53248        ----a-r-        c:\users\Jerekin\AppData\Roaming\Microsoft\Installer\{7E641E46-81DB-4D1D-906A-48342523051C}\FlatOut2.exe1_C884B05AF5D94AE49D84E6BD9F6E7890.exe

2010-10-23 13:41 . 2010-10-23 13:41        53248        ----a-r-        c:\users\Jerekin\AppData\Roaming\Microsoft\Installer\{7E641E46-81DB-4D1D-906A-48342523051C}\FlatOut2.exe_C884B05AF5D94AE49D84E6BD9F6E7890.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-07-30 39408]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-03-04 284696]

"ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2010-05-31 673136]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-08 98304]

"Norton Online Backup"="c:\program files (x86)\Symantec\Norton Online Backup\NOBuClient.exe" [2010-06-01 1155928]

"PMBVolumeWatcher"="c:\program files (x86)\Sony\PMB\PMBVolumeWatcher.exe" [2010-06-01 600928]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"QuickTime Task"="c:\program files (x86)\QuickTime\qttask.exe" [2010-11-06 282624]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-6-8 1128224]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer2"=wdmaud.drv
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""
 

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-30 136176]

R3 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]

R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-06-24 271872]

R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2010-06-20 108400]

R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2010-06-18 423280]

R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2010-06-20 67952]

R3 SpfService;VAIO Entertainment Common Service;c:\program files\Common Files\Sony Shared\VAIO Entertainment Platform\SPF\SpfService64.exe [2010-06-06 304496]

R3 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2010-06-17 851824]

R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2010-06-09 537456]

R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2010-06-09 384880]

R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2010-06-09 101232]

R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [2010-05-31 1250160]

S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2008-06-16 55024]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-06-24 202752]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]

S2 NOBU;Norton Online Backup;c:\program files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe SERVICE [x]

S2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files (x86)\Sony\PMB\PMBDeviceInfoProvider.exe [2010-06-01 367456]

S2 rimspci;rimspci;c:\windows\system32\drivers\rimssne64.sys [2010-06-23 94208]

S2 risdsnpe;risdsnpe;c:\windows\system32\drivers\risdsne64.sys [2010-06-23 78848]

S2 SampleCollector;VAIO Care Performance Service;c:\program files\Sony\VAIO Care\VCPerfService.exe [2010-08-12 257936]

S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]

S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-05-28 2320920]

S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2010-06-21 575856]

S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2010-06-08 836608]

S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [2009-05-26 19968]

S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-06-23 342056]

S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2010-06-23 39464]

S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\drivers\HECIx64.sys [2010-05-28 56344]

S3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [2010-05-28 158976]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2010-04-26 12032]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2010-05-31 402720]
 

.

Inhalt des "geplante Tasks" Ordners
 

2010-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-30 13:40]
 

2010-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-07-30 13:40]

.
 

--------- x86-64 -----------
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-05-31 10775584]

"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-05-31 2040352]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://www.google.de/ig

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = <local>

IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-Apoint - %ProgramFiles%\Apoint\Apoint.exe
 
 
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SampleCollector]

"ImagePath"="\"c:\program files\Sony\VAIO Care\VCPerfService.exe\" \"/service\" \"/sstates\" \"/sampleinterval=5000\" \"/procinterval=5\" \"/dllinterval=120\" \"/counter=\Processor(_Total)\% Processor Time:1/counter=\PhysicalDisk(_Total)\Disk Bytes/sec:1\" \"/counter=\Network Interface(*)\Bytes Total/sec:1\" \"/expandcounter=\Processor Information(*)\Processor Frequency:1\" \"/expandcounter=\Processor(*)\% Idle Time:1\" \"/expandcounter=\Processor(*)\% C1 Time:1\" \"/expandcounter=\Processor(*)\% C2 Time:1\" \"/expandcounter=\Processor(*)\% C3 Time:1\" \"/expandcounter=\Processor(*)\% Processor Time:1\" \"/directory=inteldata\""

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-3667577433-3650824508-3073788043-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:5e,51,2e,16,31,80,28,a0,57,3c,f9,8c,e5,03,86,39,2d,1b,59,bc,d0,57,c4,

   8e,5c,b9,93,22,28,8f,10,7b,82,b0,b6,e9,e7,2c,b4,36,8a,16,6f,94,7a,31,cc,91,\

"??"=hex:69,3e,43,58,9f,64,ba,75,fe,6b,77,07,2a,78,dd,74
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2010-12-29  15:07:00

ComboFix-quarantined-files.txt  2010-12-29 14:07
 

Vor Suchlauf: 18 Verzeichnis(se), 404.491.005.952 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 405.616.885.760 Bytes frei
 

- - End Of File - - DB2DF31DDD902F40CFD489DF5C1BC252

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Logfile:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2010-12-29 21:51:37

Windows 6.1.7600  

Running: vejwyubp.exe
 
 

---- Registry - GMER 1.0.15 ----
 

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0c6076a27abb                      

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c0cb38d969ee                      

Reg  HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\f07bcbe6462f                      

Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0c6076a27abb (not active ControlSet)  

Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c0cb38d969ee (not active ControlSet)  

Reg  HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\f07bcbe6462f (not active ControlSet)  
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Ich habe zuerst den Online Scan von Osam abgelehnt. Nach dem normalen Scan wurden mir die Ergebnise angezeigt mit so Kästchen vorne zum haken machen. Anschließend habe auf "Save Log" geklickt. Da passierte aber einfach nichts. Habe ich was falsch gemacht?

Führ OSAM nochmal aus und speicher das Log ab. Falls als Format *.log nicht geht, vllt geht es mit *.html

Irgendwie klappt es nicht. Ich beschreibe mal wie ich vorgegangen bin. Zuerst habe ich mir Win Rar 64 Bit Win7 runtergeladen. Dann den Osam Ordner auf dem Desktop gespeichert. Dann habe ich mit Rechtsklick auf den Ordner geklickt und auf "entpacken nach osam_autorun_manager_5_0_portable" geklickt. Dann habe ich im entstandenen Orner auf die Osam Anwendung geklickt und als Admin ausführen lassen. Es Öffnete sich ein Fenster mit einer Lupe einem Balken und der Überschrift "Autorun data scanning". Dann erschien ein Fenster mit dem Namen "Online malware scanner". Da habe ich auf Channel geklickt. Er hat mich gefragt ob ich sicher bin und ich habe bestätigt.

weitere beschreibung folgt...

Oh sry mein Fehler :stirn:
OSAM läuft auf 64-Bit nicht, da kannste lange probieren :lach:
Lass das weg und mach nochmal den mbrcheck

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: Sony Corporation
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Sony Corporation
System Product Name: VPCEC3M1E
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 160):
0x03662000 \SystemRoot\system32\ntoskrnl.exe
0x03619000 \SystemRoot\system32\hal.dll
0x00BA0000 \SystemRoot\system32\kdcom.dll
0x00CCF000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D13000 \SystemRoot\system32\PSHED.dll
0x00D27000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00E3E000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00EE2000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00EF1000 \SystemRoot\system32\drivers\ACPI.sys
0x00F48000 \SystemRoot\system32\drivers\WMILIB.SYS
0x00F51000 \SystemRoot\system32\drivers\msisadrv.sys
0x00F5B000 \SystemRoot\system32\drivers\pci.sys
0x00F8E000 \SystemRoot\system32\drivers\vdrvroot.sys
0x00F9B000 \SystemRoot\System32\drivers\partmgr.sys
0x00FB0000 \SystemRoot\system32\drivers\compbatt.sys
0x00FB9000 \SystemRoot\system32\drivers\BATTC.SYS
0x00FC5000 \SystemRoot\system32\drivers\volmgr.sys
0x00D85000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FDA000 \SystemRoot\System32\drivers\mountmgr.sys
0x010CA000 \SystemRoot\system32\drivers\iaStor.sys
0x012D4000 \SystemRoot\system32\drivers\amdxata.sys
0x012DF000 \SystemRoot\system32\drivers\fltmgr.sys
0x0132B000 \SystemRoot\system32\drivers\fileinfo.sys
0x0133F000 \SystemRoot\System32\Drivers\PxHlpa64.sys
0x0145B000 \SystemRoot\System32\Drivers\Ntfs.sys
0x0134B000 \SystemRoot\System32\Drivers\msrpc.sys
0x01400000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01000000 \SystemRoot\System32\Drivers\cng.sys
0x0141A000 \SystemRoot\System32\drivers\pcw.sys
0x0142B000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x01625000 \SystemRoot\system32\drivers\ndis.sys
0x01717000 \SystemRoot\system32\drivers\NETIO.SYS
0x01777000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01801000 \SystemRoot\System32\drivers\tcpip.sys
0x017A2000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01073000 \SystemRoot\system32\drivers\volsnap.sys
0x017EC000 \SystemRoot\System32\Drivers\spldr.sys
0x013A9000 \SystemRoot\System32\drivers\rdyboost.sys
0x01600000 \SystemRoot\System32\Drivers\mup.sys
0x01612000 \SystemRoot\System32\drivers\hwpolicy.sys
0x00E00000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01435000 \SystemRoot\system32\drivers\disk.sys
0x01AF9000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x042E5000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x0430F000 \SystemRoot\System32\Drivers\Null.SYS
0x04318000 \SystemRoot\System32\Drivers\Beep.SYS
0x0431F000 \SystemRoot\System32\drivers\vga.sys
0x0432D000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x04352000 \SystemRoot\System32\drivers\watchdog.sys
0x04362000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x0436B000 \SystemRoot\system32\drivers\rdpencdd.sys
0x04374000 \SystemRoot\system32\drivers\rdprefmp.sys
0x0437D000 \SystemRoot\System32\Drivers\Msfs.SYS
0x04388000 \SystemRoot\System32\Drivers\Npfs.SYS
0x04399000 \SystemRoot\system32\DRIVERS\tdx.sys
0x043B7000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x04000000 \SystemRoot\System32\DRIVERS\netbt.sys
0x01B37000 \SystemRoot\system32\drivers\afd.sys
0x04045000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x0404E000 \SystemRoot\system32\DRIVERS\pacer.sys
0x04074000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x0408A000 \SystemRoot\system32\DRIVERS\netbios.sys
0x04099000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x040B4000 \SystemRoot\system32\drivers\termdd.sys
0x01A00000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x043C4000 \SystemRoot\system32\drivers\nsiproxy.sys
0x043D0000 \SystemRoot\system32\drivers\mssmbios.sys
0x043DB000 \SystemRoot\System32\drivers\discache.sys
0x01A51000 \SystemRoot\System32\Drivers\dfsc.sys
0x043EA000 \SystemRoot\system32\drivers\blbdrive.sys
0x01A6F000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x04AFD000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x04A00000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x05122000 \SystemRoot\System32\drivers\dxgmms1.sys
0x05168000 \SystemRoot\system32\drivers\HDAudBus.sys
0x0518C000 \SystemRoot\system32\drivers\HECIx64.sys
0x0519D000 \SystemRoot\system32\drivers\usbehci.sys
0x01A95000 \SystemRoot\system32\drivers\USBPORT.SYS
0x02E2E000 \SystemRoot\system32\DRIVERS\athrx.sys
0x02FB2000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x02FBF000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x02FDF000 \SystemRoot\system32\drivers\rimssne64.sys
0x02E00000 \SystemRoot\system32\drivers\risdsne64.sys
0x0449F000 \SystemRoot\system32\DRIVERS\yk62x64.sys
0x04504000 \SystemRoot\system32\drivers\i8042prt.sys
0x04522000 \SystemRoot\system32\drivers\kbdclass.sys
0x04531000 \SystemRoot\system32\drivers\Apfiltr.sys
0x04580000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x0458F000 \SystemRoot\system32\drivers\SFEP.sys
0x04592000 \SystemRoot\system32\drivers\Impcd.sys
0x045B9000 \SystemRoot\system32\drivers\intelppm.sys
0x045CF000 \SystemRoot\system32\drivers\CmBatt.sys
0x045D4000 \SystemRoot\system32\drivers\CompositeBus.sys
0x045E4000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x04400000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x04424000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x04430000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0445F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x0447A000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x051AE000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x0449B000 \SystemRoot\system32\drivers\swenum.sys
0x04618000 \SystemRoot\system32\drivers\ks.sys
0x0465B000 \SystemRoot\system32\DRIVERS\umbus.sys
0x0466D000 \SystemRoot\system32\drivers\usbhub.sys
0x046C7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x046DC000 \SystemRoot\system32\drivers\RtHDMIVX.sys
0x04713000 \SystemRoot\system32\drivers\portcls.sys
0x04750000 \SystemRoot\system32\drivers\drmk.sys
0x04772000 \SystemRoot\system32\drivers\ksthunk.sys
0x05860000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x05A9E000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x05ABB000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x05ABD000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x05ACB000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x05AE4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x000B0000 \SystemRoot\System32\win32k.sys
0x05AED000 \SystemRoot\System32\drivers\Dxapi.sys
0x05AF9000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x05C00000 \SystemRoot\system32\drivers\btwampfl.sys
0x05E89000 \SystemRoot\System32\Drivers\BTHUSB.sys
0x05EA1000 \SystemRoot\System32\Drivers\bthport.sys
0x05F2D000 \SystemRoot\System32\Drivers\usbvideo.sys
0x05F5B000 \SystemRoot\system32\DRIVERS\ArcSoftKsUFilter.sys
0x05F65000 \SystemRoot\System32\Drivers\crashdmp.sys
0x040C8000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x05F73000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x05F86000 \SystemRoot\system32\DRIVERS\rfcomm.sys
0x05FB2000 \SystemRoot\system32\DRIVERS\BthEnum.sys
0x05FC2000 \SystemRoot\system32\DRIVERS\bthpan.sys
0x05B06000 \SystemRoot\system32\DRIVERS\btwavdt.sys
0x04778000 \SystemRoot\system32\drivers\btwaudio.sys
0x05FE2000 \SystemRoot\system32\DRIVERS\btwl2cap.sys
0x05FF0000 \SystemRoot\system32\DRIVERS\btwrchid.sys
0x05B83000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00470000 \SystemRoot\System32\TSDDD.dll
0x007D0000 \SystemRoot\System32\cdd.dll
0x05B91000 \SystemRoot\system32\drivers\luafv.sys
0x05BB4000 \SystemRoot\system32\drivers\WudfPf.sys
0x05BD5000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x05800000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x05BEA000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x04600000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0483F000 \SystemRoot\system32\drivers\HTTP.sys
0x04907000 \SystemRoot\system32\DRIVERS\bowser.sys
0x04925000 \SystemRoot\System32\drivers\mpsdrv.sys
0x0493D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x0496A000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x049B8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x049DB000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x07609000 \SystemRoot\system32\drivers\peauth.sys
0x076AF000 \SystemRoot\System32\Drivers\secdrv.SYS
0x076BA000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x076E7000 \SystemRoot\System32\drivers\tcpipreg.sys
0x076F9000 \SystemRoot\System32\DRIVERS\srv2.sys
0x07760000 \SystemRoot\System32\DRIVERS\srv.sys
0x774E0000 \Windows\System32\ntdll.dll
0x477B0000 \Windows\System32\smss.exe
0xFF800000 \Windows\System32\apisetschema.dll
0xFFF80000 \Windows\System32\autochk.exe

Processes (total 82):
0 System Idle Process
4 System
308 C:\Windows\System32\smss.exe
476 csrss.exe
556 C:\Windows\System32\wininit.exe
580 csrss.exe
620 C:\Windows\System32\services.exe
648 C:\Windows\System32\winlogon.exe
660 C:\Windows\System32\lsass.exe
672 C:\Windows\System32\lsm.exe
792 C:\Windows\System32\svchost.exe
872 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\atiesrxx.exe
1008 C:\Windows\System32\svchost.exe
324 C:\Windows\System32\svchost.exe
504 C:\Windows\System32\svchost.exe
1028 C:\Windows\System32\svchost.exe
1116 C:\Windows\System32\svchost.exe
1276 C:\Windows\System32\spoolsv.exe
1312 C:\Windows\System32\atieclxx.exe
1416 C:\Windows\System32\svchost.exe
1548 C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
1604 C:\Windows\System32\svchost.exe
1740 C:\Windows\System32\taskhost.exe
1832 C:\Windows\System32\dwm.exe
1892 C:\Windows\explorer.exe
1916 C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
1108 C:\Windows\System32\taskeng.exe
1576 C:\Program Files\Sony\VAIO Care\VCSpt.exe
2060 C:\Windows\System32\taskeng.exe
2180 C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
2256 C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe
2312 C:\Program Files (x86)\Sony\PMB\PMBDeviceInfoProvider.exe
2384 C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
2408 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe
2464 C:\Program Files\Sony\VAIO Smart Network\VSNService.exe
2536 C:\Program Files\Sony\VAIO Smart Network\VSNClient.exe
2548 dllhost.exe
2796 C:\Program Files\Sony\VAIO Update 5\VAIOUpdt.exe
2856 C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
2868 C:\Program Files\Apoint\Apoint.exe
2876 C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2940 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgrSub.exe
3044 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
1760 C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
2588 C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe
3112 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
3224 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
3280 C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe
3436 C:\Windows\System32\svchost.exe
3668 WmiPrvSE.exe
3688 C:\Windows\System32\svchost.exe
3964 C:\Program Files\Apoint\ApMsgFwd.exe
4036 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
3100 C:\Program Files (x86)\QuickTime\qttask.exe
4020 C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
1460 C:\Windows\SysWOW64\rundll32.exe
1852 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
3152 C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
3096 C:\Windows\System32\SearchIndexer.exe
3240 C:\Program Files\Apoint\Apvfb.exe
3120 C:\Program Files\Apoint\ApntEx.exe
4112 C:\Windows\System32\conhost.exe
4180 C:\Program Files\Windows Media Player\wmpnetwk.exe
4492 C:\Windows\System32\svchost.exe
2324 C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
4468 C:\Program Files\Sony\VAIO Care\VCPerfService.exe
1936 C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
2768 C:\Program Files\Sony\VAIO Power Management\SPMService.exe
2000 C:\Windows\System32\svchost.exe
4724 C:\Windows\System32\wuauclt.exe
900 C:\Program Files\Sony\VAIO Care\VCsystray.exe
1732 C:\Program Files\Sony\VAIO Care\listener.exe
764 C:\Windows\System32\taskeng.exe
3076 C:\Windows\System32\audiodg.exe
5856 C:\Windows\System32\SearchProtocolHost.exe
1616 C:\Windows\System32\SearchFilterHost.exe
376 C:\Windows\System32\SearchProtocolHost.exe
3124 dllhost.exe
5192 dllhost.exe
3888 C:\Users\Jerekin\Desktop\MBRCheck.exe
1784 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003`5b200000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHM500JI, Rev: 2AC101U4

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5421

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.12.2010 13:30:22
mbam-log-2010-12-30 (13-30-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 335702
Laufzeit: 20 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\Users\Jerekin\AppData\Local\ntrmnofihy.exe.vir (Rogue.SecurityShield) -> Quarantined and deleted successfully.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/30/2010 at 02:58 PM

Application Version : 4.47.1000

Core Rules Database Version : 6099
Trace Rules Database Version: 3911

Scan type : Complete Scan
Total Scan Time : 01:11:04

Memory items scanned : 791
Memory threats detected : 0
Registry items scanned : 13237
Registry threats detected : 0
File items scanned : 183031
File threats detected : 8

Adware.Tracking Cookie
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@tradedoubler[1].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@ad.zanox[2].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@zanox[2].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@statcounter[1].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@static.freewebs.getclicky[1].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@doubleclick[2].txt
C:\Users\Jerekin\AppData\Roaming\Microsoft\Windows\Cookies\jerekin@traffictrack[1].txt

Trojan.Agent/Gen-FraudTool[Tiny]
C:\QOOBOX\QUARANTINE\C\USERS\JEREKIN\APPDATA\ROAMING\.#\MBX@EFC@2162770.###.VIR

Nur Überreste und Cookies. Geht i.o. so
Noch Probleme oder ist nun alles paletti? :)

Alles Paletti. :daumenhoc

Vielen Dank für die schnelle Hilfe und einen guten Rutsch wünsche ich dir!

:party:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.