Aus Sicherheitsgründen wurde ihr Windows System geblockt.

saba · 30.11.2011, 03:01

Heya,

ich bekomme seit heute Nacht die Meldung "Aus Sicherheitsgründen wurde ihr Windows-System geblockt" mit schwarzem Hintergrund und der Auswahl "bezahlen und herunterladen". Ich habe dieses Forum hier entdeckt und hoffe auf Hilfe

Ich habe bereits OTL.exe heruntergeladen und die beiden Dateien erstellt. Siehe Anhang!

Liebe Grüsse
Saba

markusg · 30.11.2011, 11:30

hi

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKCU..\Run: [{65428535-2346-11E0-8C24-806E6F6E6963}] C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe (Bitsum Technologies)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
:Files
C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

klicke mit rechts auf den desktop, ansicht, desktop symbole einblenden auswählen.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

saba · 30.11.2011, 12:14

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{65428535-2346-11E0-8C24-806E6F6E6963} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65428535-2346-11E0-8C24-806E6F6E6963}\ not found.
C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== FILES ==========
File\Folder C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
User: Sabrina
->Flash cache emptied: 87367 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Sabrina
->Temp folder emptied: 2227356274 bytes
->Temporary Internet Files folder emptied: 3196204867 bytes
->Java cache emptied: 1146319 bytes
->Google Chrome cache emptied: 36644537 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 162219892 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85163 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 5.363,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 11302011_120645

Files\Folders moved on Reboot...
C:\Users\Sabrina\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

saba · 30.11.2011, 12:16

Danke für die schnelle Antwort. Die moved files habe ich hochgeladen. Bin gespannt

Saba

markusg · 30.11.2011, 12:17

man dankt, archiv angekommen.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

saba · 30.11.2011, 12:43

Code:

ATTFilter

ComboFix 11-11-30.01 - Sabrina 30.11.2011  12:32:24.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.6007.4449 [GMT 1:00]
ausgeführt von:: c:\users\Sabrina\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\prefs.js
c:\windows\system32\ReadMe.txt
c:\windows\UA000096.DLL
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-28 bis 2011-11-30  ))))))))))))))))))))))))))))))
.
.
2011-11-30 11:36 . 2011-11-30 11:36	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local\temp
2011-11-30 11:36 . 2011-11-30 11:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-11-30 11:11 . 2011-11-30 11:11	69000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2E4DA558-0909-44F4-A381-F9BA3CCF7E76}\offreg.dll
2011-11-30 11:06 . 2011-11-30 11:11	--------	d-----w-	C:\_OTL
2011-11-30 00:51 . 2011-11-30 00:51	--------	d-----w-	c:\users\Sabrina\AppData\Roaming\Avira
2011-11-30 00:50 . 2011-11-30 00:51	--------	d-----w-	c:\programdata\Avira
2011-11-30 00:50 . 2011-11-30 00:50	--------	d-----w-	c:\program files (x86)\Avira
2011-11-30 00:50 . 2011-10-11 14:06	27760	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2011-11-30 00:50 . 2011-10-11 14:06	130760	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-11-30 00:50 . 2011-10-11 14:06	97312	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-11-29 20:19 . 2011-10-07 04:16	8570192	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2E4DA558-0909-44F4-A381-F9BA3CCF7E76}\mpengine.dll
2011-11-22 20:37 . 2011-11-22 20:37	--------	d-----w-	c:\programdata\Overwolf
2011-11-21 15:45 . 2011-11-21 15:45	--------	d-----w-	c:\windows\system32\Macromed
2011-11-20 18:55 . 2011-11-30 01:01	--------	d-----w-	c:\users\Sabrina\AppData\Local\Overwolf
2011-11-20 17:46 . 2011-11-20 17:59	--------	d-----w-	c:\users\Sabrina\Runes_of_Magic_4_0_1_2430_eu_slim
2011-11-20 17:46 . 2011-11-20 17:46	--------	d-----w-	c:\users\Sabrina\AppData\Roaming\FOG Downloader
2011-11-20 02:02 . 2011-11-20 02:02	--------	d-----w-	c:\windows\system32\SPReview
2011-11-20 02:01 . 2011-11-20 02:01	--------	d-----w-	c:\windows\system32\EventProviders
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin7.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin6.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin5.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin4.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin3.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin2.dll
2011-11-19 21:13 . 2011-11-19 21:13	159744	----a-w-	c:\program files (x86)\Internet Explorer\Plugins\npqtplugin.dll
2011-11-19 21:13 . 2011-11-19 21:13	--------	d-----w-	c:\program files (x86)\QuickTime
2011-11-19 21:12 . 2011-11-19 21:12	--------	d-----w-	c:\program files\iTunes
2011-11-19 21:12 . 2011-11-19 21:12	--------	d-----w-	c:\program files\iPod
2011-11-10 19:03 . 2011-11-10 19:03	--------	d-----w-	c:\users\Sabrina\AppData\Local\Babylon
2011-11-10 19:03 . 2011-11-10 19:03	--------	d-----w-	c:\users\Sabrina\AppData\Roaming\Babylon
2011-11-10 19:03 . 2011-11-10 19:03	--------	d-----w-	c:\programdata\Babylon
2011-11-10 19:03 . 2011-11-10 19:04	--------	d-----w-	c:\programdata\InstallMate
2011-11-10 19:03 . 2011-11-10 19:03	--------	d-----w-	c:\programdata\Premium
2011-11-09 09:38 . 2011-10-01 05:45	886784	----a-w-	c:\program files\Common Files\System\wab32.dll
2011-11-09 09:38 . 2011-10-01 04:37	708608	----a-w-	c:\program files (x86)\Common Files\System\wab32.dll
2011-11-09 09:38 . 2011-09-29 16:29	1923952	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-11-09 09:38 . 2011-09-29 04:03	3144704	----a-w-	c:\windows\system32\win32k.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-21 15:45 . 2011-05-23 09:24	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-11-20 02:07 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2011-11-20 02:07 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2011-10-24 13:29 . 2011-10-24 13:29	94208	----a-w-	c:\windows\SysWow64\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29	69632	----a-w-	c:\windows\SysWow64\QuickTime.qts
2011-10-07 04:40 . 2011-04-27 07:15	1092400	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2011-10-01 03:25 . 2011-10-13 18:48	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-01 02:42 . 2011-10-13 18:48	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
2011-09-30 13:40 . 2011-09-30 13:40	53248	----a-w-	c:\windows\SysWow64\CSVer.dll
2011-09-19 07:23 . 2011-04-11 18:55	2300696	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\markup.dll
2011-09-19 07:23 . 2011-04-11 18:55	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\program files (x86)\ICQ7.2\ICQ.exe" [2011-01-18 133432]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ShwiconXP9106"="c:\program files (x86)\Multimedia Card Reader(9106)\ShwiconXP9106.exe" [2010-01-27 237568]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Desktop Disc Tool"="c:\program files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe" [2009-10-15 498160]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-09-27 59240]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="k:\itunes\iTunesHelper.exe" [2011-11-12 421736]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-10-24 421888]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe"="c:\program files (x86)\Dell DataSafe Local Backup\Components\DSUpdate\DSUpdate.exe" [2011-10-10 559616]
"Launcher"="c:\program files (x86)\Dell DataSafe Local Backup\Components\Scheduler\Launcher.exe" [2011-01-13 165184]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-12-16 1324384]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
R3 nmwcdnsux64;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsux64.sys [x]
R3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [x]
R3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirMailService;Avira Email Schutz;c:\program files (x86)\Avira\AntiVir Desktop\avmailc.exe [2011-10-11 342480]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 AntiVirWebService;Avira Browser Schutz;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-10-11 463824]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-10-20 821664]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2009-06-09 155648]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-09-14 508264]
S2 SftService;SoftThinks Agent Service;c:\program files (x86)\Dell DataSafe Local Backup\sftservice.EXE [2011-01-13 705856]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-09-03 235624]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-09-14 219496]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2676583975-1432027273-398357640-1000Core.job
- c:\users\Sabrina\AppData\Local\Google\Update\GoogleUpdate.exe [2011-07-31 02:40]
.
2011-11-30 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2676583975-1432027273-398357640-1000UA.job
- c:\users\Sabrina\AppData\Local\Google\Update\GoogleUpdate.exe [2011-07-31 02:40]
.
2011-11-25 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-10-06 20:32]
.
2011-11-30 c:\windows\Tasks\SystemToolsDailyTest.job
- c:\program files\Dell Support Center\uaclauncher.exe [2011-10-06 20:32]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-08-26 12681320]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Web-Suche - c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files (x86)\ICQ7.5\ICQ.exe
LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll
TCP: Interfaces\{572C68BB-FF4E-474E-A4CD-3AD6C20CEC85}: NameServer = 213.191.92.86 62.109.123.7
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-Overwolf - c:\program files (x86)\Overwolf\Overwolf.exe
Wow6432Node-HKLM-Run-DellSupportCenter - c:\program files (x86)\Dell Support Center\bin\sprtcmd.exe
Toolbar-Locked - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-11-30  12:39:16
ComboFix-quarantined-files.txt  2011-11-30 11:39
.
Vor Suchlauf: 14 Verzeichnis(se), 260.279.083.008 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 260.334.039.040 Bytes frei
.
- - End Of File - - 30113AE04A369A229EC9906A9710EFA1

markusg · 30.11.2011, 12:49

sieht gut aus.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

saba · 30.11.2011, 12:59

Danke!

Ich hab dazu ne dumme Frage. Die Klassifizierung der Tools in notwendig, unnötig und unbekannt .. hmm wie beschreib ich es:

z.B. Adobe - ich weiß ich benötige es aber ich hab da anscheinend mehrere Versionen und ich habe keine Ahnung, ob ich die brauche oder ob ich die falsch geupgradet habe

2. Beispiel: die ganzen Dell-Programme würde ich naiverweise als notwendig klassifizieren, weil sie ja schon drauf waren

Hoffe es kommt rüber, was ich meine ...eeks.

Danke schonmal für die Antwort

Saba

markusg · 30.11.2011, 13:11

hi, wegen dem adobe zeug gucke ich.
bei hp kannst du ja überall unbekannt schreiben außer für die von dir genutzten programme ich see schon, falls du etwas evtl. wichtiges falsch beschriftet hast :-)

saba · 30.11.2011, 13:13

Hehe okey ... ich kann also gar nichts falsch machen und du benötigst nur meine "Mithilfe" um mich zu motivieren?

Ich hab sie inzwischen auch einfach mal ausgefüllt, here we go:

Adobe Flash Player 10 Plugin Adobe Systems Incorporated 24.10.2010 6,00MB 10.1.53.64 notwendig
Adobe Flash Player 11 ActiveX 64-bit Adobe Systems Incorporated 20.11.2011 6,00MB 11.1.102.55 notwendig
Adobe Reader 9.1.2 - Deutsch Adobe Systems Incorporated 24.10.2010 240MB 9.1.2 notwendig
Apple Application Support Apple Inc. 12.10.2011 61,1MB 2.1.5 notwendig
Apple Mobile Device Support Apple Inc. 18.11.2011 24,4MB 4.0.0.97 notwendig
Apple Software Update Apple Inc. 01.07.2011 2,25MB 2.1.3.127 notwendig
Avira Antivirus Premium 2012 Avira 29.11.2011 102,6MB 12.0.0.877 notwendig
Bonjour Apple Inc. 12.10.2011 2,04MB 3.0.0.10 unbekannt
CCleaner Piriform 29.11.2011 3.13 notwendig
Click to Call with Skype Skype Technologies S.A. 19.08.2011 10,1MB 5.5.8013 notwendig
Dell DataSafe Local Backup Dell 24.10.2010 9.4.51 notwendig
Dell DataSafe Local Backup - Support Software Dell 24.10.2010 notwendig
Dell Dock Stardock Corporation 25.10.2010 notwendig
Dell Dock 24.10.2010 notwendig
Dell Getting Started Guide Dell Inc. 24.10.2010 1.00.0000 notwendig
Dell Support Center Dell Inc. 17.10.2011 128,9MB 3.1.5907.12 notwendig
DHTML Editing Component Microsoft Corporation 09.09.2011 0,54MB 6.02.0001 unbekannt
Driver Detective PC Drivers HeadQuarters 29.09.2011 7,73MB 8.0.1 notwendig
EQ2MAP Updater 1.2.4 Johan Nilsson 19.01.2011 1.2.4 notwendig
Google Chrome Google Inc. 30.07.2011 15.0.874.121 notwendig
iCloud Apple Inc. 18.11.2011 32,4MB 1.0.1.29 unbekannt
ICQ7.5 ICQ 11.07.2011 7.5 notwendig
iTunes Apple Inc. 18.11.2011 170,5MB 10.5.1.42 notwendig
IvanView 19.03.2011 unbekannt
Java(TM) 6 Update 20 (64-bit) Sun Microsystems, Inc. 24.10.2010 90,6MB 6.0.200 notwendig
Java(TM) 6 Update 23 Sun Microsystems, Inc. 24.10.2010 97,2MB 6.0.230 notwendig
JDownloader 0.9 AppWork GmbH 17.09.2011 0.9 unnötig
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 19.01.2011 38,8MB 4.0.30319 notwendig
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 19.01.2011 2,94MB 4.0.30319 notwendig
Microsoft .NET Framework 4 Extended Microsoft Corporation 26.09.2011 52,0MB 4.0.30319 notwendig
Microsoft .NET Framework 4 Extended DEU Language Pack Microsoft Corporation 26.09.2011 10,7MB 4.0.30319 notwendig
Microsoft Office 2010 Microsoft Corporation 24.10.2010 6,31MB 14.0.4763.1000 notwendig
Microsoft Office Klick-und-Los 2010 Microsoft Corporation 01.02.2011 14.0.4763.1000 notwendig
Microsoft Office Starter 2010 - Deutsch Microsoft Corporation 01.02.2011 14.0.4763.1000 notwendig
Microsoft Research AutoCollage 2008 version 1.1 Microsoft Research 01.03.2011 7,44MB 1.01.2008 notwendig
Microsoft Silverlight Microsoft Corporation 13.10.2011 148,5MB 4.0.60831.0 notwendig
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 24.10.2010 1,72MB 3.1.0000 notwendig
Microsoft Sync Framework Runtime Native v1.0 (x86) Microsoft Corporation 23.01.2011 0,61MB 1.0.1215.0 notwendig
Microsoft Sync Framework Services Native v1.0 (x86) Microsoft Corporation 23.01.2011 1,45MB 1.0.1215.0 notwendig
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 25.01.2011 0,25MB 8.0.50727.4053 notwendig
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 15.06.2011 0,29MB 8.0.58299 notwendig
Microsoft Visual C++ 2005 Redistributable - KB2467175 Microsoft Corporation 16.09.2011 2,65MB 8.0.51011 notwendig
Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148 Microsoft Corporation 25.01.2011 0,21MB 9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 25.01.2011 0,20MB 9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570 Microsoft Corporation 16.04.2011 0,77MB 9.0.30729.5570 notwendig
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 16.04.2011 0,58MB 9.0.30729.5570 notwendig
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 Microsoft Corporation 17.01.2011 0,77MB 9.0.30729 notwendig
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 Microsoft Corporation 15.06.2011 0,77MB 9.0.30729.6161 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 Microsoft Corporation 16.09.2011 0,23MB 9.0.30729 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 17.01.2011 0,58MB 9.0.30729 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 15.06.2011 0,59MB 9.0.30729.6161 notwendig
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 29.11.2011 11,1MB 10.0.40219 notwendig
MiniTool Partition Wizard Home Edition 5.2 MiniTool Solution Ltd. 17.01.2011 20,6MB notwendig
MobileMe Control Panel Apple Inc. 18.11.2011 12,9MB 3.1.8.0 notwendig
Multimedia Card Reader Fitipower 24.10.2010 1.6.915.87 notwendig
NVIDIA 3D Vision Controller-Treiber 280.19 NVIDIA Corporation 29.09.2011 280.19 notwendig
NVIDIA Display Control Panel NVIDIA Corporation 24.10.2010 135,0MB 6.14.12.5961 notwendig
NVIDIA Drivers NVIDIA Corporation 24.10.2010 65,1MB 1.10.62.40 notwendig
NVIDIA Grafiktreiber 280.26 NVIDIA Corporation 29.09.2011 280.26 notwendig
NVIDIA PhysX NVIDIA Corporation 24.10.2010 9.10.0224 notwendig
NVIDIA Stereoscopic 3D Driver NVIDIA Corporation 24.10.2010 7.17.12.5961 notwendig
ProfitUI Reborn Updater Kaldran - EQ2 Valor Server 19.01.2011 notwendig
QuickTime Apple Inc. 18.11.2011 73,3MB 7.71.80.42 notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 29.09.2011 6.0.1.6449 notwendig
Roxio Burn Roxio 24.10.2010 36,1MB 1.01 notwendig
Safari Apple Inc. 12.10.2011 43,2MB 5.34.51.22 unbekannt
Skype™ 5.5 Skype Technologies S.A. 22.10.2011 17,0MB 5.5.124 notwendig
Station Launcher Sony Online Entertainment 17.01.2011 1.01.9000 notwendig
TeamSpeak 3 Client TeamSpeak Systems GmbH 17.01.2011 notwendig
Windows Live Anmelde-Assistent Microsoft Corporation 24.10.2010 1,94MB 5.000.818.5 unbekannt
Windows Live Essentials Microsoft Corporation 23.01.2011 14.0.8117.0416 unbekannt
Windows Live Sync Microsoft Corporation 23.01.2011 2,79MB 14.0.8117.416 unbekannt
Windows Live-Uploadtool Microsoft Corporation 24.10.2010 0,22MB 14.0.8014.1029 unbekannt
WinRAR 4.01 (64-bit) win.rar GmbH 07.09.2011 4.01.0 notwendig

markusg · 30.11.2011, 13:28

hi,
die liste möchte ich haben, um zu schauen wie der update stand deines pcs ist, häufig gelangt malware über sicherheitslücken ins system.
außerdem kann es auch nichts schaden unnötiges zeug los zu werden, also deine hilfe hat schon nen praktischen nutzen :d

deinstaliere:
Adobe Flash Player 10
Adobe Reader 9.1.2
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Bonjour
iCloud
IvanView
Java beide versionen
Java
Download der kostenlosen Java-Software
downloade java jre
deinstaliere:
JDownloader
Safari
Windows Live falls du windows live mail etc nicht nutzt, alles weg.
wenn nicht auswählen was du nicht vrwendest und diese deinstalieren
bereinige mit dem ccleaner.

saba · 30.11.2011, 13:42

Hallo Markus,

it's done!
Bisher ist während unserer letzten Schritte diese Meldung auch nicht nochmal aufgetaucht. Mich interessiert, an welchem Punkt das entfernt wurde

es klang alles nach aufwendiger Analysezeit deinerseits aber noch nicht nach "Da ist der Schuuuft - löscht ihn". hihi

LG Saba

markusg · 30.11.2011, 13:53

der wars:
C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe
ich möchte noch einen abschließenden scan machen und dann mit dir zusammen das system noch ein wenig absichern damit so was in zukunft nicht mehr so leicht vor kommt

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

saba · 30.11.2011, 13:55

Wow super!

Ich muss jetzt erstmal zum Arzt und werde danach weitermachen. Bis nacher!

LG Saba

saba · 30.11.2011, 15:04

Hallo,

da bin ich wieder mit dem log von Malwarebytes:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8277

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

30.11.2011 14:58:05
mbam-log-2011-11-30 (14-58-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|K:\|Q:\|)
Durchsuchte Objekte: 316598
Laufzeit: 32 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Sabrina\downloads\setup (92).exe (Affiliate.Downloader) -> Quarantined and deleted successfully.

Aus Sicherheitsgründen wurde ihr Windows System geblockt.

Log-Analyse und Auswertung: Aus Sicherheitsgründen wurde ihr Windows System geblockt.