Hallo,

Heute Morgen habe ich, nachdem ich den Laptop eingeschaltet habe, eine Trojaner/Malware Meldung von Avira angezeigt bekommen. Das komische ist, dass ich einen Suchlauf am 20.3. gestartet und hat nichts gefunden (sollte ich davon noch die Logdatei hochladen bzw. weitere Angaben, die für euch brauchbar sind, habe hier leider nicht viel Ahnung).


Hier die Logdatei von Avira

Code: Alles auswählenAufklappen

ATTFilter

Avira Internet Security 2012
Erstellungsdatum der Reportdatei: Freitag, 22. März 2013  08:41

Es wird nach 5108182 Virenstämmen gesucht.

Das Programm läuft als Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : ***
Seriennummer   : 2216828710-ISECE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (plain)  [6.0.6000]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1197    48681 Bytes  11.10.2012 15:22:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  17.11.2012 09:59:45
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  17.05.2012 18:08:34
LUKE.DLL       : 12.3.0.15      68304 Bytes  17.05.2012 18:08:35
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 18:05:51
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 18:05:59
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:34:33
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 20:43:58
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:08:14
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:00:25
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:00:42
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 15:57:55
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 16:13:09
VBASE008.VDF   : 7.11.65.172  9122816 Bytes  21.03.2013 17:30:41
VBASE009.VDF   : 7.11.65.173     2048 Bytes  21.03.2013 17:30:41
VBASE010.VDF   : 7.11.65.174     2048 Bytes  21.03.2013 17:30:42
VBASE011.VDF   : 7.11.65.175     2048 Bytes  21.03.2013 17:30:42
VBASE012.VDF   : 7.11.65.176     2048 Bytes  21.03.2013 17:30:42
VBASE013.VDF   : 7.11.65.177     2048 Bytes  21.03.2013 17:30:43
VBASE014.VDF   : 7.11.65.178     2048 Bytes  21.03.2013 17:30:43
VBASE015.VDF   : 7.11.65.179     2048 Bytes  21.03.2013 17:30:44
VBASE016.VDF   : 7.11.65.180     2048 Bytes  21.03.2013 17:30:44
VBASE017.VDF   : 7.11.65.181     2048 Bytes  21.03.2013 17:30:44
VBASE018.VDF   : 7.11.65.182     2048 Bytes  21.03.2013 17:30:44
VBASE019.VDF   : 7.11.65.183     2048 Bytes  21.03.2013 17:30:45
VBASE020.VDF   : 7.11.65.184     2048 Bytes  21.03.2013 17:30:45
VBASE021.VDF   : 7.11.65.185     2048 Bytes  21.03.2013 17:30:46
VBASE022.VDF   : 7.11.65.186     2048 Bytes  21.03.2013 17:30:46
VBASE023.VDF   : 7.11.65.187     2048 Bytes  21.03.2013 17:30:46
VBASE024.VDF   : 7.11.65.188     2048 Bytes  21.03.2013 17:30:46
VBASE025.VDF   : 7.11.65.189     2048 Bytes  21.03.2013 17:30:46
VBASE026.VDF   : 7.11.65.190     2048 Bytes  21.03.2013 17:30:46
VBASE027.VDF   : 7.11.65.191     2048 Bytes  21.03.2013 17:30:46
VBASE028.VDF   : 7.11.65.192     2048 Bytes  21.03.2013 17:30:46
VBASE029.VDF   : 7.11.65.193     2048 Bytes  21.03.2013 17:30:46
VBASE030.VDF   : 7.11.65.194     2048 Bytes  21.03.2013 17:30:46
VBASE031.VDF   : 7.11.66.20     53760 Bytes  21.03.2013 17:30:46
Engineversion  : 8.2.12.18 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 18:02:20
AESCRIPT.DLL   : 8.1.4.100     475517 Bytes  21.03.2013 17:30:54
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:48:32
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 16:56:56
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:37:27
AEPACK.DLL     : 8.3.2.2       827767 Bytes  14.03.2013 17:22:41
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 17:21:28
AEHEUR.DLL     : 8.1.4.258    5853561 Bytes  21.03.2013 17:30:53
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 12:14:33
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 16:17:21
AEEXP.DLL      : 8.4.0.14      192886 Bytes  21.03.2013 17:30:54
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 18:02:18
AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 17:14:14
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 16:17:46
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  17.05.2012 18:08:34
AVPREF.DLL     : 12.3.0.32      50720 Bytes  17.11.2012 09:59:44
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 18:05:51
AVARKT.DLL     : 12.3.0.33     209696 Bytes  17.11.2012 09:59:43
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  17.05.2012 18:08:34
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  17.05.2012 18:08:35
AVSMTP.DLL     : 12.3.0.32      63992 Bytes  09.08.2012 13:31:32
NETNT.DLL      : 12.3.0.15      17104 Bytes  17.05.2012 18:08:35
RCIMAGE.DLL    : 12.3.0.31    4819704 Bytes  09.08.2012 13:31:15
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  17.11.2012 09:59:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_514c0a34\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Dateierweiterungen....................: +AVI,
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Freitag, 22. März 2013  08:41
C:\Windows\System32\checkdisku.exe
  [FUND]      Ist das Trojanische Pferd TR/Kazy.156377
  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoscan> wurde erfolgreich repariert.
  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
C:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen8
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1314715906-852262232-1004109916-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Realtek> wurde erfolgreich repariert.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [WARNUNG]   Die Datei konnte nicht gelöscht werden!
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'checkdisku.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Windows\System32\checkdisku.exe>
  [FUND]      Ist das Trojanische Pferd TR/Kazy.156377
  [HINWEIS]   Prozess 'checkdisku.exe' wurde beendet
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7efc925f.qua' verschoben!
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSLoader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\System32\checkdisku.exe'
Der zu durchsuchende Pfad C:\Windows\System32\checkdisku.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.


Ende des Suchlaufs: Freitag, 22. März 2013  08:46
Benötigte Zeit: 05:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   2515 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   2512 Dateien ohne Befall
     14 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
         

Und hier die Logdatei von Malwarebytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.22.02

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.17037
*** :: ***-PC [administrator]

22.03.2013 09:19:49
mbar-log-2013-03-22 (09-19-49).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 27535
Time elapsed: 21 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Java Auto Update (Backdoor.Bot) -> Data: C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe -> Delete on reboot.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Realtek (Trojan.Agent.ED) -> Data: C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
c:\Users\Hab\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe (Trojan.Agent.ED) -> Delete on reboot.

(end)
         

Hi,

MAM updaten und bitte Fullscan...Log posten.

Dann noch:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo Chris,

Danke schonmal, hier die Log Dateien im Anhang,


Habe MAM geupdated und nochmal einen vollständigen Scan gemacht, aber die Logdatei zu früh zugemacht, ohne sie zu speichern/kopieren, werds morgen in der früh nochmal durchgehn lassen, hier ein screenshot von den Funden (laut dem ersten Scan gabs keine verdächtige Funde)

Hi,

Trojan-Dropper (checkdisku.exe)...

Unbedingt die *** durch den richtigen Pfad ersetzen, auch unbedingt im OTL-Script!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe
C:\Windows\System32\TAKDSDecoder.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\..\URLSearchHook: {79a33405-4fae-4d41-81c8-a7df88cd6757} - SOFTWARE\Classes\CLSID\{79a33405-4fae-4d41-81c8-a7df88cd6757}\InprocServer32 File not found
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\URLSearchHook: {79a33405-4fae-4d41-81c8-a7df88cd6757} - SOFTWARE\Classes\CLSID\{79a33405-4fae-4d41-81c8-a7df88cd6757}\InprocServer32 File not found
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {09D814D9-CA53-42B4-9DC9-19520AD067AB}
O3 - HKLM\..\Toolbar: (Sorority Life Toolbar) - {79a33405-4fae-4d41-81c8-a7df88cd6757} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [autoscan] C:\Windows\system32\checkdisku.exe File not found
O4 - HKCU..\Run: [Java Auto Update] C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe ()
O4 - HKLM..\RunOnce: [Z1] C:\Windows\System32\cmd.exe (Microsoft Corporation)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe ()

:REG
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = dword:0x00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = dword:0x00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = dword:0x00

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

chris

Hallo Chris,

Ich hab den ersten Schritt mit dem Anzeigen von versteckten Daten durchgeführt und vorhin immer wieder versucht, die jsheded-Datei bei Virustotal zu scanen. Sie sagt mir aber immer wieder, dass es die Datei nicht gibt und ich es ein weiteres Mal versuchen sollte. Wenn ich die Datei in der Suche eingebe finde ich sie aber(siehe screenshot)

Hier die Funde von TAKDSDecoder.dll

(Der Text, der mir oben angezeigt wird und ich ausgeklappt habe:

Code: Alles auswählenAufklappen

ATTFilter

SHA256: 	72f56eb40d0e7d7bd34da1b66e66bd3a6552a2103295a9465c19fbae7326a4f6
SHA1: 	aa80fcc9fcd8a67d1aad5b8c2d321d2e5b35636e
MD5: 	6d8bdea7fb2e1a8461acd4970627e95a
Dateigröße: 	105.0 KB ( 107520 bytes )
Dateiname: 	TAKDSDecoder.dll
Datei-Typ: 	Win32 DLL
Tags: 	pedll
Erkennungsrate: 	0 / 46
Analyse-Datum: 	2013-03-23 09:07:48 UTC ( vor 3 Stunden, 42 Minuten )
         

Der Text bei den Zusatzinformationen

Code: Alles auswählenAufklappen

ATTFilter

ssdeep
1536:V/fqV/TstTY8a5G5KWWlPUrCwfw5avWqTMj4jlMhdg+zc7KQ7pm6oqT+N5:0/T3A5KN5w64RMfgicWQFp5+N5
TrID
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ExifTool

MIMEType.................: application/octet-stream
Subsystem................: Windows GUI
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 1992:06:19 23:22:17+01:00
FileType.................: Win32 DLL
PEType...................: PE32
CodeSize.................: 88064
LinkerVersion............: 2.25
EntryPoint...............: 0x16634
InitializedDataSize......: 18432
SubsystemVersion.........: 4.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0

Portable Executable structural information

Compilation timedatestamp.....: 1992-06-19 22:22:17
Target machine................: Intel 386 or later processors and compatible processors
Entry point address...........: 0x00016634

PE Sections...................:

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5
CODE                   4096         87636     88064     6.62  d1f375e866b807c5b78b7b8782ee3519
DATA                  94208          5432      5632     4.16  9a438aa66a16263ee4e0240e2b028e09
BSS                  102400          2301         0     0.00  d41d8cd98f00b204e9800998ecf8427e
.idata               106496          1654      2048     4.08  e69c2ae15a4de5591b69b526419f9edf
.edata               110592           970      1024     5.00  05402746a59a000af242c5be150de937
.reloc               114688          4908      5120     6.42  85c8fc77bf8a7fed11e6cf09428c673a
.rsrc                122880          4604      4608     4.11  4ec9599b021da853f09e663dd0075c2b

PE Imports....................:

[[advapi32.dll]]
RegOpenKeyExA, RegQueryValueExA, RegCloseKey

[[kernel32.dll]]
GetLastError, GetStdHandle, EnterCriticalSection, lstrlenA, FreeLibrary, ExitProcess, GetThreadLocale, TlsAlloc, GetVersionExA, GetModuleFileNameA, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, LoadLibraryExA, GetLocaleInfoA, LocalAlloc, GetCPInfo, UnhandledExceptionFilter, GetCommandLineA, GetProcAddress, SetFilePointer, RaiseException, CloseHandle, WideCharToMultiByte, TlsFree, GetModuleHandleA, FindFirstFileA, WriteFile, EnumCalendarInfoA, ReadFile, lstrcpynA, GetACP, GetDiskFreeSpaceA, LocalFree, InitializeCriticalSection, VirtualQuery, VirtualFree, FindClose, TlsGetValue, TlsSetValue, CreateFileA, GetStringTypeExA, GetCurrentThreadId, VirtualAlloc, GetFileSize, LeaveCriticalSection

[[oleaut32.dll]]
SysFreeString

[[user32.dll]]
MessageBoxA, GetSystemMetrics, GetKeyboardType, CharNextA, LoadStringA


PE Exports....................:

tak_APE_GetDesc, tak_APE_GetErrorString, tak_APE_GetIndexOfKey, tak_APE_GetItemDesc, tak_APE_GetItemKey, tak_APE_GetItemNum, tak_APE_GetItemValue, tak_APE_GetTextItemValueAsAnsi, tak_APE_ReadOnly, tak_APE_State, tak_APE_Valid, tak_GetCodecName, tak_GetLibraryVersion, tak_SSD_Create_FromFile, tak_SSD_Create_FromStream, tak_SSD_Destroy, tak_SSD_GetAPEv2Tag, tak_SSD_GetCurFrameBitRate, tak_SSD_GetEncoderInfo, tak_SSD_GetErrorString, tak_SSD_GetFrameSize, tak_SSD_GetReadPos, tak_SSD_GetSimpleWaveDataDesc, tak_SSD_GetStateInfo, tak_SSD_GetStreamInfo, tak_SSD_ReadAudio, tak_SSD_ReadSimpleWaveData, tak_SSD_Seek, tak_SSD_State, tak_SSD_Valid


PE Resources..................:

Resource type            Number of resources
RT_STRING                5
RT_RCDATA                2
RT_ICON                  1
RT_GROUP_ICON            1

Resource language        Number of resources
NEUTRAL                  7

GERMAN                   2

Symantec Reputation
Suspicious.Insight
ClamAV PUA Engine
Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: hxxp://www.clamav.net/support/faq/pua.
Zuerst entdeckt von VirusTotal
2011-06-16 05:56:10 UTC ( vor 1 Jahr, 9 Monate )
Zuletzt entdeckt von VirusTotal
2013-03-23 09:07:48 UTC ( vor 3 Stunden, 42 Minuten )
Dateinamen (max. 25)

    TAKDSDecoder.dll
    9C68185A00AA6A61A43F01ED60D9FB00C19E7C91.dll
    TAKDSDECODER.DLL
    smona_72f56eb40d0e7d7bd34da1b66e66bd3a6552a2103295a9465c19fbae7326a4f6.bin
    file-2491496_dll
    file-3722277_dll
         

Der Log von OTL hab ich im Anhang angehängt. Ich hab jetzt auch zwei weitere Screenshots (Malwarebytes und Avira) angehängt, was alles in Quarantäne ist hilft das weiter?

Hi,

hast Du die Pfadangaben entsprechend im OLT-Script bzw. bei der Suche richtig angepasst?
Du musst die *** durch den Benutzernamen ersetzen, sowohl bei der Suche mit virustotal als auch im OTL-Script, sonst funktioniert es nicht!

Zitat:

File C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe not found.

Im positiven Fall hast Du die Sternchen ersetzt und sie ist tatsächlich (wie in der Quarantäne von MA angegeben) schon entsorgt worden...

Zur Sicherheit das nachfolgende OTL-Script nach Anpassung der *** nochmal abfahren...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [Java Auto Update] C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe ()

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Erstelle und poste dann nochmal ein neues OTL-Log...

chris

Hi Chris,

Ich hab gestern Abend nochmal erneut versucht, bei virustotal die jsheded Datei zu scannen und bin dabei auch immer wieder drauf gestoßen, dass es die Datei nicht gibt und ich es später noch einmal versuchen sollte.
Habe die *** durch den Benutzernamen ersetzt und hab die Datei aber manuell wie am Samstag finden können.

Hier der Log von OTL mit dem Code, den du angegeben hast.(da auch immer die *** mit meinem Benutzername ausgetauscht)

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Java Auto Update not found.
File C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Realtek not found.
File C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57616 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: ***
->Temp folder emptied: 33574 bytes
->Temporary Internet Files folder emptied: 18010568 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 92141625 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 24578186 bytes
->Flash cache emptied: 64839 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 600404 bytes
RecycleBin emptied: 444935749 bytes
 
Total Files Cleaned = 554,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03252013_091754

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

Hallo Chris,

Hab vorhin Combofix benutzt und die Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-03-25.01 - *** 26.03.2013   8:57.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.43.1031.18.2037.924 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-26 bis 2013-03-26  ))))))))))))))))))))))))))))))
.
.
2013-03-26 08:08 . 2013-03-26 08:10	--------	d-----w-	c:\users\***\AppData\Local\temp
2013-03-26 08:08 . 2013-03-26 08:08	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-03-26 07:54 . 2013-03-15 07:21	7108640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{DBF75D8B-261C-4EB0-83C8-65588298C37E}\mpengine.dll
2013-03-23 10:08 . 2013-03-23 10:08	--------	d-----w-	C:\_OTL
2013-03-22 13:25 . 2013-03-22 13:25	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-03-22 13:25 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-19 07:50 . 2013-03-19 07:50	--------	d-----w-	c:\users\***\AppData\Roaming\Java
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-08 07:34 . 2012-03-29 15:48	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-08 07:34 . 2011-05-17 06:39	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-17 00:28 . 2009-12-23 07:47	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-03-08 07:55 . 2013-03-08 07:55	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\System32\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\System32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\System32\nbDX.dll
2010-01-06 23:00	107520	--sha-r-	c:\windows\System32\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-25 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-25 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-25 138008]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2012-01-05 1549608]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35	946352	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-04-04 05:42	36272	----a-w-	c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08	1259376	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-05-21 13:48	136176	----atw-	c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\googletalk]
2007-01-01 21:22	3739648	----a-w-	c:\program files\Google\Google Talk\googletalk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-09-09 21:30	421776	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]
2011-11-02 15:51	928656	----a-w-	c:\program files\Samsung\Kies\KiesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesPDLR]
2011-11-02 15:52	21392	----a-w-	c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]
2011-11-02 15:51	3508624	----a-w-	c:\program files\Samsung\Kies\KiesTrayAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59	254696	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2007-07-27 16:42	1006264	----a-w-	c:\program files\Windows Defender\MSASCui.exe
.
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1314715906-852262232-1004109916-1000Core.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-21 13:48]
.
2013-03-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1314715906-852262232-1004109916-1000UA.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-21 13:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1&ltmpl=default&ltmplcache=2
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://de.intl.acer.yahoo.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m4j7bvyv.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2013-03-14 10:53; feedly@devhd; c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m4j7bvyv.default\extensions\feedly@devhd.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{79a33405-4fae-4d41-81c8-a7df88cd6757} - (no file)
WebBrowser-{79A33405-4FAE-4D41-81C8-A7DF88CD6757} - (no file)
WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
HKLM-Run-Acer Tour - (no file)
HKLM-Run-SetPanel - c:\acer\APanel\APanel.cmd
HKLM-Run-eRecoveryService - (no file)
MSConfigStartUp-PowerSuite - c:\program files\Uniblue\PowerSuite\launcher.exe
AddRemove-{1598034D-7147-432C-8CA8-888E0632D124} - c:\program files\InstallShield Installation Information\{1598034D-7147-432C-8CA8-888E0632D124}\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-26 09:13
Windows 6.0.6000  NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3384)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avfwsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\windows\system32\igfxsrvc.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Avira\AntiVir Desktop\avmailc.exe
c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-26  09:20:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-03-26 08:20
.
Vor Suchlauf: 16 Verzeichnis(se), 17.851.338.752 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 17.355.718.656 Bytes frei
.
- - End Of File - - 854DEAF9418EBBD8CFDB79F828E17D5F
         

Hi,

sieht soweit gut aus...

Backups von OTL, Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

• OLT und das Verzeichnis C:\_OTL löschen...

• C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)

chris

Hi Chris,


nochmal für deine Hilfe!


Ich konnte C:\_OTL problemlos löschen, nur bei der Quoobox-Order( C:\Qoobox ) lies sich nicht löschen, zeigt mir an, dass ich eine Berechtigung brauche

Zitat:

Sie benötigen Berechtigungen zur Durchführung des Vorgangs
Quoobox
Erstelldatum: 26.03.2013 08:52

Hi,

kannst Ihn auch stehen lassen, da sollte eigentlich nichts drin sein...
Löschen als Admin funktioniert nicht?

chris

Hi Chris,

Es sind einige Dateien im Quarantäne-Ordner, Screenshot ist im Anhang (habs auch versucht, bei den Eigenschaften mir die Berechtigung zu geben, ging aber nicht )

Hi,

nichts kriegsentscheidendes ,o)
Ungewöhnlich, schalte mal die UAE aus Vista Benutzerkontensteuerung deaktivieren und probiere es dann nochmal...

chris

Hi Chris,

Habs geschafft, alle Dateien bis auf den "BackEnv"-Ordner zu löschen. Habs weiter versucht, mir die Adminrechte zum Löschen zu geben, scheint aber nicht zu funktionieren (hab die Vista Benutzerkontensteuerung davor schon deaktiviert gehabt).

Danke nochmal :-)