Hallo zusammen,

ich bin neu hier im Board, aber kein völliger PC-Idiot, also ich kenn mich schon ein wenig aus, aber bei diesem Problem bin ich ratlos.

Ich habe seit 4 Wochen einen neuen PC mit Windows 7 - Beim einrichten bekommt man ja vom Sicherheitscenter den Hinweis, man solle unbedingt ein Antivirenprogramm installieren. Ich habe mich schließlich Für das Microsoft eigene entschieden und dieses auch seitdem verwendet.

Seit Vorgestern hab ich nun folgende Probleme:

1) Wenn ich in google etwas suche, bekomme ich zwar die richtigen Suchergbeniss. Klicke ich dann aber auf den Link zur Weiterleitung, lande ich manchmal auf irgendwelchen Werbeseiten bzw. auf einer Seite Namens "goingoneart.com" oder so. Ich betone hier das MANCHMAL, weil es abundzu auch völlig normal funktioniert und ich auf die gewünschte Seite komme. Das Problem besteht übrigens sowohl im Firefox, auch als im IE und nur bei der Suchmaschine google. Lycos zB geht einwandfrei!

2) Manchmal öffnet sich ungewollt und ungefragt ein Fenster des IE mit Werbung.

3) Das Sicherheitscenter von Windows 7 lässt sich nicht mehr aktivieren. Mir erscheint in der Taskleiste, dass es deaktiviert ist. Will ich es aktivieren, kommt die Meldung dass eine Aktivierung nicht möglich ist. Auch wenn ich es über Dienste manuell versuche funktioniert es nicht.

Das sind die 3 Hauptsymptome. Ich habe nun seit vorgestern schon ettliche Stunden investiert um eine Lösung des Problems zu finden, bisher leider ergebnislos. Ich habe bisher auch in 2 anderen Foren mein problem gepostet, wurde aber dort jeweils irgnoriert. Deswegen versuche ich es nun hier.
Das Problem scheint ja kein Neues zu sein, ich habe einige Postings über "Google redirection virus" gefunden, aber leider kein Patentrezept um diesen zu entfernen. Auch das Problem mit dem Sicherheitscenter scheint kein Neues zu sein.

Ich hoffe, hier kann sich mir jemand annehmen und helfen.

Ich habe inzwischen ettliche Tools probiert, leider nicht von Erfolg gekrönt. Sagt mir, welche LOG-File am sinnvollsten ist hochzuladen und ich liefere sie sofort.

Wäre echt super, wenn mir jemand helfen könnt, da ich nahe am Verzweifeln bin!

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,

danke für deine schnelle Antwort

habe alle Logfiles in einer Zip-Datei angehängt.

Hab auch vergessen zu erwähnen, dass Malwarebytes bereits einigen Schund gefunden - und entfernt hat.

Heute auch kein Problem mit google gehabt bisher, lediglich das Sicherheitscenter lässt sich nach wie vor nicht aktivieren!

Gruß

Bendix

Wo ist denn die OTL.txt?

Zitat:

Zitat von cosinus

Wo ist denn die OTL.txt?

Sorry, bin scheinbar völlig von der Rolle

Hab sie in den oben stehenden Beitrag noch mit angehängt!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

:OTL
PRC - C:\Users\Bendix\AppData\Roaming\GD1.exe (Google Inc.)
O4 - HKCU..\Run: [Google] C:\Users\Bendix\AppData\Roaming\GD1.exe (Google Inc.)
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Vielen, Vielen Dank

Sicherheitscenter startet wieder automatisch und auch die nervige google Weiterleitung gehört der Vergangenheit an

Man muss einfach nur die richtigen Leute (Foren) fragen!

Nochmals 1000 Dank Arne, war schon der Verzweiflung nahe!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:

Code: Alles auswählenAufklappen

ComboFix 11-03-23.06 - Bendix 24.03.2011  16:28:13.2.4 - x64
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.4095.2818 [GMT 1:00]
ausgeführt von:: c:\users\Bendix\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\InfoSat.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-02-24 bis 2011-03-24  ))))))))))))))))))))))))))))))
.
.
2011-03-24 15:30 . 2011-03-24 15:30	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-03-24 15:23 . 2011-03-24 15:23	--------	d-----w-	c:\program files\CCleaner
2011-03-24 14:39 . 2011-03-24 14:39	--------	d-----w-	C:\_OTL
2011-03-23 13:15 . 2011-03-23 13:15	--------	d-----w-	c:\programdata\SafeReturner
2011-03-23 12:44 . 2011-03-23 12:44	--------	d-----w-	c:\windows\system32\appmgmt
2011-03-23 07:24 . 2011-03-24 14:49	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-03-23 07:24 . 2011-03-23 07:24	49752	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2011-03-23 07:22 . 2011-03-23 07:22	--------	d-----w-	c:\users\Bendix\AppData\Local\Sunbelt Software
2011-03-23 07:16 . 2011-03-24 14:49	--------	dc-h--w-	c:\programdata\~0
2011-03-23 07:16 . 2011-03-24 14:49	--------	d-----w-	c:\programdata\Lavasoft
2011-03-23 07:07 . 2011-03-23 07:07	--------	d-----w-	c:\users\Bendix\AppData\Local\ElevatedDiagnostics
2011-03-23 07:05 . 2011-03-23 07:05	--------	d-----w-	c:\program files (x86)\Uniblue
2011-03-23 07:05 . 2011-03-23 07:05	--------	d-----w-	c:\users\Bendix\AppData\Local\PackageAware
2011-03-22 18:08 . 2011-03-22 18:08	--------	d-----w-	c:\users\Bendix\AppData\Roaming\SecurityHeroes
2011-03-22 16:58 . 2011-03-22 16:58	--------	d-----w-	c:\users\Bendix\AppData\Roaming\Avira
2011-03-22 16:56 . 2011-01-10 13:23	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-03-22 16:56 . 2011-01-10 13:23	116568	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-22 16:56 . 2011-03-22 16:56	--------	d-----w-	c:\programdata\Avira
2011-03-22 16:56 . 2011-03-22 16:56	--------	d-----w-	c:\program files (x86)\Avira
2011-03-22 16:40 . 2011-03-22 16:54	--------	d-----w-	c:\programdata\PC Tools
2011-03-22 16:36 . 2011-03-23 07:32	--------	d-----w-	c:\programdata\Kaspersky Lab
2011-03-22 16:22 . 2011-03-22 16:22	--------	d-----w-	c:\users\Bendix\AppData\Roaming\TrojanHunter
2011-03-22 15:19 . 2011-03-22 15:19	--------	d-----w-	c:\users\Bendix\AppData\Roaming\Malwarebytes
2011-03-22 15:19 . 2011-03-22 15:19	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-22 15:19 . 2010-12-20 17:08	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-22 15:16 . 2011-03-24 14:52	--------	d-----w-	c:\program files (x86)\TrojanHunter 5.3
2011-03-22 14:36 . 2011-03-22 14:36	108544	--sha-r-	c:\windows\SysWow64\cliconfgo.dll
2011-03-22 14:34 . 2011-03-22 14:34	--------	d-----w-	c:\program files (x86)\Moleskinsoft Clone Remover 3.8
2011-03-22 14:27 . 2011-03-22 14:27	--------	d-----w-	c:\users\Bendix\AppData\Local\Babylon
2011-03-22 14:27 . 2011-03-22 14:27	--------	d-----w-	c:\programdata\Babylon
2011-03-22 14:27 . 2011-03-22 14:27	--------	d-----w-	c:\users\Bendix\AppData\Roaming\Babylon
2011-03-22 14:10 . 2011-03-22 14:10	--------	d-----w-	c:\programdata\MediaMonkey
2011-03-11 09:14 . 2011-03-11 09:15	--------	d-----w-	c:\program files (x86)\Google
2011-03-11 09:14 . 2011-03-11 09:15	--------	d-----w-	c:\users\Bendix\AppData\Local\Google
2011-03-09 21:47 . 2011-03-09 21:47	--------	d-----w-	c:\users\Bendix\AppData\Local\HP
2011-03-09 11:19 . 2011-02-19 06:37	1135104	----a-w-	c:\windows\system32\FntCache.dll
2011-03-09 11:19 . 2011-02-19 05:32	1074176	----a-w-	c:\windows\SysWow64\DWrite.dll
2011-03-09 11:19 . 2011-02-19 06:37	1540608	----a-w-	c:\windows\system32\DWrite.dll
2011-03-09 11:19 . 2011-02-19 06:36	902656	----a-w-	c:\windows\system32\d2d1.dll
2011-03-09 11:19 . 2011-02-19 05:32	739840	----a-w-	c:\windows\SysWow64\d2d1.dll
2011-03-09 11:18 . 2010-12-23 06:07	723968	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 11:18 . 2010-12-23 06:07	1118720	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 11:18 . 2010-12-23 06:07	961024	----a-w-	c:\windows\system32\CPFilters.dll
2011-03-09 11:18 . 2010-12-23 06:02	259072	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 11:18 . 2010-12-23 05:28	850432	----a-w-	c:\windows\SysWow64\sbe.dll
2011-03-09 11:18 . 2010-12-23 05:28	642048	----a-w-	c:\windows\SysWow64\CPFilters.dll
2011-03-09 11:18 . 2010-12-23 05:28	534528	----a-w-	c:\windows\SysWow64\EncDec.dll
2011-03-09 11:18 . 2010-12-23 05:24	199680	----a-w-	c:\windows\SysWow64\mpg2splt.ax
2011-03-09 11:17 . 2010-12-18 06:12	3138048	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 11:17 . 2010-12-18 05:30	2690560	----a-w-	c:\windows\SysWow64\mstscax.dll
2011-03-09 11:17 . 2010-12-18 06:08	1097216	----a-w-	c:\windows\system32\mstsc.exe
2011-03-09 11:17 . 2010-12-18 05:26	1034240	----a-w-	c:\windows\SysWow64\mstsc.exe
2011-03-03 13:52 . 2011-03-03 13:52	--------	d-----w-	c:\users\Bendix\AppData\Roaming\Canneverbe Limited
2011-03-03 13:52 . 2011-03-03 13:52	--------	d-----w-	c:\programdata\Canneverbe Limited
2011-03-03 13:52 . 2011-03-07 02:03	--------	d-----w-	c:\program files\CDBurnerXP
2011-03-03 10:19 . 2011-03-03 10:19	--------	d-----w-	c:\users\Bendix\AppData\Local\Electronic Arts
2011-03-03 10:07 . 2011-03-04 08:05	--------	d-----w-	c:\program files (x86)\Electronic Arts
2011-03-03 09:49 . 2011-03-04 08:05	--------	d-----w-	c:\programdata\Electronic Arts
2011-03-03 09:49 . 2011-03-03 09:49	--------	d-----w-	c:\programdata\EA Core
2011-03-03 09:47 . 2008-07-12 07:18	3851784	----a-w-	c:\windows\SysWow64\D3DX9_39.dll
2011-03-03 09:30 . 2011-03-03 09:30	--------	d-----w-	c:\programdata\Solidshield
2011-02-28 15:59 . 2011-02-28 15:59	--------	d-----w-	c:\program files (x86)\Bonjour
2011-02-28 15:51 . 2011-02-28 15:51	--------	d-----w-	c:\program files (x86)\Common Files\Macrovision Shared
2011-02-26 08:16 . 2011-02-26 08:16	--------	d-----w-	c:\program files\Microsoft IntelliType Pro
2011-02-25 17:59 . 2011-02-25 17:59	--------	d-----w-	c:\program files (x86)\Common Files\Java
2011-02-25 17:59 . 2011-02-25 17:59	472808	----a-w-	c:\windows\SysWow64\deployJava1.dll
2011-02-25 17:59 . 2011-02-25 17:59	--------	d-----w-	c:\program files (x86)\Java
2011-02-23 17:20 . 2010-09-14 06:45	367104	----a-w-	c:\windows\system32\wcncsvc.dll
2011-02-23 17:20 . 2010-09-14 06:07	276992	----a-w-	c:\windows\SysWow64\wcncsvc.dll
2011-02-23 07:59 . 2011-01-07 08:07	662528	----a-w-	c:\windows\system32\XpsPrint.dll
2011-02-23 07:59 . 2011-01-07 07:31	442880	----a-w-	c:\windows\SysWow64\XpsPrint.dll
2011-02-23 07:59 . 2011-01-07 08:07	475648	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-02-23 07:59 . 2011-01-07 07:31	288256	----a-w-	c:\windows\SysWow64\XpsGdiConverter.dll
2011-02-23 07:58 . 2011-02-23 07:58	--------	d-----w-	c:\program files\Microsoft IntelliPoint
2011-02-22 20:57 . 2011-03-22 15:17	--------	d-----w-	c:\users\Bendix\AppData\Local\MediaMonkey
2011-02-22 20:57 . 2011-03-22 14:16	--------	d-----w-	c:\program files (x86)\MediaMonkey
2011-02-22 20:00 . 2010-04-09 11:06	374664	----a-w-	c:\windows\system32\drivers\netio.sys
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 16:10 . 2011-02-22 07:35	7844688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E59C8BFE-DB4B-4289-AFCE-145D81B15C0F}\mpengine.dll
2011-01-26 06:53 . 2011-02-19 09:18	982912	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-01-26 06:53 . 2011-02-19 09:18	265088	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-01-26 06:31 . 2011-02-19 09:18	144384	----a-w-	c:\windows\system32\cdd.dll
2011-01-07 15:02 . 2011-01-07 15:02	45408	----a-w-	c:\windows\system32\drivers\point64.sys
2011-01-07 15:02 . 2011-01-07 15:02	23952	----a-w-	c:\windows\system32\drivers\nuidfltr.sys
2011-01-07 08:06 . 2011-02-19 09:17	46080	----a-w-	c:\windows\system32\atmlib.dll
2011-01-07 07:27 . 2011-02-19 09:17	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
2011-01-07 05:49 . 2011-02-19 09:17	366080	----a-w-	c:\windows\system32\atmfd.dll
2011-01-07 05:33 . 2011-02-19 09:17	294400	----a-w-	c:\windows\SysWow64\atmfd.dll
2011-01-06 18:37 . 2011-01-06 18:37	51584	----a-w-	c:\windows\system32\drivers\dc3d.sys
2011-01-06 18:37 . 2011-01-06 18:37	1721576	----a-w-	c:\windows\system32\WdfCoInstaller01009.dll
2011-01-05 06:20 . 2011-02-19 09:18	612352	----a-w-	c:\windows\system32\vbscript.dll
2011-01-05 05:37 . 2011-02-19 09:18	428032	----a-w-	c:\windows\SysWow64\vbscript.dll
2011-01-05 04:00 . 2011-02-19 09:19	3127808	----a-w-	c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-03-23_10.40.38   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-14 04:54 . 2011-03-24 14:45	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-03-23 08:12	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-03-24 14:45	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-03-23 08:12	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-03-23 08:12	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-03-24 14:45	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-02-09 22:39 . 2011-03-24 14:46	28198              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-03-24 14:46	32682              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2011-02-17 11:51 . 2011-03-17 09:45	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-02-17 11:51 . 2011-03-24 15:23	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-02-17 11:51 . 2011-03-17 09:45	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-03-24 15:23 . 2011-03-24 15:23	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-03-24 15:23	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-03-17 09:45	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-17 11:58 . 2011-03-24 14:45	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-02-17 11:58 . 2011-03-23 08:14	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:46 . 2011-03-23 08:11	71944              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat
+ 2009-07-14 04:46 . 2011-03-24 14:50	71944              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat
+ 2011-02-17 11:58 . 2011-03-24 14:45	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-02-17 11:58 . 2011-03-23 08:14	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-02-17 11:58 . 2011-03-24 14:45	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-02-17 11:58 . 2011-03-23 08:14	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-02-17 11:58 . 2011-03-24 15:09	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-02-17 11:58 . 2011-03-23 10:11	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-02-17 11:58 . 2011-03-24 15:09	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-02-17 11:58 . 2011-03-23 10:11	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-03-23 08:07 . 2011-03-23 08:11	1804              c:\windows\system32\wdi\ERCQueuedResolutions.dat
+ 2011-03-23 08:07 . 2011-03-24 14:44	1804              c:\windows\system32\wdi\ERCQueuedResolutions.dat
+ 2011-02-19 09:06 . 2011-03-24 14:46	9718              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2671126362-2345666907-3109623132-1001_UserData.bin
+ 2011-03-24 14:45 . 2011-03-24 14:45	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-03-23 08:12 . 2011-03-23 08:12	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-03-24 14:45 . 2011-03-24 14:45	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-03-23 08:12 . 2011-03-23 08:12	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 02:36 . 2011-03-24 14:49	618714              c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-03-23 09:50	618714              c:\windows\system32\perfh009.dat
+ 2009-07-14 17:58 . 2011-03-24 14:49	657438              c:\windows\system32\perfh007.dat
- 2009-07-14 17:58 . 2011-03-23 09:50	657438              c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2011-03-23 09:50	107034              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-03-24 14:49	107034              c:\windows\system32\perfc009.dat
- 2009-07-14 17:58 . 2011-03-23 09:50	130810              c:\windows\system32\perfc007.dat
+ 2009-07-14 17:58 . 2011-03-24 14:49	130810              c:\windows\system32\perfc007.dat
- 2009-07-14 05:12 . 2011-02-22 10:49	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:12 . 2011-03-23 11:17	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-07-14 05:01 . 2011-03-24 14:44	388940              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2009-07-14 05:01 . 2011-03-23 08:11	388940              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-21 23:31 . 2009-07-21 23:31	209408              c:\windows\Installer\4218a.msi
- 2009-07-14 04:45 . 2011-03-23 07:31	3606945              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\tokens.dat
+ 2009-07-14 04:45 . 2011-03-24 14:41	3606945              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\tokens.dat
- 2011-02-19 11:38 . 2011-03-23 08:07	1442956              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2671126362-2345666907-3109623132-1001-8192.dat
+ 2011-02-19 11:38 . 2011-03-24 14:39	1442956              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2671126362-2345666907-3109623132-1001-8192.dat
+ 2011-03-24 08:37 . 2011-03-02 18:56	37943240              c:\windows\SysWOW64\MRT.exe
- 2009-07-14 02:34 . 2011-03-23 07:47	10223616              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
+ 2009-07-14 02:34 . 2011-03-24 14:58	10223616              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"hpqSRMon"="c:\program files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-11 136176]
R3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-01-10 135336]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [x]
S3 dc3d;MS Hardware Device Detection Driver (USB);c:\windows\system32\DRIVERS\dc3d.sys [x]
S3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-11 09:14]
.
2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-11 09:14]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-01-07 2328944]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2011-01-07 2307448]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Bendix\AppData\Roaming\Mozilla\Firefox\Profiles\n72n0gp1.default\
.
.
------- Dateityp-Verknüpfung -------
.
inifile=Notepad.exe "%1"
txtfile=Notepad.exe "%1"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKLM-Run-Malwarebytes' Anti-Malware (reboot) - c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-24  16:32:16
ComboFix-quarantined-files.txt  2011-03-24 15:32
ComboFix2.txt  2011-03-23 10:41
.
Vor Suchlauf: 11 Verzeichnis(se), 225.433.530.368 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 225.013.800.960 Bytes frei
.
- - End Of File - - EA66030E6E7F3C1A10BA7B7AE6783CE2
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

Folder::
c:\programdata\~0
c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

File::
c:\windows\SysWow64\cliconfgo.dll
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!