Hallo M-K-D-B,
danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' kümmerst.

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Das ist der Inhalt von :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:10 on 12/06/2011 (xxxxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Gruß, Stefan

Hallo Stefan,

Zitat:

Zitat von sbie

danke das Du dich auch am Pfingstsonntag um 'Pflegefälle' kümmerst.

Es sind ja Ferien.

Zitat:

Zitat von sbie

Gleich zu Anfang eine Zwischenfrage:
Punkt 2 Schritt 1. Defogger verlangt keinen Neustart, ist das OK?

Ja, geht in Ordnung. Einfach weitermachen.
Danke schon mal für das erste Logfile.

Hallo M-K-D-B,
ja, Ferien, ich hab nur Pfingstfrei ...
hier die nächsten Logfiles, siehe Anhang.
Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...
Gruß, Stefan

Hallo Stefan,





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Dein Nachbar hat dir bereits geholfen:
  
  Zitat:

  Zitat von sbie

  Eine Extra.txt habe zuerst nicht gefunden, dann im Verzeichnis Download, die ist von gestern, da hat sich mein Nachbar schon am Rechner zu schaffen gemacht...

  Warum hast du das nicht erwähnt?
• Warum wurde ComboFix ausgeführt?
  Bitte lesen: ComboFix
• Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.
• Welche Tools wurden neben ComboFix und OTL noch eingesetzt?
• Gibt es sonst noch etwas, was ich wissen sollte?
• Welche Probleme hast du derzeit noch mit deinem Rechner?
• Wann hast du dich mit Windows 7 Recovery infiziert?

Dein Rechner ist immer noch mit Malware infiziert.

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• alle Logfiles von MBAM,
• das Logfile von ComboFix,
• die Beantwortung der gestellten Fragen und
• alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Hallo M-K-D-B,
erst einmal vielen Dank das Du immer noch an der Tastaur 'klebst', ohne deine Hilfe wären viele ohne Hilfe.
Weiss auch nicht ganz genau was alle bisher lief, ich versuche alle Fragen zu beantworten, hoffentlich bekomme ich das mit den Zitaten usw hin.. und lade alle hoch..

Zitat:

Zitat von M-K-D-B

Hallo Stefan,
Dein Nachbar hat dir bereits geholfen:
Warum hast du das nicht erwähnt?

Als oberflächlich alle Viren verschwanden war ich sehr froh, wer die nun erledigt hat und wie ...... Große Entschuldigung der Nichterwähnung

Zitat:

Zitat von M-K-D-B

Warum wurde ComboFix ausgeführt?

Ich sach nur Nachbar :-), Logfile kommt...

Zitat:

Zitat von M-K-D-B

Warum hast du das Logfile von ComboFix nicht gepostet, wenn du das Tool schon ausführst? Ist zu finden unter C:\ComboFix.txt.

Genau da war es, siehe Anhang.

Zitat:

Zitat von M-K-D-B

Welche Tools wurden neben ComboFix und OTL noch eingesetzt?

Sowas wie unhide , nachdem ''Windows 7 Recovery' und alles gelöscht schien, lies ich meine Hände von der Tastastur und (Viertel)Profis an den PC (Er ist aber trotzdem noch mein guter Nachbar, aber nach Diktat verreist)

Zitat:

Zitat von M-K-D-B

Gibt es sonst noch etwas, was ich wissen sollte?

Das fällt mir doch immer erst später ein.... :-(
IE 9 wurde am am 9. auf IE 8 'runtergelevelt', da ohne youtube Ton
Nachdem ich Extras.txt nicht gefunden habe, habe ich otl nachmal laufen lassen, also nochmal nach gmer
Malwarebytes (wer hat das eigentlich gestartet) bringt Fehler wie Failed to perform desired action, Error 2 oder 5

Zitat:

Zitat von M-K-D-B

Welche Probleme hast du derzeit noch mit deinem Rechner?

Meine Tochter sagt 'facebook' wurde plötzlich geschlossen.
Dort kann sie auch nicht mehr diese komischen Spiele ausführen da der IE immer neu lädt oder neu startet..
Teilweise verlinkung auf Werbe oder andere Suchseiten.., extrem langsame Suchzeit auf google, manchmal war google nach Suchaufruf erst relativ 'leer', flashplayer youtube ihne ton..

Zitat:

Zitat von M-K-D-B

Wann hast du dich mit Windows 7 Recovery infiziert?

Gesehen selbst habe ich es am 9.6.11, da war der Bock fett..

Zitat:

Zitat von M-K-D-B

Dein Rechner ist immer noch mit Malware infiziert.

Ich habs geahnt, aufregen nützt aber nichts.

Zitat:

Zitat von M-K-D-B

Eine Bereinigung macht aber nur Sinn, wenn du nicht selbstständig "irgendwas" laufen lässt und zudem alle notwendigen Informationen bereitstellst.
Ich zweifle nicht an den guten Absichten von dir oder deinem Nachbar, aber mit diesen halben Sachen wird das nichts.

Ich kann ich fast vorstellen wie es mit Ignoranten ;-)) zu arbeiten, aber das sind nun mal die Eigenheiten der Mensch.. von Mir..

Zitat:

Zitat von M-K-D-B

alle Logfiles von MBAM

Ich bin kein Freund der Windows 7 Suchfunktion, vorher konnte ich direkt im Explorer ... , siehe Anhang, eins habe ich gefunden mbam-log-2011-06-09 (21-31-31)
Ausschnitte aus den protection log hast du ja schon.

Zitat:

Zitat von M-K-D-B

das Logfile von ComboFix

Hochgeladen, das war einfach, war ja direkt auf C:

Zitat:

Zitat von M-K-D-B

die Beantwortung der gestellten Fragen und
alle weiteren Informationen, die zur Lösung deines Problems hilfreich sein können.

Nach gutem und reinem Gewissen (hoffentlich nichts vergessen und kaum Schreibfehler)
Für den Stress lad ich Dich mal zum Bier ein.
Gruß Stefan

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Hallo Stefan,

Zitat:

Zitat von sbie

ps: Wie bringe ich eigentlich die logs (Anhänge) in 'Extrafenster' in die Antworten?

Dafür gibt es die sogenannten Code-Boxen über dem Textfeld.
Das Symbol dafür sieht in etwas so aus: #




Schritt # 1: ComboFix.exe löschen
Lösche bitte die vorhandene Datei ComboFix.exe von deinem Desktop.





Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das neue Logfile von ComboFix.

Moin M-K-D-B,

bei Ausführung ComboFix erschien kein Fenster 'Rückfrage Wiederherstellungskonsole', das zweite auch nicht, dafür ist der IE (geöffnet um die Anweisungen zu lesen) sofort gestorben. Den AntiVir Guard habe ich deaktiviert.

Und hier das neu Logfile:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-12.04 - xxxxx 13.06.2011  14:56:24.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.2941.1890 [GMT 2:00]
ausgeführt von:: c:\users\xxxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-13 bis 2011-06-13  ))))))))))))))))))))))))))))))
.
.
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\x\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\xx\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\xxx\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\Gast\AppData\Local\temp
2011-06-13 13:00 . 2011-06-13 13:00	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-12 20:33 . 2011-06-12 20:33	--------	d-----w-	c:\users\xxxx\AppData\Roaming\ICQ
2011-06-11 21:00 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-11 17:24 . 2011-06-11 17:24	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-11 17:24 . 2011-06-11 17:29	--------	d-----w-	c:\programdata\NOS
2011-06-11 17:24 . 2011-06-11 17:24	--------	d-----w-	c:\program files\NOS
2011-06-11 13:12 . 2011-06-11 13:43	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2011-06-11 13:12 . 2011-06-11 13:13	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-06-11 12:00 . 2011-06-11 12:00	112	----a-w-	c:\users\xxx\AppData\Roaming\srvblck2.tmp
2011-06-11 12:00 . 2011-06-11 12:00	--------	d-----w-	c:\users\xxx\AppData\Roaming\xmldm
2011-06-11 12:00 . 2011-06-11 12:00	--------	d-----w-	c:\users\xxx\AppData\Roaming\UAs
2011-06-11 11:48 . 2011-06-11 11:48	--------	d-----w-	c:\users\xxx\AppData\Roaming\kock
2011-06-10 20:48 . 2011-06-10 20:50	--------	d-----w-	c:\program files\ICQ6Toolbar
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\programdata\ICQ
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\users\xxxxx\AppData\Roaming\ICQ
2011-06-10 20:48 . 2011-06-10 20:48	--------	d-----w-	c:\program files\ICQ7.5
2011-06-10 11:54 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3DAA3D08-5939-4DFF-AF56-7ABF6257B3FB}\mpengine.dll
2011-06-10 04:43 . 2011-06-10 04:43	--------	d-----w-	c:\users\xx\AppData\Roaming\Malwarebytes
2011-06-09 19:58 . 2011-06-09 19:58	--------	d-----w-	c:\users\xxx\AppData\Roaming\Malwarebytes
2011-06-09 19:36 . 2011-06-09 19:36	--------	d-----w-	c:\users\xxxx\AppData\Roaming\Malwarebytes
2011-06-09 19:18 . 2011-06-09 19:18	--------	d-----w-	c:\users\xxxxx\AppData\Roaming\Malwarebytes
2011-06-09 19:18 . 2011-06-09 19:18	--------	d-----w-	c:\programdata\Malwarebytes
2011-06-09 19:18 . 2011-06-11 21:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-06-05 18:49 . 2011-06-05 18:49	--------	d-----w-	c:\users\xxx\AppData\Local\TVU Networks
2011-05-24 05:41 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-05-23 18:45 . 2011-05-23 18:45	--------	d-----w-	c:\users\x\AppData\Roaming\Avira
2011-05-20 15:47 . 2011-05-20 15:47	--------	d-----w-	c:\program files\Common Files\Plasmoo
2011-05-15 18:07 . 2011-05-15 18:07	--------	d-----w-	c:\users\xxx\AppData\Local\FreePDF_XP
2011-05-15 16:57 . 2011-05-15 16:57	--------	d-----w-	c:\users\xxx\AppData\Roaming\OpenOffice.org
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 18:25 . 2011-05-02 18:25	739840	----a-w-	c:\windows\system32\d2d1.dll
2011-05-02 18:25 . 2011-05-02 18:25	283648	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2011-05-02 18:25 . 2011-05-02 18:25	1619456	----a-w-	c:\windows\system32\WMVDECOD.DLL
2011-05-02 18:25 . 2011-05-02 18:25	135168	----a-w-	c:\windows\system32\XpsRasterService.dll
2011-05-02 18:25 . 2011-05-02 18:25	801792	----a-w-	c:\windows\system32\FntCache.dll
2011-05-02 18:25 . 2011-05-02 18:25	728448	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2011-05-02 18:25 . 2011-05-02 18:25	442880	----a-w-	c:\windows\system32\XpsPrint.dll
2011-05-02 18:25 . 2011-05-02 18:25	3181568	----a-w-	c:\windows\system32\mf.dll
2011-05-02 18:25 . 2011-05-02 18:25	219008	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2011-05-02 18:25 . 2011-05-02 18:25	218624	----a-w-	c:\windows\system32\d3d10_1core.dll
2011-05-02 18:25 . 2011-05-02 18:25	196608	----a-w-	c:\windows\system32\mfreadwrite.dll
2011-05-02 18:25 . 2011-05-02 18:25	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2011-05-02 18:25 . 2011-05-02 18:25	1495040	----a-w-	c:\windows\system32\ExplorerFrame.dll
2011-05-02 18:25 . 2011-05-02 18:25	1170944	----a-w-	c:\windows\system32\d3d10warp.dll
2011-05-02 18:25 . 2011-05-02 18:25	107520	----a-w-	c:\windows\system32\cdd.dll
2011-05-02 18:25 . 2011-05-02 18:25	1074176	----a-w-	c:\windows\system32\DWrite.dll
2011-04-20 17:15 . 2010-06-20 20:55	307200	----a-w-	c:\windows\system32\TubeFinder.exe
2011-04-09 06:13 . 2011-05-11 06:13	3957632	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 06:13	3901824	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-03-20 15:58 . 2010-09-15 18:56	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"Remote Control Editor"="c:\program files\Common Files\TerraTec\Remote\TTTvRc.exe" [2010-09-13 1695816]
"ICQ"="c:\program files\ICQ7.5\ICQ.exe" [2011-06-10 124216]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-04-06 8555040]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-05-29 1047656]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
c:\users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 136176]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 136176]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 NDNdisprot;NetDetect NDIS Driver;c:\windows\system32\DRIVERS\ndndisprot.sys [2008-01-01 21504]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 20992]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-09-22 579072]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-03-19 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-30 136360]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-11-05 230912]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 21:05]
.
2011-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 21:05]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.1.2
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-06-13  15:02:55
ComboFix-quarantined-files.txt  2011-06-13 13:02
.
Vor Suchlauf: 9 Verzeichnis(se), 561.738.043.392 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 561.982.484.480 Bytes frei
.
- - End Of File - - 2DF9835E67235713DD93A7FCB3D6913E
         

--- --- ---

Klappt wunderbar mit #
In dem Log habe ich den Admin auf 5x gestellt, die anderen 4 User von 1x bis 4x geändert.

Gruß, Stefan