Hi cosinus,

Hast mich mit CF aber ganz schön ins Schwitzen gebracht - wegen möglicher Schäden usw...

kurze Frage nur:
Ich erwarte ja keine Gute-Nacht-Geschichte, aber beantwortest Du prinzipiell keine Fragen oder soll ich einfach davon ausgehen, dass eine Frage, die keine Antwort bekommt, eh überflüssig ist und am PC soweit alles in Ordnung?

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-03-12.03 - <Nutzer> 12.03.2012  21:42:52.1.4 - x64
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.7920.6521 [GMT 1:00]
ausgeführt von:: c:\users\<Nutzer>\Desktop\ComboFix\ComboFix.exe
AV: F-PROT Antivirus for Windows *Disabled/Updated* {31B7FFC6-2716-5A4E-528D-32786E690ED2}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-12 bis 2012-03-12  ))))))))))))))))))))))))))))))
.
.
2012-03-12 20:46 . 2012-03-12 20:46	--------	d-----w-	c:\users\Test\AppData\Local\temp
2012-03-12 20:46 . 2012-03-12 20:46	--------	d-----w-	c:\users\systemchef\AppData\Local\temp
2012-03-12 20:46 . 2012-03-12 20:46	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-10 12:28 . 2012-02-08 07:13	8643640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{402EC022-91F5-4376-A1B8-3CC98F2B4A32}\mpengine.dll
2012-03-09 20:24 . 2012-03-09 20:24	--------	d-----w-	C:\_OTL
2012-03-08 19:31 . 2012-03-08 19:31	--------	d-----w-	c:\program files (x86)\ESET
2012-03-08 17:47 . 2012-03-08 17:47	--------	d-----w-	c:\users\<Nutzer>\AppData\Roaming\Malwarebytes
2012-03-08 17:47 . 2012-03-08 17:47	--------	d-----w-	c:\programdata\Malwarebytes
2012-03-08 17:47 . 2011-12-10 14:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-08 17:47 . 2012-03-08 17:47	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-05 03:36 . 2012-03-05 03:36	--------	d-----w-	c:\users\<Nutzer>\AppData\Local\Apps
2012-03-03 11:42 . 2012-03-03 11:42	--------	d-----w-	c:\users\<Nutzer>\AppData\Local\Logitech
2012-03-03 11:36 . 2012-03-03 11:37	--------	d-----w-	c:\program files\Logitech Gaming Software
2012-02-14 19:11 . 2012-01-04 10:44	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-02-14 19:11 . 2012-01-04 08:58	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2012-02-14 19:11 . 2011-12-30 06:26	515584	----a-w-	c:\windows\system32\timedate.cpl
2012-02-14 19:11 . 2011-12-30 05:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
2012-02-14 19:11 . 2011-12-28 03:59	498688	----a-w-	c:\windows\system32\drivers\afd.sys
2012-02-14 19:11 . 2012-01-14 04:06	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-02-14 19:11 . 2011-12-16 08:46	634880	----a-w-	c:\windows\system32\msvcrt.dll
2012-02-14 19:11 . 2011-12-16 07:52	690688	----a-w-	c:\windows\SysWow64\msvcrt.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-09 19:57 . 2011-09-12 00:51	18960	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2012-03-05 01:09 . 2011-08-01 21:06	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2011-07-21 17:46	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-02-09 19:01 . 2012-02-09 19:01	53248	----a-r-	c:\users\<Nutzer>\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-02-02 08:43 . 2012-02-02 08:43	509104	----a-w-	c:\windows\system32\drivers\e1k62x64.sys
2012-01-20 08:41 . 2012-01-20 08:41	99520	----a-w-	c:\windows\system32\NicInstK.dll
2012-01-19 08:37 . 2012-01-19 08:37	68264	----a-w-	c:\windows\system32\e1kmsg.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"F-PROT Antivirus Tray application"="c:\program files (x86)\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2010-11-03 1674016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2010-03-03 4581280]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 FPAVServer;F-PROT Antivirus for Windows system;c:\program files (x86)\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [2011-10-06 84136]
R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R4 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-05-04 503080]
R4 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2011-03-25 539248]
S0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\DRIVERS\thpdrv.sys [x]
S0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\DRIVERS\Thpevm.SYS [x]
S0 tos_sps64;TOSHIBA tos_sps64 Service;c:\windows\system32\DRIVERS\tos_sps64.sys [x]
S1 FPAV_RTP;FPAV_RTP;c:\windows\system32\DRIVERS\FPAV_RTP.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 ATService;AuthenTec Fingerprint Service;c:\program files\Fingerprint Sensor\ATService.exe [2010-06-17 2734912]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2010-01-28 249200]
S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 Lexware_Datenbank_Plus;Lexware Datenbank Plus;c:\program files (x86)\Sybase\SQL Anywhere 9\win32\dbsrv9.exe [2010-11-05 83248]
S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimspe64.sys [x]
S2 risdpcie;risdpcie;c:\windows\system32\DRIVERS\risdpe64.sys [x]
S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERS\rixdpe64.sys [x]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2010-05-11 124368]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2010-02-25 252928]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2314240]
S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [x]
S3 ATSwpWDF;AuthenTec TruePrint USB Driver;c:\windows\system32\Drivers\ATSwpWDF.sys [x]
S3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [x]
S3 LGSHidFilt;Logitech Gaming KMDF HID Filter Driver;c:\windows\system32\DRIVERS\LGSHidFilt.Sys [x]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [x]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-11-05 137560]
S3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2010-02-05 824688]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ATFPUOverlayIcon]
@="{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}"
[HKEY_CLASSES_ROOT\CLSID\{3239DBC1-B76D-4dc7-8B29-D99CBA3C7336}]
2010-03-02 08:24	153520	----a-w-	c:\program files\Toshiba\TFPU\TFPUOverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-30 8305664]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-09-10 313344]
"TFPUPWDBankService"="c:\program files\TOSHIBA\TFPU\TFPUPWDBank.exe" [2010-03-02 925104]
"TFPUService"="c:\program files\TOSHIBA\TFPU\TFPUTaskMonitor.exe" [2010-03-02 793008]
"TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 709976]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-28 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-28 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-28 415256]
"Launch LCore"="c:\program files\Logitech Gaming Software\LCore.exe" [2011-12-07 5889816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = 
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files (x86)\VMware\VMware Player\vsocklib.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\<Nutzer>\AppData\Roaming\Mozilla\Firefox\Profiles\o9guaoks.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11f_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-03-12  21:48:25
ComboFix-quarantined-files.txt  2012-03-12 20:48
.
Vor Suchlauf: 9 Verzeichnis(se), 92.874.391.552 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 93.853.401.088 Bytes frei
.
- - End Of File - - 8ED7A0201B3A30E5818F3AC420DCC4EE
         

Ich bin mir jetzt auch nicht ganz sicher, was CF da in die Quarantäne geschoben hat, aber die meisten der Einträge sind Software-Einträge von Toshiba, bzw. bin ich über den angeprangerten shockwave-Player nicht im Klaren, was da nicht in Ordnung ist, da ich Updates dieser Software regelmäßig vornehme.
Sind das hier Einträge, die nicht in Ordnung waren oder sind?:

Code: Alles auswählenAufklappen

ATTFilter

2012-03-12 20:47:44 . 2012-03-12 20:47:44            1,380 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-Adobe Shockwave Player.reg.dat
2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TosWaitSrv.reg.dat
2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Teco.reg.dat
2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-SmoothView.reg.dat
2012-03-12 20:47:38 . 2012-03-12 20:47:38               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TPwrMain.reg.dat
2012-03-12 20:45:48 . 2012-03-12 20:45:48           14,468 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-03-12 20:41:51 . 2012-03-12 20:41:51               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
         

Während der Bereinigung beantworte ich ungern "nebensächlichere" Fragen weil die von der eigentlich Bereinigung zu stark ablenken. Sammel dir Fragen und ich versuche das zu beantworten wenn wir durch sind

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

hi cosinus,

hab's geschnallt...bis gleich oder später...je nach dauer!

hi cosinus,

ich schon wieder - hier das log:

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-12 22:44:54
-----------------------------
22:44:54.381    OS Version: Windows x64 6.1.7601 Service Pack 1
22:44:54.381    Number of processors: 4 586 0x2505
22:44:54.381    ComputerName: <Computername>  UserName: <Nutzer>
22:44:55.319    Initialize success
22:46:14.507    AVAST engine defs: 12031200
22:47:33.682    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
22:47:33.687    Disk 0 Vendor: Hitachi_ PC3O Size: 305245MB BusType: 3
22:47:33.703    Disk 0 MBR read successfully
22:47:33.707    Disk 0 MBR scan
22:47:33.714    Disk 0 Windows VISTA default MBR code
22:47:33.726    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS         1500 MB offset 2048
22:47:33.739    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       158991 MB offset 3074400
22:47:33.748    Disk 0 Partition - 00     0F Extended LBA            135589 MB offset 328689664
22:47:33.777    Disk 0 Partition 3 00     17 Hidd HPFS/NTFS NTFS         9163 MB offset 606375936
22:47:33.805    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       135588 MB offset 328691712
22:47:33.844    Disk 0 scanning C:\Windows\system32\drivers
22:47:41.927    Service scanning
22:48:04.250    Modules scanning
22:48:04.605    Disk 0 trace - called modules:
22:48:04.637    ntoskrnl.exe CLASSPNP.SYS disk.sys thpdrv.sys ACPI.sys iaStor.sys hal.dll 
22:48:04.646    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007d49060]
22:48:04.654    3 CLASSPNP.SYS[fffff8800188c43f] -> nt!IofCallDriver -> \Device\THPDRV1[0xfffffa8007d48060]
22:48:04.664    5 thpdrv.sys[fffff88001a02cc0] -> nt!IofCallDriver -> [0xfffffa8006c73320]
22:48:04.672    7 ACPI.sys[fffff88000eea7a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007a3c050]
22:48:05.552    AVAST engine scan C:\Windows
22:48:07.648    AVAST engine scan C:\Windows\system32
22:50:26.235    AVAST engine scan C:\Windows\system32\drivers
22:50:35.894    AVAST engine scan C:\Users\<Nutzer>
22:51:23.681    AVAST engine scan C:\ProgramData
22:52:00.384    Scan finished successfully
22:55:23.802    Disk 0 MBR has been saved successfully to "C:\Users\<Nutzer>\Desktop\7_aswMBR\MBR.dat"
22:55:23.806    The log file has been saved successfully to "C:\Users\<Nutzer>\Desktop\7_aswMBR\aswMBR.txt"
         

Ich hatte zu Beginn des Scans die Seite hier offen - nicht, dass Du Dich über einen seltsamen Eintrag wunderst...

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Cosinus,

Das beruhigt mich schonmal und hier das erste Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.13.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
<Nutzer> :: <Computername> [Administrator]

13.03.2012 20:30:50
mbam-log-2012-03-13 (20-30-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 388534
Laufzeit: 48 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Hi Cosinus,

Und hier das 2. Log, wobei die Funde wohl eher auf meine aktuell offene Verbindung zum I-Net zurückzuführen sind, oder?

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/13/2012 at 11:07 PM

Application Version : 5.0.1146

Core Rules Database Version : 8331
Trace Rules Database Version: 6143

Scan type       : Complete Scan
Total Scan Time : 01:29:52

Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 588
Memory threats detected   : 0
Registry items scanned    : 68743
Registry threats detected : 0
File items scanned        : 178409
File threats detected     : 10

Adware.Tracking Cookie
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\VZ38YYEO.txt [ Cookie:<Nutzer>@revsci.net/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\FT3EXZLY.txt [ Cookie:<Nutzer>@zanox-affiliate.de/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\RO9D2577.txt [ Cookie:<Nutzer>@smartadserver.com/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\0XTQFM50.txt [ Cookie:<Nutzer>@adfarm1.adition.com/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\AVVBQWOI.txt [ Cookie:<Nutzer>@zanox.com/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\BBVMIKUP.txt [ Cookie:<Nutzer>@unitymedia.de/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\743GHILT.txt [ Cookie:<Nutzer>@doubleclick.net/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\BQIBVI32.txt [ Cookie:<Nutzer>@tracking.quisma.com/ ]
	C:\USERS\<Nutzer>\AppData\Roaming\Microsoft\Windows\Cookies\Low\3ZJE0DXC.txt [ Cookie:<Nutzer>@adfarm1.adition.com/ ]
	delivery.ibanner.de [ C:\USERS\<Nutzer>\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\A8GWV4WW ]
         

Danke Dir...

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hallo Cosinus,

Danke Dir ersteinmal sehr!!!

Dafür würde ich Dir gern einen

Probleme, Funde oder andere Auffälligkeiten konnte ich bisher nicht feststellen.
Alle bisher genutzen Programme laufen stabil und sind ausführbar.
Mein DVD-LW habe ich aber noch nicht getestet - sollte ich das zwecks defogger-Einsatz noch tun?
Falls ich sonst noch auf etwas Besonderes achten sollte, dann sag mir, worauf.

Wäre toll, wenn Du zu den zwischenzeitlichen aufgetauchten oder jetzt noch vorhandenen Fragen ein oder zwei Infos für mich hättest.

Was genau hab ich mir da eingefangen?
Das Ding sah aus wie von Windows selbst, ich habe nichts außergewöhnliches mit dem System angestellt und das Ding hat mir alle Services im normalen Modus abgeschossen! Im Grunde bin ich ein sehr sensibler Nutzer, da ich beruflich selbst im IT-Bereich (aber eben nichts mit Betriebsystemen Windows betreffend) unterwegs bin.

Wahrscheinlich ist es die beste Lösung wirklich nur einen Admin-Account und ansonsten nur User-Sandboxes ohne Admin-Rechte im Win 7 einzurichten, oder?
(Das habe ich bei meinem Fest-PC so gemacht)

War es korrekt oder Wurscht, die Sytemüberwachung der Platten (Weiderherstellung) auszuschalten, damit das Ding nicht auch noch archiviert wird?

Die Reihenfolge und Auswahl der Tools zum Überprüfen und bereinigen war doch sicher nicht zufällig gewählt. Hatte das bestimmte Gründe oder welche Tools wären für einen regelmäßigen Check am geeignetsten?

Bist Du beruflich für solche Sachen tätig?

2009 hatte ich bereits ein Problem, bei dem Ihr mir geholfen habt (Chris4You).
Da war HJT noch ein Tool der Wahl - wie bekommt man denn Änderungen bei der Auswahl solcher Softwäre mit? Ich mein, wie entscheidet Ihr, welches Tool geeignet oder eher ungeeignet ist? (TDSS-Killer, OTL,....)

Ich weiß, das ist ganz schön viel Fragerei, würde mich aber tatsächlich interessieren...

Viele Grüße,
Dodger

Zitat:

Mein DVD-LW habe ich aber noch nicht getestet - sollte ich das zwecks defogger-Einsatz noch tun?

defogger hat nur Auswirkungen auf virtuelle optische Laufwerke

Zitat:

Was genau hab ich mir da eingefangen?

Steht doch alles in den Logs
Den üblichen Müll im Javacache, manche Fake-Teile und dieses DVD-Teil => servdvd\codecwin.exe was ich aber selbst nicht richtig einordnen kann

Zitat:

ansonsten nur User-Sandboxes ohne Admin-Rechte im Win 7 einzurichten, oder?

So lautet die gängige Sicherheitspraxis unter JEDEM Betriebssystem. Nur unter Windows ist wohl ständig jeder mit Adminrechten drin

Zitat:

War es korrekt oder Wurscht, die Sytemüberwachung der Platten (Weiderherstellung) auszuschalten, damit das Ding nicht auch noch archiviert wird?

Kann man machen. Ich schalte die SWH grundsätzlich immer ab. Gesichert werden dann "nur" Bewegungsdaten und ab und zu wird ein Image der Systempartition erstellt. Ich hab keinen vernünftigen Verwendungszweck für die SWH.

Zitat:

Die Reihenfolge und Auswahl der Tools zum Überprüfen und bereinigen war doch sicher nicht zufällig gewählt. Hatte das bestimmte Gründe oder welche Tools wären für einen regelmäßigen Check am geeignetsten?

Ich hab mir die Reihenfolge so angewöhnt, mir erscheint sie sinnvoll. Ich schau erst mit MBAM/ESET nach dem gröbsten Dreck, räume dann weiteren Müll mit OTL auf, dann wird nach (weiteren) Rootkits gesucht und zum Schluss kommen Kontrollscans.
Für den regelmäßigen Check würde ich nur von den hier eingesetzten Tools Malwarebytes empfehlen, von allen anderen als Laie Finger weg. Besonders Finger weg von Combofix, TDSS-Killer und OTL - wenn man nicht weiß was man macht beim Fixen ist das System hinüber.

Zitat:

Bist Du beruflich für solche Sachen tätig?

Ja.

Zitat:

2009 hatte ich bereits ein Problem, bei dem Ihr mir geholfen habt (Chris4You).
Da war HJT noch ein Tool der Wahl - wie bekommt man denn Änderungen bei der Auswahl solcher Softwäre mit? Ich mein, wie entscheidet Ihr, welches Tool geeignet oder eher ungeeignet ist? (TDSS-Killer, OTL,....)

Weil wir uns informieren, mit Mitgliedern/Helfern anderer Support-Foren (auch englischsprachige) kommunizieren und auch tw. Kontakt mit den Urhebern der hier eingesetzten Tools haben.