Wie Ihavenet-Virus beseitigen?

21.09.2012, 10:21

Die Datei ist nicht im angegebenen Verzeichnis vorhanden??

Psychotic · 21.09.2012, 10:25

oha!

CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

FILELOOK::
c:\windows\system32\perfh007W.dll

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

21.09.2012, 10:55

Bin mir nicht sicher, ob das mit dem reinziehen der txt in Combofix richtig funktioniert hat? Combofix hat auch gemeckert, dass Avira EchtzeitScanner noch aktiv wäre, war aber definitiv deaktiviert.

Code:

ATTFilter

ComboFix 12-09-20.03 - Sandra 21.09.2012  11:46:52.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-21 bis 2012-09-21  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58	--------	d-----w-	c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06	--------	d-----w-	c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39	--------	d-----w-	c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25	--------	d-----w-	c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07	--------	d-----w-	c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24	770384	----a-w-	c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24	421200	----a-w-	c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24	73696	----a-w-	c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09	--------	dc-h--w-	c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
2012-09-14 15:11 . 2012-09-14 15:11	147456	--sha-r-	c:\windows\system32\perfh007W.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58	696520	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04	73416	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11	821736	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-07-06 13:59 . 2003-04-02 12:00	78336	----a-w-	c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-07-02 17:39 . 2003-04-02 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2003-04-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2011-07-12 19:01	385024	----a-w-	c:\windows\system32\html.iec
2004-10-01 13:00 . 2011-07-23 17:06	40960	----a-w-	c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\perfh007W.dll ---
Company: ------
File Description: ------
File Version: ------
Product Name: ------
Copyright: ------
Original Filename: ------
File size: 147456
Created time: 2012-09-14 15:11
Modified time: 2012-09-14 15:11
MD5: !HASH: COULD NOT OPEN FILE !!!!!
SHA1: !HASH: COULD NOT OPEN FILE !!!!!
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"40479:TCP"= 40479:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
S3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
S3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-21 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-21 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-21 c:\windows\Tasks\zukst.job
- c:\windows\system32\perfh007W.dll [2012-09-14 15:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title = 
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-21 11:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"????????????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1016)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3116)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-09-21  11:51:01
ComboFix-quarantined-files.txt  2012-09-21 09:50
ComboFix2.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 480.253.480.960 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 480.244.199.424 Bytes frei
.
- - End Of File - - 06411157C2A02071C7DE9EB4FAEAE64C

Jetzt funktioniert im Starmoney die Updatefunktion nicht mehr ("Der StarMoney Online-Update Dienst konnte nicht gestartet werden, da das Profilverzeichnis nicht existiert"). Wie kann ich das fixen?

Psychotic · 24.09.2012, 07:23

Um Starmoney kümmern wir uns später!

CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

http://www.trojaner-board.de/124379-ihavenet-virus-beseitigen-2.html#post920389

SUSPECT::[93]
c:\windows\system32\perfh007W.dll

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

24.09.2012, 09:04

Code:

ATTFilter

ComboFix 12-09-23.03 - Sandra 24.09.2012   9:50.3.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2700 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
file zipped: c:\windows\system32\perfh007W.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-24 bis 2012-09-24  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58	--------	d-----w-	c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06	--------	d-----w-	c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39	--------	d-----w-	c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25	--------	d-----w-	c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07	--------	d-----w-	c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24	770384	----a-w-	c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24	421200	----a-w-	c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24	73696	----a-w-	c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09	--------	dc-h--w-	c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
2012-09-14 15:11 . 2012-09-14 15:11	147456	--sha-r-	c:\windows\system32\perfh007W.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58	696520	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04	73416	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11	821736	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-28 15:05 . 2003-04-02 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2003-04-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2011-07-12 19:01	385024	----a-w-	c:\windows\system32\html.iec
2012-07-06 13:59 . 2003-04-02 12:00	78336	----a-w-	c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2004-10-01 13:00 . 2011-07-23 17:06	40960	----a-w-	c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4123:TCP"= 4123:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
R3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
R3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-23 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-23 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-24 c:\windows\Tasks\zukst.job
- c:\windows\system32\perfh007W.dll [2012-09-14 15:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title = 
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.123.254
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-24 09:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"????????????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1020)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3212)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-09-24  09:55:15
ComboFix-quarantined-files.txt  2012-09-24 07:55
ComboFix2.txt  2012-09-21 09:51
ComboFix3.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 479.236.247.552 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 479.219.011.584 Bytes frei
.
- - End Of File - - EB41F8479ABFEB5D935E955BF7BC2A48
Hochladen war erfolgreich

Psychotic · 24.09.2012, 09:32

Schritt 1: CF-Script

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

http://www.trojaner-board.de/124379-ihavenet-virus-beseitigen-2.html#post922385

Collect::
c:\windows\system32\perfh007W.dll

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Schritt 2: Custom Scan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\*. /s /90
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

24.09.2012, 10:17

Es wurde keine Extra.txt erstellt??

(Log-Datei zu lang, und als txt zu groß, deshalb als gezippter Anhang...)

Psychotic · 24.09.2012, 13:07

und wo ist die Logdatei von Combofix?

24.09.2012, 13:51

ups, vergessen...

Code:

ATTFilter

ComboFix 12-09-23.03 - Sandra 24.09.2012  10:47:14.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3327.2761 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sandra\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
file zipped: c:\windows\system32\perfh007W.dll
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\perfh007W.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-24 bis 2012-09-24  ))))))))))))))))))))))))))))))
.
.
2012-09-21 06:58 . 2012-09-21 06:58	--------	d-----w-	c:\programme\ESET
2012-09-19 17:05 . 2012-09-19 17:06	--------	d-----w-	c:\programme\XSBoxGO
2012-09-18 15:06 . 2012-09-18 15:06	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-09-18 10:39 . 2012-09-18 10:39	--------	d-----w-	c:\programme\RegCleaner
2012-09-18 09:58 . 2012-09-18 09:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\GFI Software
2012-09-18 09:25 . 2012-09-18 09:25	--------	d-----w-	c:\programme\EMET
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\programme\SUPERAntiSpyware
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2012-09-17 14:59 . 2012-09-17 14:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERSetup
2012-09-17 14:02 . 2012-09-17 14:02	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Sun
2012-09-17 08:08 . 2012-09-17 15:07	--------	d-----w-	c:\programme\Browser Hijack Recover
2012-09-17 07:35 . 2012-09-17 07:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos
2012-09-16 09:06 . 2012-09-16 09:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-16 09:06 . 2012-09-16 09:06	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-09-16 08:59 . 2012-09-06 01:24	770384	----a-w-	c:\programme\Mozilla Firefox\msvcr100.dll
2012-09-16 08:59 . 2012-09-06 01:24	421200	----a-w-	c:\programme\Mozilla Firefox\msvcp100.dll
2012-09-16 08:59 . 2012-09-06 01:24	73696	----a-w-	c:\programme\Mozilla Firefox\breakpadinjector.dll
2012-09-16 07:13 . 2012-09-16 07:13	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Downloads
2012-09-15 08:28 . 2012-09-15 08:28	--------	d-----w-	c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
2012-09-15 08:07 . 2012-09-15 08:09	--------	dc-h--w-	c:\windows\ie8
2012-09-14 15:57 . 2012-09-14 15:57	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\PC Suite
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-16 09:37 . 2012-04-09 07:58	696520	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-09-16 09:37 . 2011-07-14 05:04	73416	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-16 09:05 . 2012-07-09 17:11	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-16 09:05 . 2012-07-09 17:11	821736	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-07 15:04 . 2012-04-26 14:21	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2011-09-07 12:58	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-08-28 15:05 . 2003-04-02 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2003-04-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2011-07-12 19:01	385024	----a-w-	c:\windows\system32\html.iec
2012-07-06 13:59 . 2003-04-02 12:00	78336	----a-w-	c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-07-12 18:43	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2003-04-02 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2004-10-01 13:00 . 2011-07-23 17:06	40960	----a-w-	c:\programme\Uninstall_CDS.exe
2012-09-06 01:26 . 2012-04-26 15:20	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"="c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2007-07-25 368640]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2012-03-26 1516600]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-09-06 4780928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FRYMXINS"="c:\programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"EaseUs Watch"="c:\programme\EASEUS\Todo Backup\bin\EuWatch.exe" [2011-04-22 69000]
"EaseUs Tray"="c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe" [2011-04-25 733576]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-08-07 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"EMET Notifier"="c:\programme\EMET\EMET_notifier.exe" [2012-05-09 152152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 8.0 S-Edition\\app\\StarMoney.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5083:TCP"= 5083:TCP:Windows Core Service
.
R0 EUBAKUP;EUBAKUP;c:\windows\system32\drivers\eubakup.sys [14.07.2011 20:16 30600]
R0 EUBKMON;EUBKMON;c:\windows\system32\drivers\EUBKMON.sys [14.07.2011 20:16 35720]
R0 EUFS;EUFS;c:\windows\system32\drivers\eufs.sys [14.07.2011 20:16 20744]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 19:01 36000]
R1 EUDSKACS;EUDSKACS;c:\windows\system32\drivers\eudskacs.sys [14.07.2011 20:16 14216]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]
R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [11.07.2012 20:54 116608]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 19:01 86224]
R2 EASEUS Agent;EASEUS Agent;c:\programme\EASEUS\Todo Backup\bin\Agent.exe [14.07.2011 20:14 56200]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [12.07.2011 21:41 37568]
R3 EUDISK;EASEUS Disk Enumerator;c:\windows\system32\drivers\eudisk.sys [14.07.2011 20:16 187528]
R3 tmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCTTomato;c:\windows\system32\drivers\tmnsusbser.sys [21.04.2010 16:40 108160]
R3 tmusbnet;Wireless Data Device driver for usb ethernet adapter;c:\windows\system32\drivers\tmusbnet.sys [20.04.2010 08:07 109568]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S2 StarMoney 8.0 OnlineUpdate;StarMoney 8.0 OnlineUpdate;c:\programme\StarMoney 8.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.07.2012 18:27 692432]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.07.2011 07:37 1684736]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [12.07.2011 21:41 444416]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.04.2012 17:20 114144]
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-23 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
2012-09-23 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task 3c896d1a-02f1-4922-aafd-a2d863a424c6.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
2012-09-17 c:\windows\Tasks\SUPERAntiSpyware Scheduled Task e7943882-429b-4db3-a765-fd208ec9ec99.job
- c:\programme\SUPERAntiSpyware\SASTask.exe [2011-05-04 17:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mWindow Title = 
IE: Free YouTube Download - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.123.254
DPF: {731B6776-6B7D-4B69-BB04-0C8B17DDF584} - hxxp://www.starmoney.de/fileadmin/Dateien/StarMoney/support/Dateien/ou-services/setup.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Sandra\Anwendungsdaten\Mozilla\Firefox\Profiles\rrgqornz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-24 10:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  EaseUs Tray = "c:\programme\EASEUS\Todo Backup\bin\TrayNotify.exe"????????????????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1248)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2344)
c:\programme\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-09-24  10:54:52 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-09-24 08:54
ComboFix2.txt  2012-09-24 07:56
ComboFix3.txt  2012-09-21 09:51
ComboFix4.txt  2012-09-20 14:46
.
Vor Suchlauf: 21 Verzeichnis(se), 479.496.536.064 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 479.491.801.088 Bytes frei
.
- - End Of File - - D247190335AC42F1AA8E0E2004EABC05
Hochladen war erfolgreich

Psychotic · 24.09.2012, 14:04

Bestehen die Google-Umleitungen noch?

24.09.2012, 14:18

Hab jetzt ein bisschen rumprobiert, es scheint sowohl mit IE als auch Firefox zu funktionieren - keine Umleitungen mehr.

Psychotic · 24.09.2012, 14:20

Bitte warte etwas ab, bevor wir weitermachen. Wir wissen noch nicht genau, worum es sich hier handelt, könnte etwas Neues sein und wir müssen uns intern absprechen, um dir die bestmögliche Unterstützung zukommen lassen zu können!

02.10.2012, 07:59

Hallo, das Problem scheint behoben zu sein, es gab seither keine unerwünschten Google-Umleitungen mehr - weder im IE noch im Firefox. War wohl schon ein Virus oder? Wie kann ich mich zukünftig dagegen schützen? Vielen Dank schonmal!

Die Updatefunktion im StarMoney funktioniert aber nach wie vor nicht mehr ("Der StarMoney Online-Update Dienst konnte nicht gestartet werden, da das Profilverzeichnis nicht existiert"). Wie kann ich das fixen?

Psychotic · 06.10.2012, 12:33

Was den StarMoney-Fehler angeht, damit verweise ich dich später an unser Windows-Forum.

Macht der Rechner noch Probleme?

06.10.2012, 16:22

Wie schon geschrieben: keine Google-Umleitungen mehr und sonst auch keine Probleme ...

21.09.2012, 10:21	#1
BlueOcean Gast	Wie Ihavenet-Virus beseitigen? Die Datei ist nicht im angegebenen Verzeichnis vorhanden??

24.09.2012, 10:17	#7
BlueOcean Gast	Wie Ihavenet-Virus beseitigen? Es wurde keine Extra.txt erstellt?? (Log-Datei zu lang, und als txt zu groß, deshalb als gezippter Anhang...)

24.09.2012, 13:07	#8
Psychotic /// Malwareteam	Wie Ihavenet-Virus beseitigen? und wo ist die Logdatei von Combofix? __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

24.09.2012, 14:04	#10
Psychotic /// Malwareteam	Wie Ihavenet-Virus beseitigen? Bestehen die Google-Umleitungen noch? __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

24.09.2012, 14:18	#11
BlueOcean Gast	Wie Ihavenet-Virus beseitigen? Hab jetzt ein bisschen rumprobiert, es scheint sowohl mit IE als auch Firefox zu funktionieren - keine Umleitungen mehr.

Wie Ihavenet-Virus beseitigen?

Log-Analyse und Auswertung: Wie Ihavenet-Virus beseitigen?