Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2013, 08:36   #1
KiRa69
 
Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen - Standard

Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen



Hallo liebes Board und Helfer,
ich habe mir nun hier einen Acc erstellt weil ich mit meinem Latein echt am ende bin.

Kurz zu mir, ich bin eigentlich recht fit was PC's und Software und deren umgang etc angeht, ich kenne mich also ein bisschen mehr aus als der "normale user", dennoch stehe ich vor einer Wand.

Also:

Ich habe vor ein paar tagen (solange bin ich schon daran ) mit Malewarebyts den "Stolen Data" und noch irgendwas "Trojan" gefunden.
Daraufhin habe ich meine standart aktion ausgeführt, sprich ext. Platte ran, alle Daten die ich wollte gesichert und mit O&O Safeerase 6 die SSD + die 2 HDD's die ich im RAID 0 laufen hatte komplett platt machen lassen (1x rnd schreiben). Dabei stand bei der SSD in etwa 912932% done.
Naja also Win 7 64x Home Premium wieder installiert und alle Updates installiert.

Malewarebyts fande nach einrichten wieder (ich hatte die ext. Platte noch NICHT wieder am Rechner) die 2 Funde in Updateususer/app/local/microsoft/credentials . Auch besagter Ordner war mit einem Schlosssymbol versehen und ich konnte nicht per explorer darauf zugreifen.

Naja ich habe dann viel rumprobiert und dabei ist mir aufgefallen das ich im Res. Monitor unter TCP verbindungen immer eine Anwendung "-" habe die meistens mehrere Verbindungen zu verschiedenen Zielen aufnimmt, verstärkt wird das ganze wenn eine Anwendung auf das Inet zugreift. Dann nimmt besagter Prozess zu gleichen Quellen die Verbindung auf und noch zu anderen.

Auch mit Netstat -a -b wird mir der Prozess auch nur als "unknown" angezeigt.
Auch Comodo KillSwitch kann keinen einfluss darauf nehmen.

OTL hat auch allehand angezeigt. Zumal das ich x:\Microsoft\ xxx auf den HDD's habe was aber nie der Fall war, ich gehe davon aus das ein Hidden System oder etwas ähnliches dort gelagert wurde?


Naja daraufhin habe ich erst einmal meine beiden HDD's entformatiert? damit ich mich um diese erst einmal nicht kümmern brauche.

Naja ich dachte nun eben das ich einen Virus im MBR der SSD habe und habe diesen daher mit der Win CD mit Bootsec.exe /FixMbr neu geschrieben.
Dannach habe ich mit dem OCZ Tool im Linux Kernel "Safeerase" (nicht das vorherige von O&O) ausgeführt (dieses soll angeblich die SSD besser löschen als normale Programme da es normalerweise nur per ATA befehl ginge?) Trotzdem scheint es das Dateien auf der SSD bleiben, bzw wieder hergestellt werden können?

Naja nachdem ich dann Win wieder installiert habe besteht "-" TCP weiterhin.

Kann es sein das sich der Virus in die OCZ Datein (Firmware, etc) geschrieben hat und von dort immer wieder kommt? Falls ja was kann ich dann tun?
Oder kann es sein das sich der Virus in das Bios (Asrock Z77 Extreme 4) gemogelt hat?

Ich werde wohl nun mal die SSD abschließen und es nochmal nur mit den HDD's versuchen.

Die anderen Rechner (2 weitere) habe ich vorsichtshalber auch mit O&O Safeerase 6 plattgebügelt und Win 7 neuinstalliert aber noch nicht wieder ins WLAN/Internet gelassen.
Diese haben "nur" jeweils eine HDD.

Als Installations Medium ist dient eine Win 7 x64 DVD von DELL. (ich glaube nicht das diese der Lieferant des Schädlings ist)

Was auch etwas merkwürdig ist "-" ist jetzt gerade als ich diesen Text schreibe aus der Liste verschwunden. Ich habe eh das gefühl "beobachtet" zu werden..

Sorry für meine schlechte rechtschreibung - lese rechtschreib schwäche


Hilfe bitte


Code:
ATTFilter
OTL logfile created on: 25.03.2013 08:32:39 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Baphomet\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,89 Gb Total Physical Memory | 5,98 Gb Available Physical Memory | 75,81% Memory free
15,78 Gb Paging File | 13,78 Gb Available in Paging File | 87,33% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 238,37 Gb Total Space | 214,25 Gb Free Space | 89,88% Space Free | Partition Type: NTFS
 
Computer Name: HELLGATE | User Name: Baphomet | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.25 07:58:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Baphomet\Desktop\OTL.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Services (SafeList) ==========
 
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.10.10 21:23:42 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2009.06.10 22:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.12.14 16:49:28 | 000,024,176 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
DRV:64bit: - [2011.05.09 20:42:14 | 000,425,000 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\k57nd60a.sys -- (k57nd60a)
DRV:64bit: - [2009.07.14 02:52:21 | 000,106,576 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2009.07.14 02:52:21 | 000,028,752 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2009.07.14 02:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 02:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 02:47:48 | 000,077,888 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2009.07.14 02:47:48 | 000,023,104 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2009.07.14 02:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.06.10 21:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 21:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 21:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 21:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
 
 
 
 
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C2 41 72 36 25 29 CE 01  [binary data]
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
 
 
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4 - HKU\S-1-5-21-3809636573-3520980372-162683626-1001..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKU\S-1-5-21-3809636573-3520980372-162683626-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3809636573-3520980372-162683626-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-3809636573-3520980372-162683626-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E1464F63-2F98-4BDA-BF09-929BE6CFC293}: DhcpNameServer = 192.168.178.1
O20:64bit: - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = ComFile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.25 07:58:35 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Baphomet\Desktop\OTL.exe
[2013.03.25 07:54:08 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.03.25 07:49:12 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Roaming\Malwarebytes
[2013.03.25 07:49:08 | 000,024,176 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2013.03.25 07:49:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.03.25 07:49:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2013.03.25 07:49:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.03.25 07:49:01 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Local\Programs
[2013.03.25 07:47:30 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.03.25 07:45:00 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.03.25 07:45:00 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.03.25 07:45:00 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.03.25 07:44:58 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.03.25 07:44:53 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.03.25 07:44:45 | 005,044,071 | R--- | C] (Swearware) -- C:\Users\Baphomet\Desktop\ComboFix.exe
[2013.03.25 07:43:29 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation
[2013.03.25 07:38:30 | 010,156,344 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Baphomet\Desktop\mbam-setup-1.70.0.1100.exe
[2013.03.25 07:37:34 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA
[2013.03.25 07:37:25 | 000,060,776 | ---- | C] (Khronos Group) -- C:\Windows\SysNative\OpenCL.dll
[2013.03.25 07:37:25 | 000,052,584 | ---- | C] (Khronos Group) -- C:\Windows\SysWow64\OpenCL.dll
[2013.03.25 07:37:21 | 000,000,000 | ---D | C] -- C:\ProgramData\NVIDIA Corporation
[2013.03.25 07:37:20 | 000,000,000 | ---D | C] -- C:\Program Files\NVIDIA Corporation
[2013.03.25 07:37:20 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NVIDIA Corporation
[2013.03.25 07:35:33 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\Desktop\win_k57_x64-15.4.0.9
[2013.03.25 07:31:50 | 000,000,000 | ---D | C] -- C:\Program Files\Broadcom
[2013.03.25 07:31:39 | 000,000,000 | -HSD | C] -- C:\Windows\Installer
[2013.03.25 07:27:49 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2013.03.25 07:27:49 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Searches
[2013.03.25 07:27:49 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2013.03.25 07:27:43 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Roaming\Identities
[2013.03.25 07:27:42 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Contacts
[2013.03.25 07:27:42 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Local\VirtualStore
[2013.03.25 07:27:39 | 000,000,000 | --SD | C] -- C:\Users\Baphomet\AppData\Roaming\Microsoft
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Videos
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Saved Games
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Pictures
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Music
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Links
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Favorites
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Downloads
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Documents
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\Desktop
[2013.03.25 07:27:39 | 000,000,000 | R--D | C] -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Vorlagen
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\AppData\Local\Verlauf
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\AppData\Local\Temporary Internet Files
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Startmenü
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\SendTo
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Recent
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Netzwerkumgebung
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Lokale Einstellungen
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Documents\Eigene Videos
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Documents\Eigene Musik
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Eigene Dateien
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Documents\Eigene Bilder
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Druckumgebung
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Cookies
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\AppData\Local\Anwendungsdaten
[2013.03.25 07:27:39 | 000,000,000 | -HSD | C] -- C:\Users\Baphomet\Anwendungsdaten
[2013.03.25 07:27:39 | 000,000,000 | -H-D | C] -- C:\Users\Baphomet\AppData
[2013.03.25 07:27:39 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Local\Temp
[2013.03.25 07:27:39 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Local\Microsoft
[2013.03.25 07:27:39 | 000,000,000 | ---D | C] -- C:\Users\Baphomet\AppData\Roaming\Media Center Programs
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Programme
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2013.03.25 07:27:36 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2013.03.25 07:27:36 | 000,000,000 | ---D | C] -- C:\Recovery
[2013.03.25 07:27:35 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2013.03.25 07:23:21 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch
[2013.03.25 07:23:14 | 000,000,000 | -HSD | C] -- C:\System Volume Information
[2013.03.25 07:22:59 | 000,000,000 | ---D | C] -- C:\Windows\Panther
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.25 07:58:36 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Baphomet\Desktop\OTL.exe
[2013.03.25 07:57:56 | 000,000,000 | ---- | M] () -- C:\Users\Baphomet\defogger_reenable
[2013.03.25 07:57:25 | 000,050,477 | ---- | M] () -- C:\Users\Baphomet\Desktop\Defogger.exe
[2013.03.25 07:49:08 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.25 07:47:31 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2013.03.25 07:47:31 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2013.03.25 07:47:31 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2013.03.25 07:47:31 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2013.03.25 07:47:31 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2013.03.25 07:45:02 | 000,013,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.03.25 07:45:02 | 000,013,776 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.03.25 07:44:45 | 005,044,071 | R--- | M] (Swearware) -- C:\Users\Baphomet\Desktop\ComboFix.exe
[2013.03.25 07:42:59 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.03.25 07:42:56 | 2057,801,727 | -HS- | M] () -- C:\hiberfil.sys
[2013.03.25 07:42:19 | 000,007,614 | ---- | M] () -- C:\Users\Baphomet\AppData\Local\Resmon.ResmonCfg
[2013.03.25 07:38:37 | 010,156,344 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Baphomet\Desktop\mbam-setup-1.70.0.1100.exe
[2013.03.25 07:35:13 | 000,215,092 | ---- | M] () -- C:\Users\Baphomet\Desktop\win_k57_x64-15.4.0.9.zip
[2013.03.25 07:25:19 | 000,274,464 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2013.03.25 07:25:01 | 000,052,953 | ---- | M] () -- C:\Windows\SysWow64\license.rtf
[2013.03.25 07:25:01 | 000,052,953 | ---- | M] () -- C:\Windows\SysNative\license.rtf
 
========== Files Created - No Company Name ==========
 
[2013.03.25 07:57:56 | 000,000,000 | ---- | C] () -- C:\Users\Baphomet\defogger_reenable
[2013.03.25 07:57:24 | 000,050,477 | ---- | C] () -- C:\Users\Baphomet\Desktop\Defogger.exe
[2013.03.25 07:49:08 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.25 07:45:00 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.03.25 07:45:00 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.03.25 07:45:00 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.03.25 07:45:00 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.03.25 07:45:00 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.03.25 07:42:19 | 000,007,614 | ---- | C] () -- C:\Users\Baphomet\AppData\Local\Resmon.ResmonCfg
[2013.03.25 07:37:30 | 003,536,817 | ---- | C] () -- C:\Windows\SysNative\nvcoproc.bin
[2013.03.25 07:35:11 | 000,215,092 | ---- | C] () -- C:\Users\Baphomet\Desktop\win_k57_x64-15.4.0.9.zip
[2013.03.25 07:27:50 | 000,001,405 | ---- | C] () -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
[2013.03.25 07:27:49 | 000,001,439 | ---- | C] () -- C:\Users\Baphomet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2013.03.25 07:24:56 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
[2013.03.25 07:24:56 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
[2013.03.25 07:23:14 | 2057,801,727 | -HS- | C] () -- C:\hiberfil.sys
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2009.07.14 02:41:54 | 014,161,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2009.07.14 02:16:14 | 012,866,560 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.07.14 02:15:20 | 000,605,696 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
 
========== LOP Check ==========
 
 
========== Purity Check ==========
 
 

< End of report >
         

Code:
ATTFilter
OTL Extras logfile created on: 25.03.2013 08:32:39 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Baphomet\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
7,89 Gb Total Physical Memory | 5,98 Gb Available Physical Memory | 75,81% Memory free
15,78 Gb Paging File | 13,78 Gb Available in Paging File | 87,33% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 238,37 Gb Total Space | 214,25 Gb Free Space | 89,88% Space Free | Partition Type: NTFS
 
Computer Name: HELLGATE | User Name: Baphomet | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan | Include 64bit Scans
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 306.97
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.10.8
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{C91DCB72-F5BB-410D-A91A-314F5D1B4284}" = Broadcom NetLink Controller
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
 
========== Last 20 Event Log Errors ==========
 
[ System Events ]
Error - 25.03.2013 02:38:37 | Computer Name = Hellgate | Source = Microsoft-Windows-WindowsUpdateClient | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070103 fehlgeschlagen: nVidia - Graphics Adapter WDDM1.1, Graphics Adapter
 WDDM1.2, Other hardware - NVIDIA GeForce GTX 470
 
Error - 25.03.2013 02:45:56 | Computer Name = Hellgate | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
Error - 25.03.2013 02:46:34 | Computer Name = Hellgate | Source = Service Control Manager | ID = 7030
Description = Der Dienst "PEVSystemStart" ist als interaktiver Dienst gekennzeichnet.
 Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
 sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
 
 
< End of report >
         

Urgh, ich wollte eben den GEMA Log anhängen aber das findet schon wieder soviel das es dabei abstürzt / geschlossen wird....

Ach ja, mein Ziel ist es alles wegzubekommen :P Aber die Datein auf de ext. am ende wieder auf den PC zu ziehen. Ich habe aber die befürchtung das diese genauso verseucht wurde, aber dazu später

#Update
Ich würde ja meine Post editieren, aber irgendwie geht das nicht mehr oO

Wie soll ich den GEMR scan result hochladen wenn ich keine .txt über 100kb anhängen kann? Habe es im abgesicherten modus nochmal laufen lassen und wieder von der SSD nachdem ich die HDD's nun mal abgeschlossen habe + neue MBR etc, trotzdem ist das "Ding" immer noch da...


Hier mal ein Screenshot von was ich meine:


Ich würde auch über Teamviewer oder so mit jemanden der mir helfen kann arbeiten.

Ich bin echt am verzweifeln
Ich brauche langsam auch mal wieder einen Virenfreien PC ...

Bitte helft mir wie ich mein Sys komplett platt machen kann damit das mist ding dabei auch drauf geht
Eine Linux Live CD kann ich leider nur an diesem Viren ding hier erstellen wenn schon, aber ob das was bringt weiss ich nicht.

Ich gebe hier echt nun auf und werde das ganze weiter über mein Smartphone verfolgen und hoffe das mir jemand bitte hilft

Ich habe nun mal noch ComboFix laufen lassen, vllt hilfts euch mein Problem besser zu identifizieren.

Code:
ATTFilter
ComboFix 13-03-24.03 - test 25.03.2013  13:29:09.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.8078.6847 [GMT 1:00]
ausgeführt von:: c:\users\test\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-25 bis 2013-03-25  ))))))))))))))))))))))))))))))
.
.
2013-03-25 12:30 . 2013-03-25 12:30	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-03-25 11:57 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2013-03-25 11:57 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2013-03-25 11:57 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2013-03-25 11:57 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2013-03-25 11:57 . 2012-06-02 14:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2013-03-25 11:57 . 2012-06-02 14:15	36864	----a-w-	c:\windows\system32\wuapp.exe
2013-03-25 10:55 . 2013-03-25 10:55	--------	d-----w-	c:\program files\Broadcom
2013-03-25 10:42 . 2013-03-25 10:42	--------	d-----w-	c:\program files (x86)\Common Files\Symantec Shared
2013-03-25 10:37 . 2013-03-25 11:01	--------	d-----w-	c:\program files\Symantec
2013-03-25 10:37 . 2013-03-25 11:01	175736	----a-w-	c:\windows\system32\drivers\SYMEVENT64x86.SYS
2013-03-25 10:37 . 2013-03-25 10:37	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2013-03-25 10:37 . 2013-03-25 11:05	--------	d-----w-	c:\windows\system32\drivers\NISx64
2013-03-25 10:37 . 2013-03-25 11:12	--------	d-----w-	c:\programdata\Norton
2013-03-25 10:37 . 2013-03-25 10:37	--------	d-----w-	c:\program files (x86)\Norton Internet Security
2013-03-25 10:37 . 2013-03-25 10:55	--------	d-sh--w-	c:\windows\Installer
2013-03-25 10:36 . 2013-03-25 10:36	--------	d-----w-	c:\program files (x86)\NortonInstaller
2013-03-25 10:31 . 2013-03-25 10:34	--------	d-----w-	c:\windows\Panther
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1309010.00E\SYMDS64.SYS [2011-07-25 451192]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1309010.00E\SYMEFA64.SYS [2012-05-22 1129120]
S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.0.28\Definitions\BASHDefs\20130301.001\BHDrvx64.sys [2013-03-01 1388120]
S1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\NISx64\1309010.00E\ccSetx64.sys [2012-06-07 167072]
S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.1.0.28\Definitions\IPSDefs\20130322.001\IDSvia64.sys [2013-03-22 513184]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1309010.00E\Ironx64.SYS [2012-04-18 190072]
S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\NISx64\1309010.00E\SYMNETS.SYS [2012-04-18 405624]
S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\19.9.1.14\ccSvcHst.exe [2012-06-16 138272]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2013-03-25 138912]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2011-05-09 425000]
.
.
.
--------- X64 Entries -----------
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: DhcpNameServer = 192.168.178.1
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]
"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\19.9.1.14\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\19.9.1.14\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-03-25  13:31:24
ComboFix-quarantined-files.txt  2013-03-25 12:31
.
Vor Suchlauf: 6 Verzeichnis(se), 232.070.451.200 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 231.963.934.720 Bytes frei
.
- - End Of File - - BD2FA7667980C410EF5462C3BF05C20C
         
Ach, und was ich auch noch sagen kann ist das es wohl doch nicht an der SSD liegt, da selbieges Problem auch bestand als ich es mit einer einzelnen HDD ohne angeschlossene SSD versucht habe. Auch hier wieder vorher neue MBR dieses mal auch mit Bootsec /nt60 all /mbr + boot... habs vergessen ^^ /FixMbr jedenfalls.

Also rein theoretisch kann sich der Schädling nur ins Bios geschrieben haben oder? Aber ich wüsste nun nicht wie ich das Prüfen geschweigeden beseitigen könnte, auser einen Hardreset? Aber selbst dann was wenn er im ROM sitzt?

Die Dell DVD scheint auch nicht der Träger zu sein da ich es auch mit einer anderen Versucht habe mit selbigen ergebnis. In diesem hatte ich auch das SP 1 gleich mit in die Installation geschrieben.

Evtl bin ich ja auch Opfer einens Hardware / Firmware Viruses geworden? Wobei ich keine neuen Geräte oder irgendwelche Firmware Updates in letzter zeit vorgenommen habe und ich doch eher nicht daran glaube, aber eben doch langsam verzweifel

Ich habe auch mal einen der anderen Rechner bzw Laptops eingeschalltet und diesen ans Netz gehängt und sobald diese geschah tauchte natürlich auch wieder "-" auf...
Dieser hat aber ein komplett anderes Bios und von daher glaube ich auch nicht mehr an die Bios theory, was ja schon mal ein kleiner Lichtblick ist.

So aber das war nun echt alles was ich noch sagen kann auser vllt meine vorgehensweise:

PC über Win DVD Booten -> Repair Console -> neuen MBR schreiben -> Win7 installieren -> Treiber CD von ASRock (original) rein um LAN Treiber zu installieren

So, nun sobald ich das Netzwerk Kabel einstecke kommt svchost.exe raus um eben Time, Updates, etc zu suchen, ist ja auch ok kenn man ja. Aber eben dieses miese kleine "-" ist auch immer wieder mit von der Partie.

Egal was ich mache, auch wenn ich wirklich nur Win Updates für SP1 etc IN Win 7 direkt (unter Systemsteuerung) durchführe habe ich gleich wieder Fullhouse hier...
Im Netzwerk befindet sich wie schon gesagt kein weitere PC derzeit.

Ich hatte noch die vermutung das mein Handy (über Wlan verbunden mit dem Netzwerk, aber auch nur wenn ich Wlan an der Fritz.Box per Taster wieder einschallte, derzeit deaktiviert) irgendwie hier als Trojaner schleuder dient. Aber da er auch wieder kommt wenn es nicht im Wlan hängt scheidet dieses wohl auch als ur-ur-ursprung aus, vllt gibt es so etwas auch (noch) nicht, wer weiss.


So ich will nun echt nicht mehr hier vor diesem Ding sitzen und mich ärgern
Daher werde ich mich nun versuchen zu entspannen und schau wie schon gesagt über mein Smartphone rein und hoffe das mir jemand helfen kann, ich bin echt ratlos

Geändert von KiRa69 (25.03.2013 um 08:50 Uhr)

Alt 04.04.2013, 09:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen - Standard

Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen



Hier gehts weiter => http://www.trojaner-board.de/132969-...-experten.html
__________________

__________________

Antwort

Themen zu Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen
autorun, error, explorer, firefox, geforce, home, iexplore.exe, install.exe, live cd, logfile, monitor, netstat, nodrives, nvidia, programme, prozess, registry, rundll, scan, schädling, security, smartphone, software, system, tcp, trojan, updates, virus, windows




Ähnliche Themen: Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen


  1. PC friert ohne Fehlermeldung komplett ein oder startet nicht
    Alles rund um Windows - 22.05.2015 (4)
  2. duckduckgo versucht zu entfernen aber ohne Erfolg!
    Log-Analyse und Auswertung - 03.01.2015 (29)
  3. GVU Trojaner Windows XP - abgesicherter Modus nicht möglich - windowsunlocker ohne Erfolg
    Log-Analyse und Auswertung - 01.11.2013 (26)
  4. GVU Trojaner Windows XP - abgesicherter Modus nicht moeglich - windowsunlocker ohne Erfolg
    Log-Analyse und Auswertung - 14.10.2013 (5)
  5. Trojan mit Kaspersky und Avira ohne Erfolg bekämpft Windows7
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (44)
  6. 2x |Nach Neuaufsetzen von Win7 Updates werden nicht installiert
    Mülltonne - 02.06.2013 (0)
  7. GVU Trojaner mit Einschalten der Webcam; Kaspersky WindowsUnlocker ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 19.01.2013 (14)
  8. GVU-Trojaner, Anleitung zur Entfernung ohne Erfolg, OTL?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (7)
  9. BKA-Trojaner und Rescue-CD ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (1)
  10. AV Security Alert – mehrfach bekämpft, ohne erfolg
    Plagegeister aller Art und deren Bekämpfung - 22.07.2010 (10)
  11. AV findet mehrere Viren/Trojaner, entfernung ohne Erfolg
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (16)
  12. schädling lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 14.03.2010 (0)
  13. von Schädling befallen?
    Log-Analyse und Auswertung - 05.08.2009 (1)
  14. bitte um hilfe alles versucht ohne erfolg
    Log-Analyse und Auswertung - 01.04.2009 (24)
  15. Rootkit laut Gmer, HJT ohne Erfolg? delete klappt nicht:(
    Mülltonne - 13.11.2008 (0)
  16. Trojaner Bekämpfung ohne Erfolg
    Log-Analyse und Auswertung - 06.09.2008 (13)
  17. Kann Smitfraud-C. nicht komplett löschen
    Log-Analyse und Auswertung - 16.08.2005 (7)

Zum Thema Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen - Hallo liebes Board und Helfer, ich habe mir nun hier einen Acc erstellt weil ich mit meinem Latein echt am ende bin. Kurz zu mir, ich bin eigentlich recht fit - Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen...
Archiv
Du betrachtest: Schädling auf SSD / komplett löschen - neuaufsetzen von Win7 ohne erfolg / MBR NICHT befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.