Auch mit System Care Antivirus infiziert

Polsterer · 10.06.2013, 12:19

neue Meldung

dieser PC verfügt nicht über die Microsoft-Wiederherstellungskonsole

Aufforderung um mit combofix die Wieder´herstellungskonsole herunterzulsden.

Ja Nein

markusg · 10.06.2013, 12:33

ja klicken.

Polsterer · 10.06.2013, 12:47

hi,
habe keine combofix.txt datei
auf c: ist zwar combofix zeigt die an diesem computer angschlossenen laufwerke und hardware an

gruß
markus

markusg · 10.06.2013, 14:28

lief das programm bis zum ende durch? dann müsste das Log automatisch geöffnet worden sein.
wenn nicht, noch mal laufen lassen.

Polsterer · 10.06.2013, 15:24

Hallo,
also das Programm lief bis irgendwas mit 50.
Dann wurde der Computer heruntergefahren mit folgender Meldung blauer Bildschirm

Problem festgestellt BAD_POOL_Header

Stop: 0x00000019

Speicherabbild des physischen Speichers wird erstellt.

Dann ist er neu gestartet ohne Datei
Gruß
Markus

markusg · 10.06.2013, 18:12

hi
starte mal neu, drücke f8 wähle abgesicherter Modus.
melde dich in deinem Konto an, führe Combofix erneut aus, wenn das Log dann erstellt wurde, bzw bei Problemen, wieder in den normalen Modus, Log bzw Problem posten.

Polsterer · 10.06.2013, 21:54

Hallo,
hat funktioniert hier die Log Datei:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-06-08.02 - Markus 10.06.2013  22:25:54.4.1 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1279.995 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Markus.FLO\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100331-2] *Enabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\GetPack
c:\programme\GetPack\dictame.gz
c:\programme\GetPack\GetPack25.exe
c:\programme\GetPack\trgtame.gz
c:\programme\iCheck
c:\programme\iCheck\Uninstall.exe
c:\programme\winupdates
c:\programme\winupdates\a.zip
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\setup.exe
c:\windows\system32\bszip.dll
c:\windows\system32\cmd.com
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\Hook.dll
c:\windows\system32\netstat.com
c:\windows\system32\nvs2.inf
c:\windows\system32\Optix_ScreenCapS.dll
c:\windows\system32\ping.com
c:\windows\system32\prunnet.exe
c:\windows\system32\PwS.dll
c:\windows\system32\regedit.com
c:\windows\system32\taskkill.com
c:\windows\system32\tasklist.com
c:\windows\system32\tracert.com
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-05-10 bis 2013-06-10  ))))))))))))))))))))))))))))))
.
.
2013-06-10 11:11 . 2013-06-10 11:11	--------	d--h--w-	c:\dokumente und einstellungen\Markus.FLO\Druckumgebung
2013-06-10 06:28 . 2013-06-10 10:58	0	--sh--w-	c:\windows\S6688AF0D.tmp
2013-06-10 06:19 . 2013-06-10 06:38	--------	d-----w-	C:\_OTL
2013-06-04 09:38 . 2013-06-04 09:38	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-04 09:38 . 2011-12-23 14:42	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2007-9-1 126976]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^IVANHOE^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CursorXP
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchosts_sn
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tuloxFreeWBE
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Twain
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37	932288	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 06:58	40368	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
2008-09-26 09:02	2356088	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2007-12-21 12:34	1649600	-c--a-w-	c:\programme\SlySoft\AnyDVD\AnyDVD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
2012-05-08 09:49	102400	----a-w-	c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
2001-12-06 12:09	45056	-c--a-w-	c:\programme\Elaborate Bytes\CloneCD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
2004-08-22 15:05	81920	-c--a-w-	c:\programme\D-Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-09-05 17:14	69632	----a-w-	c:\windows\Dit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
2003-09-20 19:23	45056	-c--a-w-	c:\programme\SlySoft\AnyDVD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24	54840	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2007-08-22 15:31	80896	----a-w-	c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2006-04-25 10:49	535040	----a-w-	c:\programme\Nero\Nero 7\InCD\InCD.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 08:11	339312	----a-w-	c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40	155648	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-06-01 15:22	7618560	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2006-06-01 15:22	86016	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-06-01 15:22	1519616	----a-w-	c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18	413696	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 17:42	32768	-c--a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Saitek Gaming mouse]
2005-05-12 19:41	249856	-c--a-w-	c:\programme\Gaming\GamingMouse\Panel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSIMSVC"=2 (0x2)
"PREVSRV"=2 (0x2)
"PAVSRV"=2 (0x2)
"PavProt"=2 (0x2)
"Pavkre"=2 (0x2)
"PAVFNSVR"=2 (0x2)
"PAVFIRES"=2 (0x2)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"TapiSrv"=3 (0x3)
"PavPrSrv"=2 (0x2)
"MZCCntrl"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"InCDsrv"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
"hpqcxs08"=3 (0x3)
"SCardSvr"=2 (0x2)
"lanmanserver"=2 (0x2)
"RSVP"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"Pml Driver HPZ12"=2 (0x2)
"LightScribeService"=2 (0x2)
"ImapiService"=3 (0x3)
"Apple Mobile Device"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users.WINDOWS\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqfxt08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R3 SaiM27G Filter;SaiM27G Filter;c:\windows\system32\drivers\SaiM27G.sys [12.01.2006 16:25 24960]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [02.04.2008 18:26 114768]
S1 ShldDrv;Panda File Shield Driver; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02.04.2008 18:26 20560]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [08.05.2012 10:33 233472]
S3 auusb;Auerswald ISDN USB Driver;c:\windows\system32\drivers\auusb.sys [20.07.2012 12:15 158640]
S3 cxbu0wdm;SmartBoard XX44;c:\windows\system32\drivers\cxbu0wdm.sys [25.01.2010 14:56 115712]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [08.05.2012 10:33 36608]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [01.09.2007 12:30 17280]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [11.01.2008 21:20 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [11.01.2008 21:23 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [11.01.2008 21:23 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [11.01.2008 21:24 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [11.01.2008 21:24 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [11.01.2008 21:24 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [11.01.2008 21:24 97704]
S3 SaiHA501;SaiHA501;c:\windows\system32\drivers\SaiHA501.sys [03.11.2005 11:52 176640]
S3 SaiLA501;SaiLA501;c:\windows\system32\drivers\SaiLA501.sys [03.11.2005 11:52 14976]
S3 SaiUA501;SaiUA501;c:\windows\system32\drivers\SaiUA501.sys [03.11.2005 11:52 27264]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [28.05.2006 02:30 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [28.05.2006 02:30 5248]
S4 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [01.09.2007 12:30 61440]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26.01.2006 19:20 664064]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Markus.FLO\Anwendungsdaten\Mozilla\Firefox\Profiles\zo9h5u7b.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-GetPack25 - c:\programme\GetPack\GetPack25.exe
MSConfigStartUp-Infium - c:\programme\QIP Infium\infium.exe
AddRemove-Controlling - c:\programme\BMWi\BMWi Updater\ExUpdate.exe
AddRemove-KostenLeistungsRechnung - c:\programme\BMWi\BMWi Updater\ExUpdate.exe
AddRemove-Speedpasch_1.0 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-06-10 22:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-06-10  22:45:32
ComboFix-quarantined-files.txt  2013-06-10 20:45
.
Vor Suchlauf: 18 Verzeichnis(se), 55.885.869.056 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 55.824.412.672 Bytes frei
.
- - End Of File - - E05F7516781B0438AC8150B9692F7DE3

--- --- ---
72B8CE41AF0DE751C946802B3ED844B4
[/TABLE]

ist das so mit dem Code richtig gewesen?

Gruß
Markus

markusg · 10.06.2013, 22:46

Hi,

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Polsterer · 11.06.2013, 13:23

Hallo,
finde die Datei nicht mehr.
Computer sollte neu gestartet werden und dann ist sie weg.

Wo kann ich suchen?

markusg · 11.06.2013, 13:25

steht eigendlich ganz unten in der Anleitung
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

also malwarebytes öffnen, logdateien.

Polsterer · 11.06.2013, 13:32

da sind keine logdateien

markusg · 11.06.2013, 13:33

dann lass es noch mal laufen

Polsterer · 11.06.2013, 13:35

ok das dauert dann etwas erster versuch hat 5 Stunden benötigt und 8 oder 9 Fehler gefunden die dann wie beschrieben mit Häkchen versehen entfernt wurden

markusg · 11.06.2013, 13:37

ok dann guck in Malwarebytes quarantäne sag mir bitte was drinn ist

Polsterer · 11.06.2013, 13:41

ist das der Ordner chameleon

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.06.11.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Markus :: VB [Administrator]

Schutz: Aktiviert

11.06.2013 09:01:10
mbam-log-2013-06-11 (09-01-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 564684
Laufzeit: 4 Stunde(n), 50 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 2
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\gadcom (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\Twain (Trojan.Matcash) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 10
C:\Qoobox\Quarantine\C\Programme\winupdates\a.zip.vir (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bszip.dll.vir (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Qoobox\Quarantine\C\WINDOWS\system32\prunnet.exe.vir (Trojan.Downloader) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\IVANHOE\Anwendungsdaten\27792328.tmp (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1338\A0262670.exe (Trojan.FavLock.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1339\A0265818.exe (Trojan.Downloader) -> Löschen bei Neustart.
C:\System Volume Information\_restore{015716B4-6BED-4B44-B14E-62EFAAF1A70E}\RP1339\A0265810.dll (Worm.P2P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{A02178B3-C383-4299-A05F-5FEB14D3699B}\RP94\A0059218.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Web\stSt_5.6_v2_FirstC_avb.exe (Spyware.Zbot.USBV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2013/06/11 08:45:10 +0200 VB Markus MESSAGE Starting protection
2013/06/11 08:45:11 +0200 VB Markus MESSAGE Protection started successfully
2013/06/11 08:45:11 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 08:53:19 +0200 VB Markus MESSAGE IP Protection started successfully
2013/06/11 08:53:21 +0200 VB Markus MESSAGE Starting database refresh
2013/06/11 08:53:21 +0200 VB Markus MESSAGE Stopping IP protection
2013/06/11 08:53:23 +0200 VB Markus MESSAGE IP Protection stopped successfully
2013/06/11 08:53:50 +0200 VB Markus MESSAGE Database refreshed successfully
2013/06/11 08:53:50 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 08:54:39 +0200 VB Markus MESSAGE IP Protection started successfully
2013/06/11 08:54:46 +0200 VB Markus MESSAGE Executing scheduled update: Daily
2013/06/11 08:55:40 +0200 VB Markus MESSAGE Database already up-to-date
2013/06/11 13:58:35 +0200 VB Markus MESSAGE Starting protection
2013/06/11 13:58:35 +0200 VB Markus MESSAGE Protection started successfully
2013/06/11 13:58:36 +0200 VB Markus MESSAGE Starting IP protection
2013/06/11 13:59:31 +0200 VB Markus MESSAGE IP Protection started successfully

10.06.2013, 12:33	#17
markusg /// Malware-holic	Auch mit System Care Antivirus infiziert ja klicken. __________________ __________________

10.06.2013, 18:12	#21
markusg /// Malware-holic	Auch mit System Care Antivirus infiziert hi starte mal neu, drücke f8 wähle abgesicherter Modus. melde dich in deinem Konto an, führe Combofix erneut aus, wenn das Log dann erstellt wurde, bzw bei Problemen, wieder in den normalen Modus, Log bzw Problem posten. __________________ --> Auch mit System Care Antivirus infiziert

11.06.2013, 13:33	#27
markusg /// Malware-holic	Auch mit System Care Antivirus infiziert dann lass es noch mal laufen __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Auch mit System Care Antivirus infiziert

Log-Analyse und Auswertung: Auch mit System Care Antivirus infiziert