Antispy Soft Virus eingefangen-Kann nichts mehr löschen-Systemwiederherstellung aus

Hundskrippl · 19.05.2010, 23:55

Hallöchen zusammen,

Ich hoffe sehr, ich bin hier richtig. Es gibt bereits einen Thread zu diesem Problem, der jedoch schon etwas älter ist und ich weiß nicht, ob ich dort posten kann/darf/soll. Falls ich falsch bin, verschiebt mich einfach, ja? Danke

Folgendes ist auf meinem Rechner (mit WinXP) heute passiert.

Ich war harmlos am Surfen (ein großes Internet-Auktionshaus und die Post), als plötzlich Avira (Version 10) mehrere Trojaner-Angriffe nacheinander meldete. Ich habe brav auf "Zugriff verweigern"/"In Quarantäne schieben" geklickt.

Gleichzeitig ging ebenfalls rechts unten ein im Windows-Stil gehaltenes Kästchen auf, das mich auch vor einem solchen Angriff - in Englisch - warnte. Da ich einige englische Antispy-Produkte installiert habe, wußte ich im ersten Moment nicht, ob das was von mir ist oder nicht und hab, auch dank des Windows-Styles, treuherzig hingeklickt....womit das Malheut losging.

Antispy Soft, so das Ding, ließ mich Avira nicht mehr ausführen, ließ mich nicht mehr in die Softwareliste der Systemsteuerung und nervte permanent mit Fehlermeldungen.

Ich hab einen Neustart gemacht, hat nix geholfen. Etwas informieren im Internet hat mich auf die Spur gebracht, und ich hab (seit heut nachmittag um vier) folgende Schritte ausgeführt:

* Den Virus im Systemstart deaktiviert, damit ich nicht dauernd Meldungen krieg und empfohlene Programme laufen lassen kann. (Start > Ausführen > "msconfig -6" (ohne "") eintippen und OK drücken* > Registerkarte "Systemstart" > Dort war dann eine mir unbekannte Datei unter "C:\Dokumente und Einstellungen\Mein Name\Lokale Einstellungen\Anwendungsdaten\vckqinquea\jlfhqyytssd.exe", die mir so nichts sagte. Google sagte mir, dass diese tssd.exe-Dinger die Porgramme sind, die die Fehlermeldungen schreiben?).

* Einen Komplettscan mit Malwarebytes gemacht, der 64 infizierte Objekte lieferte. --> "Löschen", einige konnten nicht gelöscht werden.

Dann bin ich wie in diesem Thread von euch beschrieben vorgegangen.

* PC im abgesicherten Modus mit Netzwerktreibern gestartet, rkill laufen lassen und die Einstellungen unter "Lan-Einstellungen" geändert.

* Noch im abgesicherten Modus noch einen Malwarebytes-Scan gemacht, der dann 0 Dateien lieferte. Diese gelöscht.

* PC neu gestartet, nochmal rkill, dann Scan mit Malwarebytes und Avira im Expertenmodus (wie von euch hier beschrieben.

* Avira lieferte 0, MBAM 1 infizierte Datei. Diese gelöscht.

* Abschließend CClean laufen lassen bis keine Fehler mehr auftraten.

So, ich poste anschließend gleich die Logs und ich würde mich freuen, wenn jemand drüberschauen kann, ob ich noch irgendwas machen kann/soll oder ob jetzt alles im grünen Bereich ist.

Folgende Probleme hab ich jetzt allerdings noch:

1) Ich kann aus "Eigene Dateien" oder sonst meinen Ordnern nichts löschen. Weder mit ENTF noch mit Rechtsklick > Löschen. Beim zweiten komme ich manchmal wenigstens bis zur Bestätigung, dass ich Löschen möchte, aber dann hängt sich alles auf und ich muss Eigene Dateien über den Taskmanager beenden. Die Datei ist dann zwar gelöscht, aber das ist mega-umständlich

Kann das damit zusammenhängen, dass ich in der msconfig etliches unter "Systemstart" deaktiviert habe? Einmal kam auch folgende Fehlermeldung, vielleicht hilft die jemandem was?

Manchmal meldet sich auch ein Kasten zu Wort, dass die "Datenausführungsverhinderung" das Löschen von Dateien verhindern will. Wenn dieses Tool anspringt - dann ist da doch noch irgendwo was faul, oder?

2) Die Systemwiederherstellung ist "Aufgrund einer Gruppenrichtlinie deaktiviert" und ich soll mich an den "Domänenadministrator" wenden um sie wieder zu aktivieren.
ICH hab sie nicht deaktiviert, ich wollte das machen, weil es geheißen hatte, soll man...da der Virus da eventuell mitgespeichert wird und dann irgendwann wieder drauf kommt. Ist ja gut, dass sie aus war, aber jetzt hätt ich sie gern wieder, ich habe nur keinen "Domänenadministrator"

Mir hat irgendwer den ganzen Kram irgendwann mal eingerichtet und seither muss ich mich selber damit herumschlagen. Ahnung hab ich eigentlich auch keine...also wie krieg ich, bitte, meine Systemwiederherstellung wieder?

3) Jene oben genannte potentielle Viren-Datei vckqinquea\jlfhqyytssd.exe ist laut Windows-Suche immer noch da und ist auch in der msconfig noch drin, wo ich sie tunlichst ausgeschalten lassen werde. Kann ich diesen Ordner manuell löschen? Oder ist das doch ein wichtiges Systemprogramm? Kann die Deaktivierung im MS-Config mit meinem Lösch-Problem zusammenhängen?

4) Ab und zu, ganz selten, öffnet der IE plötzlich und unvermittelt ein Fenster, dessen Inhalt dann aber nicht angezeigt werden kann.

Paßwörter habe ich heute nachmittag schon von einem anderen Rechner aus alle geändert, und werde es nachher gleich nochmal tun. Ich möchte nur gerne wissen, ob jetzt alles okay ist....

Hundskrippl · 20.05.2010, 00:54

So, und nachdem ich jetzt irgendein seltsames Problem beim Editieren habe, das mir Problem 2-4 aus obigem Beiträg gelöscht und auch die anderen Logs außer HijackThis nicht anzeigt, muss ich das leider auf 4 Beiträge machen....keine Ahnung was los ist...ich füge alle Codes korrekt ein und es zeigt nur immer den einen an....

Also nochmal....

HiJack

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:58, on 20.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\Programme\Razer\Krait\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Catrin\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\Hewlett-Packard\HP UT\bin\hppusg.exe" "C:\Programme\Hewlett-Packard\HP UT"
O4 - HKLM\..\Run: [PrnStatusMX] C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - hxxp://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE0B3AC1-184F-4A84-9B7B-64D1DDF8D31A}: NameServer = 194.25.2.129
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 7965 bytes

[/CODE]

Hundskrippl · 20.05.2010, 00:55

MBAM

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4118

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.05.2010 23:43:49
mbam-log-2010-05-19 (23-43-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 237075
Laufzeit: 2 Stunde(n), 2 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\Oqz.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Hundskrippl · 20.05.2010, 00:59

Und noch

rkill

Code:

ATTFilter

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Musterfrau on 19.05.2010 at 21:28:15. 


Processes terminated by Rkill or while it was running: 


C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\rkill.com


Rkill completed on 19.05.2010  at 21:28:28.

Es tut mir total leid, dass ich hier alles zuspammen muss und jetzt mein Problem in diesem Thread ganz unten steht und die Codes oben. Ich weiß nicht, was los ist. Ich hatte alle 4 Codes korrekt in meinem ursprünglichen Beitrag; wollte dann noch ein Problem hineineditieren, und da hat es mir meinen ganzen Text ab 2) abgeschnitten und nur den einen Code angezeigt, obwohl ich alles korrekt eingegeben hatte

Ist etwa der Scheiß-Virus wieder am Werk???

Naja, ich wär jedenfalls sehr verbunden wenn mir jemand (weiter) helfen kann - besonders mit dem Löschproblem, da das echt nervig ist, es müsste jede Menge Müll von der FP.

Ich bedank mich schonmal im Voraus, auch für die bisher hier schon in Form von Anleitungen geleistete Hilfe und wünsch euch noch ne gute Nacht

-Vera

Hundskrippl · 20.05.2010, 14:48

Hallo!

Ich nochmal. Ich hab nun auch den von euch in den anderen Antispyware-Soft-Threads empfohlenen Scan mit OTL gemacht. Hier die Logs:

(Ich weiß nicht, warum das mit den Code-Tags nicht mehr klappt. Es ist nicht meine Schuld, es ist alles korrekt eingegeben, aber als ich es posten wollte, kam bei dem Beitrag MIT den Codes ständig "Netzwerkverbindung unterbrochen" (obwohl die Verbindung aktiv war). Erst als ich die Codes rausgenommen, den Beitrag ohne abgeschickt und hinterher die Codes reineditiert habe, ging es, sieht aber jetzt eben so aus. Keine Ahnung...irgendwie habe ich extreme Schwierigkeiten, hier zu posten....)

Kann mir bitte jemand helfen? Ich kann immer noch nichts löschen, und ich habe die Befürchtung, der Virus treibt hier immer noch sein Unwesen.... :heul:

Hundskrippl · 20.05.2010, 15:07

Code:

ATTFilter

OTL logfile created on: 20.05.2010 15:39:41 - Run 1
OTL by OldTimer - Version 3.2.5.0     Folder = C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 459,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 274,51 Gb Free Space | 92,09% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: Musterfrau
Current User Name: Musterfrau
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Windows Live\Contacts\wlcomm.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe (Marvell Semiconductor, Inc.)
PRC - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe (Lavasoft AB)
PRC - C:\WINDOWS\system32\PSIService.exe ()
PRC - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe ()
PRC - C:\APPS\Softex\OmniPass\OPXPApp.exe ()
PRC - C:\APPS\Softex\OmniPass\OmniServ.exe (Softex Inc.)
PRC - C:\Programme\Razer\Krait\razerhid.exe ()
PRC - C:\Programme\Razer\Krait\razerofa.exe (Razer Inc.)
PRC - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe (America Online, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (aawservice) -- C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe (Lavasoft AB)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (CLSched) CyberLink Task Scheduler (CTS) -- c:\APPS\Powercinema\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe ()
SRV - (CyberLink Media Library Service) -- c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink)
SRV - (omniserv) -- C:\APPS\Softex\OmniPass\OmniServ.exe (Softex Inc.)
SRV - (USBDeviceService) -- C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe ()
SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (AOL ACS) -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe (America Online, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (Changer) -- C:\WINDOWS\system32\drivers\changer.sys (Microsoft Corporation)
DRV - (lbrtfdc) -- C:\WINDOWS\system32\drivers\lbrtfdc.sys (Toshiba Corp.)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (ASCTRM) -- C:\WINDOWS\system32\drivers\asctrm.sys (Windows (R) 2000 DDK provider)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (ViaIde) -- C:\WINDOWS\system32\DRIVERS\viaidexp.sys (VIA Technologies, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (krait03) -- C:\WINDOWS\system32\drivers\krait.sys (Razer (Asia-Pacific) Pte Ltd)
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\system32\drivers\wanatw4.sys (America Online, Inc.)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = h*tp://w*w.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://w*w.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = h*tp://w*w.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.ebay.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = h*tp://w*w.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = h*tp=127.0.0.1:5555
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "h*tp://w*w.ebay.de"
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.12.28 03:10:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.17 22:44:52 | 000,000,000 | ---D | M]
 
[2008.08.14 23:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Extensions
[2010.05.19 20:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ji5621dn.default\extensions
[2009.12.03 02:47:24 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\Mozilla\Firefox\Profiles\ji5621dn.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2008.08.14 23:42:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.12.28 03:10:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.12.28 03:10:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.12.28 03:10:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.12.28 03:10:38 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.12.28 03:10:38 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2007.03.16 20:20:36 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HPUsageTracking] C:\Programme\Hewlett-Packard\HP UT\bin\hppusg.exe ()
O4 - HKLM..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PrnStatusMX] C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe (Marvell Semiconductor, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll (Sun Microsystems, Inc.)
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} h*tp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.8.cab (DLM Control)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} h*tp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab (EPUImageControl Class)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} h*tp://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab (MSN Photo Upload Tool)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} h*tp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} h*tp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} h*tp://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} h*tp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Java Plug-in 1.5.0_10)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Java Plug-in 1.5.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h*tp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O18 - Protocol\Handler\h*tp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h*tp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h*tps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\h*tps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\OPXPGina: DllName - C:\Apps\Softex\OmniPass\opxpgina.dll - C:\APPS\Softex\OmniPass\OPXPGina.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.20 15:37:38 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\OTL.exe
[2010.05.20 00:07:53 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\HiJackThis.exe
[2010.05.20 00:00:23 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Musterfrau\Recent
[2010.05.19 23:55:00 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.05.19 21:20:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.05.19 19:38:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.05.19 18:53:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\Malwarebytes
[2010.05.19 18:53:02 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.19 18:52:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.19 18:52:58 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.19 18:52:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.05.19 16:00:12 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys
[2010.05.19 16:00:12 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\dllcache\lbrtfdc.sys
[2010.05.19 15:54:17 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\changer.sys
[2010.05.19 15:54:17 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys
[2010.05.19 15:52:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\vckqinqea
[2010.05.02 17:17:05 | 000,000,000 | ---D | C] -- C:\Programme\MSECache
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.20 15:37:39 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\OTL.exe
[2010.05.20 15:27:38 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.20 15:27:09 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.20 15:27:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.20 15:27:01 | 1072,156,672 | -HS- | M] () -- C:\hiberfil.sys
[2010.05.20 03:17:44 | 013,893,632 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\ntuser.dat
[2010.05.20 03:17:44 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\ntuser.ini
[2010.05.20 01:48:36 | 000,052,224 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Hallöchen zusammen.doc
[2010.05.20 01:10:16 | 000,001,070 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.20 01:10:16 | 000,000,293 | RHS- | M] () -- C:\BOOT.INI
[2010.05.20 01:10:16 | 000,000,243 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.20 00:07:54 | 000,401,720 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\HiJackThis.exe
[2010.05.19 23:50:51 | 000,073,119 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\fehlermeldung.jpg
[2010.05.19 22:04:56 | 000,015,276 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\1363469_4.gif
[2010.05.19 19:05:41 | 000,218,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Remove_Fake_Antivirus.exe
[2010.05.14 00:44:36 | 000,082,257 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\STDBoFSt_1437.jpg
[2010.05.12 15:46:34 | 000,288,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Green Bag 2.jpg
[2010.05.12 15:46:12 | 000,344,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Green Bag.jpg
[2010.05.10 01:16:08 | 000,156,624 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.05.06 23:30:36 | 000,470,861 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\SB_SozPol_Sozialgesch.pdf
[2010.05.06 02:14:45 | 000,021,263 | ---- | M] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\kachel.gif
[2010.05.02 19:23:16 | 000,511,096 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.20 00:47:24 | 000,052,224 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Hallöchen zusammen.doc
[2010.05.19 23:50:50 | 000,073,119 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\fehlermeldung.jpg
[2010.05.19 22:04:53 | 000,015,276 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\1363469_4.gif
[2010.05.19 21:26:27 | 1072,156,672 | -HS- | C] () -- C:\hiberfil.sys
[2010.05.19 19:05:46 | 000,218,059 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Remove_Fake_Antivirus.exe
[2010.05.14 00:48:18 | 000,082,257 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\STDBoFSt_1437.jpg
[2010.05.12 17:32:23 | 000,344,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Green Bag.jpg
[2010.05.12 17:32:23 | 000,288,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\Green Bag 2.jpg
[2010.05.06 23:30:36 | 000,470,861 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\SB_SozPol_Sozialgesch.pdf
[2010.05.06 01:38:31 | 000,021,263 | ---- | C] () -- C:\Dokumente und Einstellungen\Musterfrau\Eigene Dateien\kachel.gif
[2009.12.03 01:29:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009.10.28 02:23:39 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.11.06 18:37:32 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.11.06 18:34:00 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.11.06 18:33:02 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.02.07 10:05:18 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\hppatusg01.dll
[2007.11.07 01:00:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.11.07 01:00:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.11.07 01:00:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.11.07 01:00:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.11.07 01:00:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007.03.06 22:39:54 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2007.03.06 22:39:54 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\1FE320EB60.sys
[2007.03.06 20:54:49 | 000,000,340 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2007.03.06 20:54:49 | 000,000,144 | ---- | C] () -- C:\WINDOWS\INDEO.INI
[2006.12.24 00:05:59 | 000,008,725 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.10.27 00:03:33 | 000,006,736 | ---- | C] () -- C:\WINDOWS\coolcust.ini
[2006.10.27 00:02:59 | 000,009,853 | ---- | C] () -- C:\WINDOWS\cool.ini
[2006.10.15 02:51:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.10.12 22:26:26 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS38.DLL
[2006.10.12 22:23:42 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.10.12 21:31:33 | 000,000,395 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2006.10.12 21:31:18 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll
[2006.10.12 21:31:02 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini
[2006.10.12 20:32:05 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\SUPPORT.INI
[2006.10.09 19:29:08 | 000,012,288 | ---- | C] () -- C:\WINDOWS\impborl.dll
[2006.09.22 22:52:09 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.09.22 22:38:21 | 000,198,144 | ---- | C] () -- C:\WINDOWS\System32\_psisdecd.dll
[2006.09.22 22:33:49 | 000,000,626 | ---- | C] () -- C:\WINDOWS\System32\SETUPPC.INI
[2006.09.22 22:29:14 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2006.09.22 22:27:15 | 000,006,921 | ---- | C] () -- C:\WINDOWS\HDReg.ini
[2006.09.22 22:14:51 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.06.06 15:44:26 | 000,006,740 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.01.12 12:23:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005.06.17 05:41:14 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2004.08.11 19:13:19 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
< End of report >

Hundskrippl · 20.05.2010, 15:31

Also. Es ist folgendes los. Ich kann weder in Mozilla noch in IE hier im Forum diese beiden OTL-Dateien als Codes ordentlich posten. Ich habe keine Ahnung wieso und ich dreh noch halb durch deswegen. Editieren der Beiträge erzeugt irgendeinen Murks, deswegen die vielen Antworten an mich selbst. Einmal probier ichs jetzt noch, und wenn das nicht geht, dann muss ich die Extras.txt halt wem auch immer der sich des Problems annimmt, per PM schicken. Tut mir echt leid, ich weiß nicht wieso ich hier so Schwierigkeiten beim Posten habe!

Das kommt, sobald ich eins der beiden Files abzuschicken versuche:

Und es stimmt aber nicht, meine Verbindung ist absolut i.O.!!

Hundskrippl · 20.05.2010, 23:23

Hurra!

Dank Anleitung nun auch gefunden, wie man etwas anhängt

Hier also noch die OTL-Files im Anhang und der letzte MBAM-Scan:

HTML-Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4120

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.05.2010 18:23:47
mbam-log-2010-05-20 (18-23-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 236660
Laufzeit: 1 Stunde(n), 48 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Beim Löschproblem bin ich allerdings noch nicht weitergekommen....

Hundskrippl · 21.05.2010, 17:40

Öhm...huhu?

Hundskrippl · 23.05.2010, 17:58

Kann mir denn gar niemand helfen?

Wenigstens anhand der Logs sagen, ob der Virus weg ist?

Für das Löschproblem muss ich mir dann einen Fachmann kommen lassen, das geht so nicht...ich kriege jeden Tag ca. 100 Dateien zugeschickt, die ich abspeichern muss...wenn ich da keine alten Sachen mehr löschen kann, ist die Festplatte bald voll

Aber gewußt hätt ich gern, ob ich riskieren kann, meinen PC wieder zu benutzen statt hier am Laptop rumzurödeln....

cosinus · 24.05.2010, 14:11

Hallo,

Zitat:

Einen Komplettscan mit Malwarebytes gemacht, der 64 infizierte Objekte lieferte. --> "Löschen", einige konnten nicht gelöscht werden.

Poste davon mal das Logfile. Mich interessieren ALLE Funde.

Hundskrippl · 25.05.2010, 00:53

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4117

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.05.2010 20:15:51
mbam-log-2010-05-19 (20-15-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 237031
Laufzeit: 1 Stunde(n), 20 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 24

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\Oq1.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.
C:\WINDOWS\Okorya.exe (Trojan.FraudPack.Gen) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\taskmgr.exe (Trojan.Hatigh) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\finbyxau.exe (Trojan.Crypt) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\i2tywum.dll (Trojan.Ertfor) -> Delete on reboot.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\dw0jshsg4y.dll (Trojan.Ertfor) -> Delete on reboot.
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c7ba40a1-74f2-52bd-f411-04b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7ba40a1-74f2-52bd-f411-04b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7ba40a1-74f2-52bd-f411-04b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c7ba40a1-74f2-52bd-f411-04b15a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsfg9w8gujsokgahi8gysgnsdgefshyjy (Trojan.Hatigh) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu (Trojan.Crypt) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Waledac) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Waledac) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Waledac) -> Data: c:\dokumente und einstellungen\Musterfrau\anwendungsdaten\sdra64.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\sdra64.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\Oq1.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\i2tywum.dll (Trojan.Ertfor) -> Delete on reboot.
C:\WINDOWS\Okorya.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\taskmgr.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\finbyxau.exe (Trojan.Crypt) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\dw0jshsg4y.dll (Trojan.Ertfor) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Trojan.Waledac) -> Delete on reboot.
C:\Dokumente und Einstellungen\Musterfrau\Anwendungsdaten\sdra64.exe (Trojan.Waledac) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\sbqhgt.exe (Trojan.Waledac) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\setup.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\csrss.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\y4ra2srtv6.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\wa0lb0ly.exe (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\login.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\lsass.exe (Trojan.Hatigh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\Oq0.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\osmwarxcen.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Delete on reboot.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Musterfrau\Lokale Einstellungen\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

cosinus · 25.05.2010, 07:55

Ok. Dann mach mal jetzt nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hundskrippl · 25.05.2010, 13:45

Ich habe jetzt alles so gemacht wie von Dir und in dem verlinkten Tutorial beschrieben.

Zuerst lief alles nach Plan.
Nach ca. 45 Minuten hat ComboFix sicher aber aufgehangen, und es war ein blanker Desktop (nur mein Hintergrundbild) da. Ich hab nochmal ca. 20 Minuten gewartet, es tat sich nichts - im Task Manager wurde nichts als "wird ausgeführt" angezeigt, daher geh ich davon aus, dass ComboFix fertig war und nur das Log Probleme gemacht hat?

Ich hab dann neu gestartet. Combofix.txt habe ich aber keine gefunden. Was nun?

Nochmal das Ganze? Wahrscheinlich, nee?

cosinus · 25.05.2010, 14:06

Hast Du da nachgesehen => C:\ComboFix.txt

25.05.2010, 14:06	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antispy Soft Virus eingefangen-Kann nichts mehr löschen-Systemwiederherstellung aus Hast Du da nachgesehen => C:\ComboFix.txt __________________ Logfiles bitte immer in CODE-Tags posten

Antispy Soft Virus eingefangen-Kann nichts mehr löschen-Systemwiederherstellung aus

Log-Analyse und Auswertung: Antispy Soft Virus eingefangen-Kann nichts mehr löschen-Systemwiederherstellung aus