Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie die Kopie eines Virus entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.10.2010, 16:19   #1
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hurra!!!
endlich eine Seite, mit der man etwas anfangen kann. Zunächst eine großes Dankeschön für Euer Team, das offenbar bemüht ist, auch Nicht-Software-Spezialisten in einem verständlichen Computer-Deutsch zu helfen.

Mein Problem:
Ich habe mit Hilfe eines Forum-Beitrages (Pagegeister ...>"Konto wird auspioniert",eröffnet am 26.03.2010) einen Virus entfernt(?) und dabei die angegebenen Hilfsmittel (mbr, otl, helpassistant) verwendet. Bei einem neuerlichen Start von mbr.exe wird mit nun eine noch vorhandene Kopie gemeldet. Wie kann ich die noch beseitigen? Oder ist sie ungefährlich?

Aktuell habe ich die in der Anleitung angegebenen Aktionen nochmal durchgeführt und die gewünschten Dateien angehängt, mit der Bitte, mir zu helfen.

P.S.: defogger_disable.log und OTL.txt ließen sich leider nicht hochladen wegen Dateigröße.

Als Ergänzung zu meinem Beitrag vom 02.10.2010 hier noch die Dateien, die zur Bearbeitung meiner Anfrage gebraucht werden. OTL.txt wurde in 3 Dateien aufgeteilt wegen Dateigröße.
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-01 (09-16-03).txt (1,0 KB, 178x aufgerufen)
Dateityp: txt Gmer.txt (20,4 KB, 207x aufgerufen)
Dateityp: txt Extras.Txt (55,5 KB, 252x aufgerufen)
Dateityp: txt OTL_edit1.txt (77,7 KB, 191x aufgerufen)
Dateityp: txt OTL_edit2.txt (13,3 KB, 190x aufgerufen)
Dateityp: txt OTL_edit3.txt (84,3 KB, 175x aufgerufen)

Alt 07.10.2010, 21:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo und

Hat Malwarebytes nichts gefunden oder postest Du nur das Log ohne Funde?
__________________

__________________

Alt 08.10.2010, 08:30   #3
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo Arne,
es geht mir um die "Kopie", die von mbr.exe angezeigt wird (siehe meinen Beitrag vom 2.10.)
Und bitte die Extras.Txt löschen.

Gruß
mani
__________________
Angehängte Dateien
Dateityp: txt mbr.txt (327 Bytes, 190x aufgerufen)

Geändert von mani (08.10.2010 um 08:37 Uhr)

Alt 08.10.2010, 12:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Das beantwortet nicht meine Frage! Um den MBR kümmern wir uns später!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2010, 17:33   #5
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo Arne,
was soll diese Art der Diskussion? Malwarebytes hat nichts gefunden (anbei nochmals den aktuellen Scan) und mbr findet eine Kopie. Was mache ich falsch oder anders gefragt, womit nerve ich Dich?

Gruß
mani

Angehängte Dateien
Dateityp: txt mbam-log-2010-10-09 (15-19-04).txt (1,0 KB, 165x aufgerufen)

Alt 09.10.2010, 18:40   #6
DJ-D
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Ich glaube, Du sollst ihm einfach beantworten, ob Malwarebytes etwas gefunden hat und vorallem was.
__________________
--> Wie die Kopie eines Virus entfernen?

Alt 09.10.2010, 19:46   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Zitat:
was soll diese Art der Diskussion?
Es ist keine Diskussion! Es ist ein Bereinigungsstrang wo Du das tun solltest, was man Dir sagt. Oder willst Du selbst bereinigen? Wir können das ganz auch sein lassen, wenn Du völlig vorbei an meinen Anweisungen handelst.

Und ich seh zwar keine Schädlinge im Malwarebytes Logfile, dafür aber was anderes entscheidendes: Du hast in beiden Fällen nur ein Quickscan gemacht, mach mal bitte einen Vollscan mit Malwarebytes und denk dran, dass Du es vorher aktualisierst!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.10.2010, 14:58   #8
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo Arne,
warum nicht gleich so. Entsprechend eurer Anleitung (MFTools) ist ein Quick-Scan zu machen und daran habe ich mich gehalten.
Der ausführliche Scan sieht natürlich anders aus und ich hoffe, ich kann mit Deiner Hilfe die Plagegeister bald entfernen.

Gruß
Manfred
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-10 (12-44-16)_del.txt (1,4 KB, 199x aufgerufen)

Geändert von mani (10.10.2010 um 15:05 Uhr)

Alt 10.10.2010, 21:26   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



"Warum nicht gleich so" kann ich auch schreiben.
Mehr wollte ich doch garnicht wissen. Es war doch ne einfache Frage, ob es noch mehr Logs von Malwarebytes gibt. Ich muss nachfragen weil es in letzter Zeit häufig vorkam, dass die TOs nur das letzte Log ohne Funde posteten!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ce9262e1-875f-11d7-8908-806d6172696f}\Shell\AutoRun\command - "" = D:\stub.exe -- File not found
[2008.09.08 20:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kzcrmlqz
[2010.06.22 19:28:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.11.24 17:41:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.10.20 07:37:44 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\.#
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 102 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2010, 08:45   #10
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo Arne,
ich danke Dir für Deine schnelle Antwort. Das Fix_log findest Du im Anhang.

Sonntagsgrüße von
mani
Angehängte Dateien
Dateityp: txt 10112010_083318_edit.txt (8,6 KB, 191x aufgerufen)

Alt 11.10.2010, 08:51   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2010, 15:23   #12
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hallo Arne,
habe alles abgearbeitet und füge unten die cofi.log ein.
Gruß
Manfred


Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-10.02 - xxx 11.10.2010  12:34:19.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2536 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Gast\Error.log
C:\install.exe
c:\programme\Gemeinsame Dateien\WinSoftware
c:\programme\INSTALL.LOG
c:\programme\sysguard
c:\windows\ktkm2.dll
c:\windows\ktkm3.dll
c:\windows\ktkm34.dll
c:\windows\ktkm36.dll
c:\windows\ktkm4.dll
c:\windows\ktkm8.dll
c:\windows\system32\instsrv.exe
c:\windows\system32\temp#01.exe
c:\windows\system32\twain.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ISEXENG


(((((((((((((((((((((((   Dateien erstellt von 2010-09-11 bis 2010-10-11  ))))))))))))))))))))))))))))))
.

2010-10-11 06:46 . 2010-09-09 22:52	6084944	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E6105D8E-7172-4773-AFC5-BE6F2A5361B1}\mpengine.dll
2010-10-11 06:33 . 2010-10-11 06:33	--------	d-----w-	C:\_OTL
2010-10-10 13:22 . 2010-10-10 13:22	--------	d-----w-	c:\programme\FSX Banking Camera
2010-10-08 06:22 . 2010-10-08 06:22	77312	----a-w-	C:\mbr.exe
2010-10-04 08:41 . 2010-10-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\mani
2010-10-01 06:58 . 2010-10-01 06:58	--------	d-----w-	c:\programme\ERUNT
2010-09-29 13:55 . 2010-09-29 13:55	--------	d-----w-	c:\programme\FreeTime
2010-09-29 13:45 . 2010-09-29 13:45	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-09-26 10:19 . 2008-04-14 05:52	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-26 10:07 . 2010-09-26 10:07	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Services
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll
2010-09-21 13:31 . 2010-09-21 13:32	--------	d-----w-	c:\programme\QuickTime
2010-09-17 06:14 . 2010-09-17 06:14	--------	d-----w-	c:\programme\Quicken2011
2010-09-11 16:24 . 2010-09-11 16:27	125274	----a-w-	c:\programme\Microsoft Games\Microsoft Flight Simulator X\Uninstal_ejets_fsx_wilco.exe
2010-09-11 14:21 . 2010-09-11 14:21	--------	d-----r-	C:\Sandbox

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\drivers\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0020\DriverFiles\i386\atapi.sys
[-] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0033\DriverFiles\i386\atapi.sys
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tipguard.exe"="REM" [X]
"AutoStart-Manager"="REM" [X]
"Skype"="REM" [X]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]
"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegSweep"="REM" [X]
"iTunesHelper"="REM" [X]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

c:\dokumente und einstellungen\xxx\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]
backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe]
REM 1&1 EasyLogin HIDE [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [12.05.2005 17:01 53760]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [13.05.2005 15:22 81408]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [13.09.2006 08:11 99840]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]
S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]
S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]
S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-09-10 c:\windows\Tasks\ConfigExec.job
- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]

2009-11-28 c:\windows\Tasks\Driver Robot.job
- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]

2010-10-11 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-11 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job
- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-11 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-11 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Microsoft Internet Explorer
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm
IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm
IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: 1und1.com\www
Trusted Zone: 1und1.de\login
Trusted Zone: cortalconsors.de\www
Trusted Zone: dresdner-privat.de\www
Trusted Zone: entriq.net\man
Trusted Zone: fundorado.de\www
Trusted Zone: impotenz-selbsthilfe.de\www
Trusted Zone: iww.de\www.blopress
Trusted Zone: medikamente-im-test.de\www
Trusted Zone: orchideen-kuhlmann.de\www
Trusted Zone: orchideen-wichmann.de\www
Trusted Zone: photocolor.de\www
Trusted Zone: profidialer.de\www
Trusted Zone: scotts-celaflor.de\www
Trusted Zone: t-online.de\www
Trusted Zone: vhs-kampus.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-USB2Check - REM RUNDLL32.EXE
HKLM-Run-NvCplDaemon - REM RUNDLL32.EXE
HKLM-Explorer_Run-LdB9pFGrA7 - c:\dokumente und einstellungen\All Users\Anwendungsdaten\kzcrmlqz\whypejyd.exe
AddRemove-Road Wars - c:\programme\spiele\Uninst.isu
AddRemove-Ultimate Terrain X - USA - c:\programme\Microsoft Games\Microsoft Flight Simulator X\UnInst.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3496)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Essentials\MsMpEng.exe
c:\programme\PC_Fehler\SbieSvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-11  12:48:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-11 10:48

Vor Suchlauf: 41 Verzeichnis(se), 50.023.141.376 Bytes frei
Nach Suchlauf: 45 Verzeichnis(se), 53.157.687.296 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut

- - End Of File - - 6FDA7CF64FBB54023CF4A243782585DC
         
--- --- ---

Alt 11.10.2010, 20:14   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


Code:
ATTFilter
FCopy::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys

Driver::
SSHDRV76
SSHDRV86
ACEDRV06

File::
c:\windows\system32\drivers\SSHDRV76.sys
c:\windows\system32\drivers\SSHDRV86.sys
c:\windows\system32\drivers\ACEDRV06.sys
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.10.2010, 13:25   #14
mani
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Hier das neue log-file:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-11.03 - xxx 12.10.2010  12:48:30.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3071.2569 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

FILE ::
"c:\windows\system32\drivers\ACEDRV06.sys"
"c:\windows\system32\drivers\SSHDRV76.sys"
"c:\windows\system32\drivers\SSHDRV86.sys"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ACEDRV06.sys
c:\windows\system32\drivers\SSHDRV76.sys
c:\windows\system32\drivers\SSHDRV86.sys

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACEDRV06
-------\Legacy_SSHDRV76
-------\Legacy_SSHDRV86
-------\Service_ACEDRV06
-------\Service_SSHDRV76
-------\Service_SSHDRV86


(((((((((((((((((((((((   Dateien erstellt von 2010-09-12 bis 2010-10-12  ))))))))))))))))))))))))))))))
.

2010-10-12 10:59 . 2010-10-12 10:59	53248	----a-w-	c:\temp\catchme.dll
2010-10-12 06:47 . 2010-09-09 22:52	6084944	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CA0A174C-D647-4CF0-9D9F-A26F2DCFA29D}\mpengine.dll
2010-10-11 06:33 . 2010-10-11 06:33	--------	d-----w-	C:\_OTL
2010-10-10 13:22 . 2010-10-10 13:22	--------	d-----w-	c:\programme\FSX Banking Camera
2010-10-08 06:22 . 2010-10-08 06:22	77312	----a-w-	C:\mbr.exe
2010-10-04 08:41 . 2010-10-04 15:04	--------	d-----w-	c:\dokumente und einstellungen\mani
2010-10-01 06:58 . 2010-10-01 06:58	--------	d-----w-	c:\programme\ERUNT
2010-09-29 13:55 . 2010-09-29 13:55	--------	d-----w-	c:\programme\FreeTime
2010-09-29 13:45 . 2010-09-29 13:45	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-09-26 10:19 . 2008-04-14 05:52	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-26 10:07 . 2010-09-26 10:07	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Xara
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-09-26 09:55 . 2010-09-26 09:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\MAGIX Services
2010-09-22 16:10 . 2010-09-22 16:10	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
2010-09-21 13:32 . 2010-09-21 13:32	159744	----a-w-	c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll
2010-09-21 13:31 . 2010-09-21 13:32	--------	d-----w-	c:\programme\QuickTime
2010-09-17 06:14 . 2010-09-17 06:14	--------	d-----w-	c:\programme\Quicken2011

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tipguard.exe"="REM" [X]
"AutoStart-Manager"="REM" [X]
"Skype"="REM" [X]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"Alltagsplaner"="c:\programme\Alltags-Planer\Planer.exe" [2006-01-22 1092608]
"SandboxieControl"="c:\programme\PC_Fehler\SbieCtrl.exe" [2010-08-09 389352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegSweep"="REM" [X]
"iTunesHelper"="REM" [X]
"MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-09-07 202256]
"Google Updater"="c:\programme\Google\Google Updater\GoogleUpdater.exe" [2010-09-21 161336]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_17_Plus\TrayServer.exe" [2008-08-07 90112]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

c:\dokumente und einstellungen\steinecke\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\PC_Fehler\PSI\psi.exe [2010-7-21 965176]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alltags-Planer (Ausgabe).lnk]
backup=c:\windows\pss\Alltags-Planer (Ausgabe).lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkvMon.exe.lnk]
backup=c:\windows\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\FWInn\\FWINN.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\FSFDT\\Control Panel\\FSFDTCP.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [08.03.2006 17:37 59520]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R2 SLEE_401_DRIVER;Steganos Live Encryption Engine (Version 401) [Driver];c:\windows\system32\drivers\slee401.sys [22.02.2002 19:22 83472]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [01.11.2002 03:00 53248]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [01.11.2002 02:00 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [01.11.2002 02:00 38992]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);c:\windows\system32\drivers\fdslbase.sys [01.11.2002 02:00 799488]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate1c98760928644a0;Google Update Service (gupdate1c98760928644a0);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2009 08:08 133104]
S3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [11.09.2002 02:00 37568]
S3 cmuda2;C-Media USB Audio Interface;c:\windows\system32\drivers\cmuda2.sys [05.12.2006 20:27 705536]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [11.09.2002 02:00 484176]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\programme\Microsoft Fix it Center\Matsvc.exe [10.04.2010 17:05 266544]
S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]
S3 PL-40R;CASIO USB MIDI;c:\windows\system32\drivers\pl40rwdm.sys [03.03.2005 14:23 18118]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 SLEE_401_SERVICE;Steganos Live Encryption Engine (Version 401) [Service];c:\windows\system32\slee401.exe [22.02.2002 19:24 53248]
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-09-10 c:\windows\Tasks\ConfigExec.job
- c:\programme\Microsoft Fix it Center\MatsApi.dll [2010-04-10 15:05]

2009-11-28 c:\windows\Tasks\Driver Robot.job
- c:\programme\Driver Robot\1.2.0.3\DriverRobot.exe [2009-11-28 14:20]

2010-10-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 13:18]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cac6a395637260.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 06:08]

2010-10-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]

2010-10-08 c:\windows\Tasks\Norton Security Scan for steinecke.job
- c:\programme\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-10-05 14:45]

2010-10-09 c:\windows\Tasks\ParetoLogic Registration.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\UUS.dll [2009-01-13 14:59]

2010-01-10 c:\windows\Tasks\ParetoLogic Update Version2.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS2\Pareto_Update.exe [2009-01-13 14:59]

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-12 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]

2010-10-05 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-4218965269-46187396-1824386621-1012.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = Microsoft Internet Explorer
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download all 4shared files - c:\programme\4shared Desktop\down_all.htm
IE: &Download using 4shared Desktop - c:\programme\4shared Desktop\down_link.htm
IE: &eBay Search - c:\programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: 1und1.com\www
Trusted Zone: 1und1.de\login
Trusted Zone: cortalconsors.de\www
Trusted Zone: dresdner-privat.de\www
Trusted Zone: entriq.net\man
Trusted Zone: fundorado.de\www
Trusted Zone: impotenz-selbsthilfe.de\www
Trusted Zone: iww.de\www.blopress
Trusted Zone: medikamente-im-test.de\www
Trusted Zone: orchideen-kuhlmann.de\www
Trusted Zone: orchideen-wichmann.de\www
Trusted Zone: photocolor.de\www
Trusted Zone: profidialer.de\www
Trusted Zone: scotts-celaflor.de\www
Trusted Zone: t-online.de\www
Trusted Zone: vhs-kampus.de\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3000)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Essentials\MsMpEng.exe
c:\programme\PC_Fehler\SbieSvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-12  13:05:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-12 11:05
ComboFix2.txt  2010-10-11 10:48

Vor Suchlauf: 44 Verzeichnis(se), 53.100.265.472 Bytes frei
Nach Suchlauf: 45 Verzeichnis(se), 53.073.379.328 Bytes frei

- - End Of File - - B3D3CA1A07E5048967D0671980441DB5
         
--- --- ---

Alt 12.10.2010, 14:27   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie die Kopie eines Virus entfernen? - Standard

Wie die Kopie eines Virus entfernen?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Wie die Kopie eines Virus entfernen?
aktionen, anleitung, bearbeitung, beseitigen, compu, dankeschön, dateien, defogger, defogger_disable.log, durchgeführt, entferne, entfernen, entfernt, eröffnet, gefährlich, gen, großes, konto, leitung, mbr.exe, otl.txt, problem, seite, start, ungefährlich, verständliche, virus, virus entfernen, virus entfernt, zunächst



Ähnliche Themen: Wie die Kopie eines Virus entfernen?


  1. Build 7601 (Die Echtheit dieser Windows-Kopie wurde noch nicht bestätigt)
    Plagegeister aller Art und deren Bekämpfung - 22.04.2014 (9)
  2. Infizierte Kopie von c:\windows\SysWow64\wshtcpip.dll wurde gefunden und desinfiziert
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (2)
  3. Wieder mal eine Auswertung eines OTLPE-Logs eines GVU/GEMA Trojaner infizierten Systems
    Log-Analyse und Auswertung - 29.06.2013 (10)
  4. Beschreibung eines gefundenen PC-Virus
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (7)
  5. Letzte Schritte beim Entfernen eines GVU-Trojaners/RunDLL Fehlermeldung, glom0_og.exe
    Log-Analyse und Auswertung - 09.11.2012 (5)
  6. Letzte Schritte beim Entfernen eines GVU-Trojaners (RunDLL Fehlermeldung, glom0_og.exe)
    Plagegeister aller Art und deren Bekämpfung - 15.10.2012 (4)
  7. Polizei-Virus auf Laptop eines Freundes entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (3)
  8. Letzte Schritte beim Entfernen eines GVU-Trojaners (RunDLL Fehlermeldung, glom0_og.exe)
    Log-Analyse und Auswertung - 21.07.2012 (8)
  9. [2x] Vollständiges entfernen eines Bundespolizei Trojaners
    Mülltonne - 29.02.2012 (1)
  10. Windows-Kopie Trojaner wie BKA/ Ukash
    Log-Analyse und Auswertung - 21.08.2011 (5)
  11. Download eines Virus im MSN
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (1)
  12. Verdacht eines Virus o.Ä.
    Log-Analyse und Auswertung - 12.09.2009 (1)
  13. Werk eines Virus?
    Mülltonne - 07.12.2008 (0)
  14. Seit 1:1 HDD Kopie öffnen sich manche Seiten nicht mehr richtig
    Alles rund um Windows - 05.06.2008 (16)
  15. Sicheres entfernen eines Trojaner win2000
    Plagegeister aller Art und deren Bekämpfung - 11.03.2008 (5)
  16. Programmierung eines Java-Virus
    Mülltonne - 02.03.2008 (0)

Zum Thema Wie die Kopie eines Virus entfernen? - Hurra!!! endlich eine Seite, mit der man etwas anfangen kann. Zunächst eine großes Dankeschön für Euer Team, das offenbar bemüht ist, auch Nicht-Software-Spezialisten in einem verständlichen Computer-Deutsch zu helfen. Mein - Wie die Kopie eines Virus entfernen?...
Archiv
Du betrachtest: Wie die Kopie eines Virus entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.