Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Probleme mit Antimalware Doctor und ggf. weiterer malware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.10.2010, 11:37   #1
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Hallo, ich habe mir gestern den Rechner lahmgelegt. Folgendes ist geschehen:

1. Avast blockiert plötzlich verschiedene Windowsprozesse wie z.B. "svchost.exe" und verschiebt die folgenden Dateien in den Quarantäne-Ordner:

mrnwoxasec.exe C:\users\joschi\AppData\Local\Temp
omnswrxcae.exe C:\users\joschi\AppData\Local\Temp
oxmcnewrsa.exe C:\users\joschi\AppData\Local\Temp
setup.exe C:\Windows\temp\npdp
setup.exe C:\Windows\temp\ipvi
Tb1.exe C:\users\joschi\AppData\Local\Temp
Tb1.exe C:\users\joschi\AppData\Local\Temp
Tb2.exe C:\users\joschi\AppData\Local\Temp
Tb2.exe C:\users\joschi\AppData\Local\Temp

Daraufhin läuft Windows nicht mehr einwandfrei: Minianwendungen sind verschwunden und lassen sich nicht mehr starten, der Iexplorer hängt. Eine Systemüberprüfung mittels Avast zeigt allerdings keine Bedrohungen mehr an.

Während des Versuchs einen Windows Live OneCare safety Scan durchzuführen meldet sich erstmals der "Antimalware Doctor" und verlangt die Registrierung. Nach erfolglosem Deinstallationsversuch habe ich "rkill" gestartet. Danach hat nur noch ein Neustart mittels Taskmanager funktioniert, ansonsten ein toter Bildschirm.

Im nächsten Schritt habe ich die folgenden Prozesse manuell beendet

tb2.exe
tsnp2uvc.exe
postionversusfix70700.exe

und einen Scan mittels Spybot durchgeführt. Dieser hat neben dem Antimalware Doctor eine ganze Menge weiterere Bedrohungen angezeigt und angeblich bereinigt. Nach dem Neustart allerdings meldete sich der M.D. erneut.

Daraufhin habe ich einen Scan mit Malwarebytes durchgeführt. Die entsprechende Log-Datei (mbam1.txt) befindet sich im Anhang. Vermutlich dummer Weise, habe ich die gefundenen Probleme löschen lassen. Nach einem Neustart meldete sich das M.D. Programm erneut.
Lediglich der Tb2.exe Prozess war nicht mehr zu finden.

Im nächsten Schritt habe ich Spybot deinstalliert und den Avast Scanner deaktiviert.

Letztlich habe ich erneut die verbliebenen zwei Prozesse beendet, einen Scan mittels OTL durchegführt (Log: otl.txt, extras.txt) und nach einem Neustart erneut einen Scan mittels Malwarebytes durchgeführt. Malwarebytes scheint jetzt allerdingsnichts mehr zu finden (mbam2.txt), obwohl der M.D. nicht entfernt wurde

Langsam stehe ich kurz vor der Verzweiflung, weil meine Arbeitsrechner, mit lauter wichtigen Daten nicht mehr funktioniert.
Kann mir diesbezüglich jemand raten, wie ich weiter vorgehen soll?

Vielen Dank im vorraus.
Angehängte Dateien
Dateityp: txt mbam1.txt.txt (3,2 KB, 195x aufgerufen)
Dateityp: txt mbam2.txt.txt (1,2 KB, 194x aufgerufen)
Dateityp: txt OTL.Txt (88,4 KB, 215x aufgerufen)
Dateityp: txt Extras.Txt (64,6 KB, 257x aufgerufen)

Alt 29.10.2010, 12:01   #2
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [positionversusfix70700.exe] C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB\positionversusfix70700.exe (Корпорация Майкрософт)

O4 - HKCU..\Run: [SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe File not found
[2010.10.28 15:54:17 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\6013340234FB5E55EF4903660ABDD0DB
[2010.10.29 01:49:05 | 000,000,000 | ---D | C] -- C:\Windows\9EFA732347A048E28F7735DB5EED500A.TMP
[2010.10.28 15:44:24 | 000,000,000 | ---D | C] -- C:\Users\Joschi\AppData\Roaming\D9D35B1053E4AB3C3AF15AF5129E5881
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:A24211BA

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________


Alt 29.10.2010, 12:25   #3
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Vielen Dank für die schnelle Rückmeldung.
Im Anhang ist die OTL-Log-Datei nach dem Fix.
__________________
Angehängte Dateien
Dateityp: txt 10292010_131549.txt (4,1 KB, 187x aufgerufen)

Alt 29.10.2010, 12:30   #4
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



nun bitte den gepackten ordner _OTL hochladen wie beschrieben

Alt 29.10.2010, 12:45   #5
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Sorry, die Datei ist jetzt hochgeladen.


Alt 29.10.2010, 12:50   #6
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



kein problem!
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Alt 29.10.2010, 13:15   #7
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Erstelle gerade den Combo-Fix-Log.

Alt 29.10.2010, 13:22   #8
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Eine Frage bitte. Combo Fix hat mir bereits gemeldet das das Masterboot... infiziert ist. Jetzt bekomme ich gerade folgende Meldung:
Current registry file not found: \Device\Harddisk\Volume1\Boot\BCD
Restore this file?

Soll ich das mit ja bestätigen?
Danke

Alt 29.10.2010, 13:30   #9
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



ja bitte :-)

Alt 29.10.2010, 13:48   #10
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Nachdem ich bestätigt habe die Registry BCD zu wiederherzustellen, hat es eine Weile gedauert und dann einen Blue-Screen gegeben. Nach dem Neustart hat sich Combofix allerdings mit der Meldung eine Log-Datei anzulegen zurückgemeldet.

Alt 29.10.2010, 13:54   #11
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Hier ist der Combofix-Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-28.06 - Joschi 29.10.2010  14:12:41.1.2 - x86
Microsoft Windows 7 Professional N   6.1.7600.0.1252.49.1031.18.3067.2024 [GMT 2:00]
ausgeführt von:: c:\users\Joschi\Desktop\ComboFix.exe
.
  Error: Cfiles.dat

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\~.inf
c:\windows\system32\spool\prtprocs\w32x86\CNMPP9P.DLL
c:\windows\system32\Temp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-29  ))))))))))))))))))))))))))))))
.

2010-10-29 12:32 . 2010-10-29 12:32	--------	d-----w-	C:\Device
2010-10-29 12:18 . 2010-10-29 12:46	--------	d-----w-	c:\users\Joschi\AppData\Local\temp
2010-10-29 12:18 . 2010-10-29 12:18	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-10-29 11:15 . 2010-10-29 11:37	--------	d-----w-	C:\_OTL
2010-10-29 00:00 . 2010-10-29 00:00	--------	d-----w-	c:\users\Joschi\AppData\Roaming\Malwarebytes
2010-10-28 23:58 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-28 23:58 . 2010-10-28 23:58	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-28 23:58 . 2010-10-28 23:58	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-28 23:58 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-28 17:09 . 2010-10-28 17:09	--------	d-----w-	c:\program files\Enigma Software Group
2010-10-28 17:08 . 2010-10-28 17:08	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-10-28 15:31 . 2010-10-28 15:33	--------	d-----w-	c:\program files\Windows Live Safety Center
2010-10-28 11:04 . 2010-07-14 16:34	212240	----a-w-	c:\windows\system32\RICHTX32.OCX
2010-10-28 11:04 . 2010-10-28 11:05	--------	d-----w-	c:\program files\QuickArticleSpinner
2010-10-28 11:04 . 1996-11-08 00:48	368912	----a-w-	c:\windows\system32\vbar332.dll
2010-10-26 20:28 . 2010-08-04 06:18	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-10-26 20:28 . 2010-08-04 06:17	417792	----a-w-	c:\windows\system32\msdri.dll
2010-10-26 20:28 . 2010-08-04 06:15	204288	----a-w-	c:\windows\system32\MSNP.ax
2010-10-26 20:28 . 2010-08-04 06:15	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2010-10-26 20:28 . 2010-07-13 05:22	26504	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2010-10-26 12:14 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{1B2B543A-0F90-421F-9D8E-C4582411EDBE}\mpengine.dll
2010-10-24 23:09 . 2010-10-24 23:09	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2010-10-06 20:27 . 2010-03-04 03:57	190976	----a-w-	c:\windows\system32\drivers\ks.sys
2010-10-06 08:59 . 2010-06-19 06:15	2048	----a-w-	c:\windows\system32\tzres.dll
2010-10-06 08:59 . 2010-08-27 05:30	13312	----a-w-	c:\program files\Internet Explorer\iecompat.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-24 23:09 . 2009-08-27 13:36	2300696	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2010-10-24 23:09 . 2009-08-27 13:36	1113408	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-10-19 09:41 . 2009-10-03 10:10	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-11 09:56 . 2010-09-03 22:37	737280	----a-w-	c:\windows\iun6002.exe
2010-09-07 15:12 . 2010-08-27 12:51	38848	----a-w-	c:\windows\avastSS.scr
2010-09-07 15:11 . 2009-07-09 18:31	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2009-07-09 18:31	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2009-07-09 18:31	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2009-07-09 18:31	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2009-07-09 18:31	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-09-07 14:47 . 2009-07-09 18:31	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-08-21 05:32 . 2010-09-15 07:32	316928	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-01 02:09 . 2010-08-11 14:59	307200	----a-w-	c:\windows\system32\EasyRedirect.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"Google Update"="c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-07-11 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-08 13548064]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-08 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-24 6265376]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-12-11 722256]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"RemoteControl"="c:\program files\HomeCinema\PowerDVD\PDVDServ.exe" [2007-02-09 71216]
"tsnp2uvc"="c:\windows\tsnp2uvc.exe" [2008-08-28 233472]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePDRShortCut"="c:\program files\HomeCinema\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-01-04 222504]
"UpdatePPShortCut"="c:\program files\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" [2008-02-21 222504]
"VitaKeyPdtWzd"="c:\program files\EgisTec\VITAKEY\PdtWzd.exe" [2008-11-04 2303272]
"VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"PDFPrint"="c:\program files\pdf24\pdf24.exe" [2010-03-11 208528]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

c:\users\Joschi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Joschi\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	PDBoot.exe\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-03-21 691696]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 133104]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-04-29 38224]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 FPSensor;LTT-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2009-08-06 26920]
S2 IGBASVC;EgisTec Service;c:\program files\EgisTec\VITAKEY\BASVC.exe [2008-11-04 2187048]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-08-05 44576]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-12-19 249888]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc Mcx2Svc
.
Inhalt des "geplante Tasks" Ordners

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 11:46]

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-11 11:46]

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1917809016-440483117-2577391586-1001Core.job
- c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe [2009-07-27 11:46]

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1917809016-440483117-2577391586-1001UA.job
- c:\users\Joschi\AppData\Local\Google\Update\GoogleUpdate.exe [2009-07-27 11:46]

2010-08-23 c:\windows\Tasks\NatSpeak Periodic Acoustic Optimization.job
- c:\progra~1\Nuance\NATURA~1\Program\schedmgr.exe [2009-02-13 02:21]

2010-10-29 c:\windows\Tasks\NatSpeak Periodic Language Model Optimization.job
- c:\progra~1\Nuance\NATURA~1\Program\schedmgr.exe [2009-02-13 02:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=ZNfox000&ptb=65T5AzlIGZOZYmWBN_g6Sw
uInternet Settings,ProxyOverride = 127.0.0.1
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNfox000&ptb=65T5AzlIGZOZYmWBN_g6Sw&psa=&ind=2010101511&ptnrS=ZNfox000&si=&st=kwd&n=77cfb707&searchfor=
FF - prefs.js: network.proxy.ftp - 80.228.29.90
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - 80.228.29.90
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - 80.228.29.90
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 80.228.29.90
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 80.228.29.90
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - component: c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Joschi\AppData\Local\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\users\Joschi\AppData\Roaming\Mozilla\Firefox\Profiles\bsyrsz7f.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\users\Joschi\AppData\Local\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\users\Joschi\AppData\Local\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
AddRemove-MOBackup-DatensicherungfürOutlook - c:\program files\MOBackup\uninstall.exe



**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, hxxp://www.gmer.net
Windows 6.1.7600 Disk: WDC_WD3200BEVT-22ZCT0 rev.11.01A11 -> \Device\Ide\IdePort0

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x867E8446]<< 
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x867ee504]; MOV EAX, [0x867ee580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX;  }
1 ntkrnlpa!IofCallDriver[0x82E8D458] -> \Device\Harddisk0\DR0[0x867C6030]
3 CLASSPNP[0x8B9A759E] -> ntkrnlpa!IofCallDriver[0x82E8D458] -> [0x86AF28F0]
\Driver\atapi[0x867CED28] -> IRP_MJ_CREATE -> 0x867E8446
kernel: MBR read successfully
detected hooks:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD3200BEVT-22ZCT0___________________11.01A11#5&36268ca5&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
user != kernel MBR !!! 
sectors 625142446 (+255): user != kernel
Warning: possible TDL4 rootkit infection !

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2836)
c:\users\Joschi\AppData\Roaming\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\EgisTec\VITAKEY\CompPtcVUI.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\Raxco\PerfectDisk10\PDAgent.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Common Files\X10\Common\X10nets.exe
c:\program files\Raxco\PerfectDisk10\PDEngine.exe
c:\windows\system32\taskhost.exe
c:\program files\Raxco\PerfectDisk10\PDAgentS1.exe
c:\windows\system32\conhost.exe
c:\windows\System32\rundll32.exe
c:\windows\RtHDVCpl.exe
c:\windows\system32\msiexec.exe
c:\program files\EgisTec\VITAKEY\PwdBank.exe
c:\windows\system32\sppsvc.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-29  14:50:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-29 12:50

Vor Suchlauf: 11 Verzeichnis(se), 162.747.813.888 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 162.172.809.216 Bytes frei

- - End Of File - - E909B35F4FD0F5C69CCE89821E59ACC1
         
--- --- ---

Alt 29.10.2010, 14:11   #12
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



bitte nutze den kaspersky tdss killer und poste das ergebniss
Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bek&#228;mpft?

Alt 29.10.2010, 14:31   #13
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



eine bösartiger eintrag wurde gefunden. Ich bin auf Cure gegangen. Das Programm hat einen Neustart gemacht, dann aber nichts weiter angezeigt. Ei erneuter Scan mit dem TDSSKiller hat keine Infektionen mehr gefunden.

Alt 29.10.2010, 14:32   #14
markusg
/// Malware-holic
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



ok dann nutze mal bitte gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
und poste das log

Alt 29.10.2010, 14:33   #15
audioj
 
Probleme mit Antimalware Doctor und ggf. weiterer malware - Standard

Probleme mit Antimalware Doctor und ggf. weiterer malware



Ich habe jetzt wieder einen Bluescreen bekommen.

Antwort

Themen zu Probleme mit Antimalware Doctor und ggf. weiterer malware
antimalware, antimalware doctor, appdata, avast, blockiert, dateien, extras.txt, folge, funktioniert, iexplorer, live, log-datei, löschen, malwarebytes, minianwendungen, neustart, nicht mehr, otl.txt, plötzlich, probleme, programm, rechner, scan, spybot, starten, svchost.exe, systemüberprüfung, taskmanager, verschiebt, verschwunden, windows live



Ähnliche Themen: Probleme mit Antimalware Doctor und ggf. weiterer malware


  1. Probleme mit Antimalware Doctor - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (13)
  2. Antimalware Doctor - Malware lässt sich nicht komplett entfernen
    Plagegeister aller Art und deren Bekämpfung - 05.12.2010 (6)
  3. Antimalware Doctor nach Malwarebytes Anti Malware Durchlauf noch da
    Log-Analyse und Auswertung - 03.10.2010 (1)
  4. Antimalware Doctor entfernt aber weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (17)
  5. Antimalware Doctor. Nach Anti-Malware Rechner weiterhin infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (1)
  6. Antimalware Doctor erfolgreich gelöscht aber noch weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (18)
  7. Antimalware Doctor & Security Tool entfernt aber trotzdem Probleme
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (23)
  8. Antimalware Doctor, Adware.BHO, Malware.Packer.Gen entfernen
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (32)
  9. probleme mit malware doctor
    Plagegeister aller Art und deren Bekämpfung - 29.08.2010 (3)
  10. Antimalware Doctor - Probleme mit System trotz Entfernung durch Anti Malware
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (9)
  11. Antimalware doctor: Malwarebytes hat Probleme beim löschen ?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (6)
  12. Nach "Antimalware Doctor" weiterhin Probleme
    Log-Analyse und Auswertung - 08.08.2010 (33)
  13. Nach Antimalware Doctor weiterhin Probleme: 1. AntiVir funktioniert nicht mehr 2. Explorer und Mozil
    Log-Analyse und Auswertung - 01.08.2010 (28)
  14. Wie bekomm ich die Malware wieder weg? -Antimalware Doctor-
    Plagegeister aller Art und deren Bekämpfung - 27.07.2010 (6)
  15. Nach "Antimalware Doctor"-Befall weiterhin Probleme
    Log-Analyse und Auswertung - 26.07.2010 (7)
  16. Ebenfalls Probleme mit Beseitigung von Antimalware Doctor
    Plagegeister aller Art und deren Bekämpfung - 02.06.2010 (4)
  17. Antimalware Doctor erfolgreich gelöscht - Reste machen große Probleme
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (14)

Zum Thema Probleme mit Antimalware Doctor und ggf. weiterer malware - Hallo, ich habe mir gestern den Rechner lahmgelegt. Folgendes ist geschehen: 1. Avast blockiert plötzlich verschiedene Windowsprozesse wie z.B. "svchost.exe" und verschiebt die folgenden Dateien in den Quarantäne-Ordner: mrnwoxasec.exe C:\users\joschi\AppData\Local\Temp - Probleme mit Antimalware Doctor und ggf. weiterer malware...
Archiv
Du betrachtest: Probleme mit Antimalware Doctor und ggf. weiterer malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.