Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Think Point, wirklich entfernt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.12.2010, 19:04   #1
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hallo alle zusammen,

ich habe folgendes Problem:
hab mir vorgestern das virus ThinkPoint eingefangen und es nach der Beschreibung hier im Forum entfernt.
Ich bin nach den folgenden Beschreibungen vorgegangen:

1.http://www.trojaner-board.de/92132-t...entfernen.html

logfile dazu:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5280

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.12.2010 18:42:15
mbam-log-2010-12-09 (18-42-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 356225
Laufzeit: 2 Stunde(n), 38 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\OW1T3CYG7T (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Emrah\AppData\Local\Temp\Nvv.exe (Trojan.FraudPack) -> No action taken.
c:\Users\Emrah\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.


2.http://www.trojaner-board.de/83878-o...processes.html


logfile dazu:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5280

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.12.2010 19:06:14
mbam-log-2010-12-09 (19-06-14).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 135025
Laufzeit: 10 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich kann mir jedoch nicht vorstellen, dass der Virus jetzt komplett weg ist.

Deshalb hier im Anhang das logfile.

Würde mich über jeden Rat freuen.
Danke
Angehängte Dateien
Dateityp: txt log.txt (21,2 KB, 239x aufgerufen)

Alt 10.12.2010, 12:08   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hallo und

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 10.12.2010, 17:23   #3
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hi,

danke für die schnelle Antwort.
So hier jetzt die gewünschten logfiles.

Gruß
Emrah
__________________
Angehängte Dateien
Dateityp: txt Extras.Txt (29,9 KB, 188x aufgerufen)
Dateityp: txt OTL.Txt (75,8 KB, 169x aufgerufen)

Alt 10.12.2010, 19:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
DRV - (sr) -- C:\Windows\System32\DRIVERS\sr.sys File not found
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{05d4fcf4-d152-11df-91c3-001e332280db}\Shell - "" = AutoRun
O33 - MountPoints2\{05d4fcf4-d152-11df-91c3-001e332280db}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{41b17562-279a-11df-a900-001e332280db}\Shell - "" = AutoRun
O33 - MountPoints2\{41b17562-279a-11df-a900-001e332280db}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe -- File not found
O33 - MountPoints2\{41b1760c-279a-11df-a900-001e332280db}\Shell - "" = AutoRun
O33 - MountPoints2\{41b1760c-279a-11df-a900-001e332280db}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe -- File not found
[2010.12.08 22:16:49 | 000,001,272 | ---- | C] () -- C:\Windows\System32\.crusader
[2010.12.07 22:31:12 | 000,000,006 | ---- | C] () -- C:\Users\Emrah\AppData\Roaming\start
[2010.12.07 22:30:08 | 000,000,006 | ---- | C] () -- C:\Users\Emrah\AppData\Roaming\completescan
[2010.12.07 22:25:50 | 000,000,010 | ---- | C] () -- C:\Users\Emrah\AppData\Roaming\install
[2010.12.07 22:24:53 | 000,000,231 | ---- | C] () -- C:\Users\Emrah\AppData\Roaming\adgs.bat
[2010.12.07 17:53:10 | 000,322,560 | RHS- | C] () -- C:\Windows\EagleR.dll
[2010.12.07 17:52:35 | 000,412,160 | RHS- | C] () -- C:\EagleSvr.exe
[2010.12.07 17:52:35 | 000,322,560 | RHS- | C] () -- C:\EagleR.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.12.2010, 23:13   #5
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hi,

habe otl laufen lassen wie du es gesagt hast.
Es kam eine Meldung, die hieß:
Cannot create file C:\Windows\System32\drivers\etc\Hosts

Danach gings nicht weiter. Habe Otl geschlossen und musste neu starten.
Nach dem neustart wurde ich erst gefragt ob ich otl wirklich ausführen will.
Habs bestätigt und im dann erscheinenden logfile stand folgendes:


Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

Registry entries deleted on Reboot...



Gruß


Alt 11.12.2010, 13:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Mach zur Kontrolle bitte neue Logs mit OTL
__________________
--> Think Point, wirklich entfernt?

Alt 11.12.2010, 18:21   #7
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hi,

wusste nicht genau welchen Schritt du jetzt meinst. Deshalb habe ich jetzt beides nochmal gemacht.

Die 2 logfiles vo dem ersten Schritt den ich machen sollte sind im Anhang.

Den 2. Schritt habe ich auch nochmal gemacht. Die Meldung kam wieder jedoch ist das logfile jetzt etwas länger:

All processes killed
Error: Unable to interpret <[resethosts]> in the current context!
Error: Unable to interpret <[emptytemp]> in the current context!
Error: Unable to interpret < > in the current context!

OTL by OldTimer - Version 3.2.17.3 log created on 12112010_181450

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Gruß
Angehängte Dateien
Dateityp: txt OTL.Txt (71,0 KB, 192x aufgerufen)
Dateityp: txt Extras.Txt (29,9 KB, 233x aufgerufen)

Alt 12.12.2010, 16:18   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.12.2010, 19:04   #9
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hi,

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-11.06 - Emrah 12.12.2010  19:42:32.1.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.1977.1108 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-12 bis 2010-12-12  ))))))))))))))))))))))))))))))
.

2010-12-12 18:53 . 2010-12-12 18:53	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-12-12 18:24 . 2010-12-12 18:24	--------	d-----w-	c:\program files\CCleaner
2010-12-11 23:54 . 2009-03-15 09:44	412160	--sha-r-	c:\program files\EagleSvr.exe
2010-12-11 23:54 . 2009-03-15 09:44	322560	--sha-r-	c:\program files\EagleR.dll
2010-12-11 10:50 . 2010-12-11 10:50	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Kaspersky Lab
2010-12-10 22:25 . 2010-12-10 22:25	--------	d-----w-	C:\_OTL
2010-12-10 16:48 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0C7C52F0-01CD-4EC3-B288-6D90A748F615}\mpengine.dll
2010-12-10 09:05 . 2009-12-25 15:42	162320	----a-w-	c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
2010-12-10 09:05 . 2010-12-10 09:25	97859	----a-w-	c:\windows\system32\drivers\klick.dat
2010-12-10 09:05 . 2010-12-10 09:25	114243	----a-w-	c:\windows\system32\drivers\klin.dat
2010-12-10 09:04 . 2009-12-14 11:44	88632	----a-w-	c:\windows\system32\drivers\CSCrySec.sys
2010-12-10 09:04 . 2009-12-14 11:44	39352	----a-w-	c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2010-12-10 09:03 . 2010-12-10 09:03	--------	d-----w-	c:\program files\Common Files\InfoWatch
2010-12-10 09:03 . 2010-12-10 09:03	--------	d-----w-	c:\program files\Kaspersky Lab
2010-12-10 08:18 . 2010-12-12 16:12	--------	d-----w-	c:\programdata\Kaspersky Lab
2010-12-09 21:59 . 2010-12-10 16:12	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-12-09 21:59 . 2010-12-09 21:59	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-12-09 21:54 . 2010-12-09 21:54	--------	d-----w-	c:\users\Emrah\AppData\Local\Sunbelt Software
2010-12-09 21:53 . 2010-12-10 16:12	--------	d-----w-	c:\programdata\Lavasoft
2010-12-09 13:53 . 2010-12-10 16:12	--------	d-----w-	c:\program files\Lavasoft
2010-12-08 21:27 . 2010-12-09 14:26	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-12-08 21:08 . 2010-12-08 21:20	16968	----a-w-	c:\windows\system32\drivers\hitmanpro35.sys
2010-12-08 21:06 . 2010-12-09 14:26	--------	d-----w-	c:\programdata\Hitman Pro
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Malwarebytes
2010-12-08 08:16 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-08 08:16 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-08 00:07 . 2010-12-09 14:26	--------	d-----w-	c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
2010-12-08 00:07 . 2010-12-08 00:07	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-12-07 21:21 . 2010-12-07 21:21	72704	--sha-r-	c:\users\Emrah\AppData\Roaming\ntvdmdz.dll
2010-12-05 21:12 . 2010-12-12 18:29	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Media Player Classic
2010-12-05 21:06 . 2010-03-15 09:31	165376	----a-w-	c:\windows\system32\unrar.dll
2010-12-05 21:05 . 2010-06-08 16:10	790528	----a-w-	c:\windows\system32\xvidcore.dll
2010-12-05 21:05 . 2010-06-08 16:10	134144	----a-w-	c:\windows\system32\xvidvfw.dll
2010-12-05 21:05 . 2010-01-17 15:18	151552	----a-w-	c:\windows\system32\ac3acm.acm
2010-12-05 21:05 . 2008-09-24 18:41	839680	----a-w-	c:\windows\system32\lameACM.acm
2010-12-05 21:05 . 2004-01-25 16:18	217088	----a-w-	c:\windows\system32\yv12vfw.dll
2010-12-05 21:05 . 2010-10-18 08:00	108032	----a-w-	c:\windows\system32\ff_vfw.dll
2010-12-05 21:05 . 2010-12-05 21:11	--------	d-----w-	c:\program files\K-Lite Codec Pack
2010-12-05 10:03 . 2010-12-09 14:26	--------	d-----w-	c:\users\Emrah\AppData\Roaming\vlc
2010-11-25 22:20 . 2010-11-25 22:20	--------	d-----w-	c:\users\Emrah\AppData\Local\Google
2010-11-25 22:19 . 2010-11-25 22:19	--------	d-----w-	c:\program files\Google
2010-11-24 08:45 . 2010-10-19 08:10	7680	----a-w-	c:\program files\Internet Explorer\iecompat.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-10-24 16:21	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-30 09:41 . 2010-09-30 09:41	80896	----a-w-	c:\windows\cadkasdeinst01.exe
2010-09-15 02:50 . 2010-07-09 06:45	472808	----a-w-	c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2009-12-25 15:42	129552	----a-w-	c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VitaKeyPdtWzd"="c:\program files\Acer Bio Protection\PdtWzd.exe" [2009-06-01 3558912]
"PLFSetI"="c:\windows\PLFSetI.exe" [2009-10-24 200704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-03 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-03 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-03 143872]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SAP_WUS_UNT"="c:\program files\SAP\SAPsetup\setup\Updater\NwSapSetupUserNotificationTool.exe" [2010-02-25 226672]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2009-12-25 340456]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-17 795936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	c:\program files\Acer Bio Protection\PwdFilter

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-08 29472]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-06-29 112128]
R3 hitmanpro35;Hitman Pro 3.5 Support Driver;c:\windows\system32\drivers\hitmanpro35.sys [2010-12-08 16968]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-06-29 102912]
S0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\DRIVERS\CSCrySec.sys [2009-12-14 88632]
S0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\DRIVERS\klbg.sys [2009-10-14 36880]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-05-04 691696]
S1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\DRIVERS\CSVirtualDiskDrv.sys [2009-12-14 39352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2009-09-14 21520]
S1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2007-04-24 16688]
S2 CSObjectsSrv;Verwaltungsservice vom CryproStorage-System;c:\program files\Common Files\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [2009-12-21 743992]
S2 FPSensor;EgisTec-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2009-10-24 22528]
S2 IGBASVC;EgisTec Service;c:\program files\Acer Bio Protection\BASVC.exe [2009-06-01 3444736]
S2 NWSAPAutoWorkstationUpdateSvc;SAPSetup Automatic Workstation Update Service;c:\program files\SAP\SAPsetup\setup\Updater\NwSapAutoWorkstationUpdateService.exe [2010-02-25 263536]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-10-02 19472]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

.
.
------- Zusätzlicher Suchlauf -------
.
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Hinzufügen zu Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\users\Emrah\AppData\Roaming\Mozilla\Firefox\Profiles\wyvc1yc3.default\
FF - prefs.js: browser.startup.homepage - tonline.de
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - component: c:\users\Emrah\AppData\Roaming\Kaspersky Lab\Password Manager\kpmAutofill\components\kpmAutofill.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Password Manager Autofill Engine: {72CA2996-F580-47DF-98FF-0B853D09CEC8} - c:\users\Emrah\AppData\Roaming\Kaspersky Lab\Password Manager\kpmAutofill

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Convert Image To PDF_is1 - c:\program files\Softinterface
AddRemove-HitmanPro35 - G:\HitmanPro35.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,34,0b,d2,95,e5,b2,47,8e,ae,82,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,34,0b,d2,95,e5,b2,47,8e,ae,82,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(540)
c:\program files\Acer Bio Protection\PwdFilter.DLL

- - - - - - - > 'Explorer.exe'(2564)
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
.
Zeit der Fertigstellung: 2010-12-12  19:57:47
ComboFix-quarantined-files.txt  2010-12-12 18:57

Vor Suchlauf: 12 Verzeichnis(se), 108.259.405.824 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 107.837.669.376 Bytes frei

- - End Of File - - A8C1962E30DE46A418A71F0C80F3A507
         
--- --- ---

Alt 13.12.2010, 08:00   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
c:\program files\EagleSvr.exe
c:\program files\EagleR.dll
c:\users\Emrah\AppData\Roaming\ntvdmdz.dll

Folder::
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.12.2010, 13:17   #11
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-11.06 - Emrah 13.12.2010  13:58:04.2.2 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.1977.1270 [GMT 1:00]
ausgeführt von:: c:\users\Emrah\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\users\Emrah\Desktop\CFScript.txt
AV: Kaspersky PURE *Disabled/Updated* {AE1D740B-8F0F-D137-211D-873D44B3F4AE}
FW: Kaspersky PURE *Disabled* {9626F52E-C560-D06F-0A42-2E08BA60B3D5}
SP: Kaspersky PURE *Disabled/Updated* {157C95EF-A935-DEB9-1BAD-BC4F3F34BE13}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\program files\EagleR.dll"
"c:\program files\EagleSvr.exe"
"c:\users\Emrah\AppData\Roaming\ntvdmdz.dll"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\EagleR.dll
c:\program files\EagleSvr.exe
c:\users\Emrah\AppData\Roaming\ntvdmdz.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCall.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla17.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla18.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla18.exe
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla19.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla2.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla20.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla21.dll
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseCustomCalla21.exe
c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP\WiseData.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-13 bis 2010-12-13  ))))))))))))))))))))))))))))))
.

2010-12-13 13:08 . 2010-12-13 13:08	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-12-12 18:24 . 2010-12-12 18:24	--------	d-----w-	c:\program files\CCleaner
2010-12-11 10:50 . 2010-12-11 10:50	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Kaspersky Lab
2010-12-10 22:25 . 2010-12-10 22:25	--------	d-----w-	C:\_OTL
2010-12-10 16:48 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0C7C52F0-01CD-4EC3-B288-6D90A748F615}\mpengine.dll
2010-12-10 09:05 . 2009-12-25 15:42	162320	----a-w-	c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
2010-12-10 09:05 . 2010-12-10 09:25	97859	----a-w-	c:\windows\system32\drivers\klick.dat
2010-12-10 09:05 . 2010-12-10 09:25	114243	----a-w-	c:\windows\system32\drivers\klin.dat
2010-12-10 09:04 . 2009-12-14 11:44	88632	----a-w-	c:\windows\system32\drivers\CSCrySec.sys
2010-12-10 09:04 . 2009-12-14 11:44	39352	----a-w-	c:\windows\system32\drivers\CSVirtualDiskDrv.sys
2010-12-10 09:03 . 2010-12-10 09:03	--------	d-----w-	c:\program files\Common Files\InfoWatch
2010-12-10 09:03 . 2010-12-10 09:03	--------	d-----w-	c:\program files\Kaspersky Lab
2010-12-10 08:18 . 2010-12-13 12:49	--------	d-----w-	c:\programdata\Kaspersky Lab
2010-12-09 21:59 . 2010-12-10 16:12	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-12-09 21:59 . 2010-12-09 21:59	98392	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-12-09 21:54 . 2010-12-09 21:54	--------	d-----w-	c:\users\Emrah\AppData\Local\Sunbelt Software
2010-12-09 21:53 . 2010-12-10 16:12	--------	d-----w-	c:\programdata\Lavasoft
2010-12-09 13:53 . 2010-12-10 16:12	--------	d-----w-	c:\program files\Lavasoft
2010-12-08 21:27 . 2010-12-09 14:26	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-12-08 21:08 . 2010-12-08 21:20	16968	----a-w-	c:\windows\system32\drivers\hitmanpro35.sys
2010-12-08 21:06 . 2010-12-09 14:26	--------	d-----w-	c:\programdata\Hitman Pro
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Malwarebytes
2010-12-08 08:16 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-08 08:16 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-08 08:16 . 2010-12-08 08:16	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-08 00:07 . 2010-12-08 00:07	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-12-05 21:12 . 2010-12-12 18:29	--------	d-----w-	c:\users\Emrah\AppData\Roaming\Media Player Classic
2010-12-05 21:06 . 2010-03-15 09:31	165376	----a-w-	c:\windows\system32\unrar.dll
2010-12-05 21:05 . 2010-06-08 16:10	790528	----a-w-	c:\windows\system32\xvidcore.dll
2010-12-05 21:05 . 2010-06-08 16:10	134144	----a-w-	c:\windows\system32\xvidvfw.dll
2010-12-05 21:05 . 2010-01-17 15:18	151552	----a-w-	c:\windows\system32\ac3acm.acm
2010-12-05 21:05 . 2008-09-24 18:41	839680	----a-w-	c:\windows\system32\lameACM.acm
2010-12-05 21:05 . 2004-01-25 16:18	217088	----a-w-	c:\windows\system32\yv12vfw.dll
2010-12-05 21:05 . 2010-10-18 08:00	108032	----a-w-	c:\windows\system32\ff_vfw.dll
2010-12-05 21:05 . 2010-12-05 21:11	--------	d-----w-	c:\program files\K-Lite Codec Pack
2010-12-05 10:03 . 2010-12-09 14:26	--------	d-----w-	c:\users\Emrah\AppData\Roaming\vlc
2010-11-25 22:20 . 2010-11-25 22:20	--------	d-----w-	c:\users\Emrah\AppData\Local\Google
2010-11-25 22:19 . 2010-11-25 22:19	--------	d-----w-	c:\program files\Google
2010-11-24 08:45 . 2010-10-19 08:10	7680	----a-w-	c:\program files\Internet Explorer\iecompat.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-10-24 16:21	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-30 09:41 . 2010-09-30 09:41	80896	----a-w-	c:\windows\cadkasdeinst01.exe
2010-09-15 02:50 . 2010-07-09 06:45	472808	----a-w-	c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2009-12-25 15:42	129552	----a-w-	c:\program files\Kaspersky Lab\Kaspersky PURE\shellex.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VitaKeyPdtWzd"="c:\program files\Acer Bio Protection\PdtWzd.exe" [2009-06-01 3558912]
"PLFSetI"="c:\windows\PLFSetI.exe" [2009-10-24 200704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-03-06 1434920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-03 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-03 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-03 143872]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SAP_WUS_UNT"="c:\program files\SAP\SAPsetup\setup\Updater\NwSapSetupUserNotificationTool.exe" [2010-02-25 226672]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky PURE\avp.exe" [2009-12-25 340456]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-17 795936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	c:\program files\Acer Bio Protection\PwdFilter

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-08 29472]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-06-29 112128]
R3 hitmanpro35;Hitman Pro 3.5 Support Driver;c:\windows\system32\drivers\hitmanpro35.sys [2010-12-08 16968]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-06-29 102912]
S0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\DRIVERS\CSCrySec.sys [2009-12-14 88632]
S0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\DRIVERS\klbg.sys [2009-10-14 36880]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-05-04 691696]
S1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\DRIVERS\CSVirtualDiskDrv.sys [2009-12-14 39352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2009-09-14 21520]
S1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2007-04-24 16688]
S2 CSObjectsSrv;Verwaltungsservice vom CryproStorage-System;c:\program files\Common Files\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [2009-12-21 743992]
S2 FPSensor;EgisTec-Corp Fingerprint Reader Driver (FPSensor.sys);c:\windows\system32\Drivers\FPSensor.sys [2009-10-24 22528]
S2 IGBASVC;EgisTec Service;c:\program files\Acer Bio Protection\BASVC.exe [2009-06-01 3444736]
S2 NWSAPAutoWorkstationUpdateSvc;SAPSetup Automatic Workstation Update Service;c:\program files\SAP\SAPsetup\setup\Updater\NwSapAutoWorkstationUpdateService.exe [2010-02-25 263536]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-10-02 19472]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

.
.
------- Zusätzlicher Suchlauf -------
.
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Hinzufügen zu Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky PURE\ie_banner_deny.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
FF - ProfilePath - c:\users\Emrah\AppData\Roaming\Mozilla\Firefox\Profiles\wyvc1yc3.default\
FF - prefs.js: browser.startup.homepage - tonline.de
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - component: c:\users\Emrah\AppData\Roaming\Kaspersky Lab\Password Manager\kpmAutofill\components\kpmAutofill.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Password Manager Autofill Engine: {72CA2996-F580-47DF-98FF-0B853D09CEC8} - c:\users\Emrah\AppData\Roaming\Kaspersky Lab\Password Manager\kpmAutofill

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,34,0b,d2,95,e5,b2,47,8e,ae,82,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,34,0b,d2,95,e5,b2,47,8e,ae,82,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(544)
c:\program files\Acer Bio Protection\PwdFilter.DLL
.
Zeit der Fertigstellung: 2010-12-13  14:11:55
ComboFix-quarantined-files.txt  2010-12-13 13:11
ComboFix2.txt  2010-12-12 18:57

Vor Suchlauf: 15 Verzeichnis(se), 107.719.774.208 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 107.668.918.272 Bytes frei

- - End Of File - - 775378AFA1FBC72762AFF59FAD954112
         
--- --- ---

Alt 13.12.2010, 13:39   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.12.2010, 16:03   #13
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Hallo,

habe alles im Anhang.

Die online Abfrage durch isam habe ich ausversehen doch ausgeführt.
Ich hoffe das ist nicht so schlimm:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:50:43 on 13.12.2010

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[AppInit DLLs]
-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----
"AppInit_DLLs" - "Kaspersky Lab" - c:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
"AppInit_DLLs" - "Kaspersky Lab" - C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\Windows\system32\DivXControlPanelApplet.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ah1bstyu" (ah1bstyu) - "Microsoft Corporation" - C:\Windows\system32\drivers\ah1bstyu.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"catchme" (catchme) - ? - C:\Users\Emrah\AppData\Local\Temp\catchme.sys  (File not found)
"esgiguard" (esgiguard) - ? - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys  (File not found)
"Hitman Pro 3.5 Support Driver" (hitmanpro35) - ? - C:\Windows\system32\drivers\hitmanpro35.sys
"int15" (int15) - ? - C:\Windows\system32\drivers\int15.sys  (File found, but it contains no detailed information)
"LUMDriver" (LUMDriver) - "IBM" - C:\Windows\system32\drivers\LUMDriver.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{D1F8BD1E-7967-11D2-B43A-006094B9EADB} "SAP HTML Pluggable Protocol" - "SAP, Walldorf" - c:\program files\sap\frontend\sapgui\saphtmlp.dll
{D1F8BD1E-7967-11D2-B43A-006094B9EADB} "SAP HTML Pluggable Protocol" - "SAP, Walldorf" - c:\program files\sap\frontend\sapgui\saphtmlp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL
{D6E8EFB0-F677-454F-97AC-5BE691082BDB}} "ConvertPDF Context Menu Handler" - ? -   (File not found | COM-object registry key not found)
{D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll
{83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll
{8F9D8FBE-C5C1-4B65-986E-51235C9283E8} "FPLaunchCache" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\FPLaunchCache.dll
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btncopy.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab" - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
"@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab" - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
"Quick-Launch Area" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\PwdBank.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab" - C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtbbho.dll
{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab" - C:\Program Files\Kaspersky Lab\Kaspersky PURE\ievkbd.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -   (File not found | COM-object registry key not found)

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Notification packages" - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\PwdFilter.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Emrah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Sophos AutoUpdate Monitor.lnk" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sophos AutoUpdate Monitor.lnk  (Shortcut exists | File not found)
"Bluetooth.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"DAEMON Tools Lite" - "DT Soft Ltd" - "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AVP" - "Kaspersky Lab" - "C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe"
"DivXUpdate" - ? - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
"Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
"PLFSetI" - ? - C:\Windows\PLFSetI.exe
"SAP_WUS_UNT" - "SAP AG" - "C:\Program Files\SAP\SAPsetup\setup\Updater\NwSapSetupUserNotificationTool.exe"
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
"VitaKeyPdtWzd" - "Egis Technology Inc." - "C:\Program Files\Acer Bio Protection\PdtWzd.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
"EgisTec Service" (IGBASVC) - "Egis Technology Inc." - C:\Program Files\Acer Bio Protection\BASVC.exe
"Kaspersky PURE" (AVP) - "Kaspersky Lab" - C:\Program Files\Kaspersky Lab\Kaspersky PURE\avp.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"OpenVPN Service" (OpenVPNService) - ? - C:\Program Files\OpenVPN\bin\openvpnserv.exe  (File found, but it contains no detailed information)
"SAPSetup Automatic Workstation Update Service" (NWSAPAutoWorkstationUpdateSvc) - "SAP AG" - C:\Program Files\SAP\SAPsetup\setup\Updater\NwSapAutoWorkstationUpdateService.exe
"Verwaltungsservice vom CryproStorage-System" (CSObjectsSrv) - "Infowatch" - C:\Program Files\Common Files\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe

[Winlogon]
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"klogon" - "Kaspersky Lab" - C:\Windows\system32\klogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



Gruß
Emrah
Angehängte Dateien
Dateityp: txt gmer.txt (62,7 KB, 162x aufgerufen)
Dateityp: txt MBRCheck_12.13.10_16.57.42.txt (9,2 KB, 154x aufgerufen)

Alt 13.12.2010, 21:20   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



Das Log von mbrcheck ist leider unvollständig
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 13.12.2010, 21:28   #15
emrah55
 
Think Point, wirklich entfernt? - Standard

Think Point, wirklich entfernt?



So, habs nochmal gemacht
Angehängte Dateien
Dateityp: txt MBRCheck_12.13.10_22.26.47.txt (13,6 KB, 163x aufgerufen)

Antwort

Themen zu Think Point, wirklich entfernt?
anhang, beschreibung, eingefangen, entfern, entfernt, entfernt?, folge, folgenden, folgendes, forum, freue, gefangen, heuristics.reserved.word.exploit, hijack.zones, komplett, point, problem, think point, thinkpoint, virus, wirklich, wirklich entfernt?, zusammen



Ähnliche Themen: Think Point, wirklich entfernt?


  1. AVG wirklich Trojaner entfernt (WIRKLICH DRINGEND!)
    Plagegeister aller Art und deren Bekämpfung - 16.01.2015 (19)
  2. BoBrowser wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 26.11.2014 (4)
  3. Wirklich alle Trojaner vom PC entfernt?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2013 (15)
  4. Searchqu Toolbar wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (4)
  5. Win 7 Security 2012 wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 20.12.2011 (1)
  6. System Fix, wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (19)
  7. Zlob.1035 wirklich vom PC entfernt?
    Plagegeister aller Art und deren Bekämpfung - 02.06.2011 (37)
  8. Windows Diagnostic wirklich entfernt? - Log files
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (16)
  9. Thinkpoint lt. Anleitung entfernt - Bin ich ihn wirklich los?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2010 (3)
  10. Think Point - Fake Malware - wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  11. Think Point entfernt?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (3)
  12. Ist antimalware doctor wirklich entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 09.05.2010 (29)
  13. Antimalware Doctor nun wirklich entfernt?
    Log-Analyse und Auswertung - 03.05.2010 (4)
  14. Malware Defense wirklich entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (3)
  15. Facebook-Virus wirklich entfernt?
    Log-Analyse und Auswertung - 04.01.2010 (1)
  16. Virtumonde und Co. entfernt - wirklich sauber?
    Log-Analyse und Auswertung - 30.07.2008 (8)
  17. SPR/WildTangent.B.1 virus wirklich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 20.06.2005 (0)

Zum Thema Think Point, wirklich entfernt? - Hallo alle zusammen, ich habe folgendes Problem: hab mir vorgestern das virus ThinkPoint eingefangen und es nach der Beschreibung hier im Forum entfernt. Ich bin nach den folgenden Beschreibungen vorgegangen: - Think Point, wirklich entfernt?...
Archiv
Du betrachtest: Think Point, wirklich entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.