Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: System tool 2011 zunächst bekämpft - aber wie gehts weiter?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.01.2011, 16:48   #1
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Frage

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Hallo, hoffentlich könnt ihr mir helfen....

ich habe am Donnerstag beim Surfen die Malware System tool 2011 auf den Rechner bekommen. Nach den üblichen Symptomen - vorgegebener Systemscan, lästige Popup-Fenster mit Sicherweitswarnungen, Programme liessen sich nicht mehr öffnen, blauer Desktop mit roter Sicherweitswarnung - wurde windows dann automatisch heruntergefahren.

Habe bisher folgendes unternommen:
- Neustart im abgesicherten Modus, dann Systemwiederherstellung vier Tage zurück
- Neustart im normalen Modus. Desktop war wieder normal, Icon "System Tool 2011" war auf Desktop verschwunden, im Startmenü war unter Programme nichts mehr von System Tool gelistet, Rechner lief normal, Programme liessen sich öffnen
- da eine Systemwiederherstellung den Schädling an sich nicht entfernt, habe ich Malwarebytes Antimalware heruntergeladen, installiert, Datenbank manuell aktualisiert und laufen lassen - Log-Dateien siehe Anhang
- dann OTL von Oldtimer heruntergeladen und ebenfalls laufen lassen, log-Dateien siehe Anhang.

Kann ich davon ausgehen, dass das System wieder clean ist oder sind weitere Schritte notwendig bzw. empfehlenswert?

Ich habe nicht sehr viel Ahnung von PCs und bin auch neu hier im Forum! Bitte daher zu entschuldigen, falls ich mal was unklar formuliere oder sonst was falsch mache...
Herzlichen Dank schon mal im voraus für eure Mühe!

Tom2

Geändert von Tom2 (29.01.2011 um 16:58 Uhr)

Alt 30.01.2011, 20:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O33 - MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\Shell\AutoRun\command - "" = travel&work.exe
O33 - MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\Shell\Shell00\Command - "" = travel&work.exe
O33 - MountPoints2\{69b12162-53c7-11db-ad69-003005550b25}\Shell\AutoRun\command - "" = F:\Autorun.exe
O33 - MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\Shell - "" = AutoRun
O33 - MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\Shell - "" = AutoRun
O33 - MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
[2011.01.27 18:53:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dMbDaLi07633
[2011.01.27 18:37:54 | 001,228,854 | ---- | C] () -- C:\fsqwr.bmp
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________

__________________

Alt 31.01.2011, 17:07   #3
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Hallo Arne,
danke für die Antwort. Habe Log-file wie angegeben erstellen lassen - siehe unten. Konnte die Datei nicht als Anhang hochladen, es kam Fehlermeldung: Ungültige Datei. Ich hoffe, du kannst auch so was damit anfangen.

Gruß
Tom2

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found.
File travel&work.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3442847a-5b93-11db-ad7b-00040ec9363d}\ not found.
File travel&work.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69b12162-53c7-11db-ad69-003005550b25}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{69b12162-53c7-11db-ad69-003005550b25}\ not found.
File F:\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99c362fe-db8f-11de-b068-003005550b25}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99c362fe-db8f-11de-b068-003005550b25}\ not found.
File F:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a6044360-774c-11dd-af44-003005550b25}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a6044360-774c-11dd-af44-003005550b25}\ not found.
File F:\LaunchU3.exe -a not found.
Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dMbDaLi07633\ not found.
C:\fsqwr.bmp moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temporary Internet Files folder emptied: 205592 bytes
->Flash cache emptied: 41 bytes

User: Administrator.SIMONSPC
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1865840 bytes

User: Simon
->Temp folder emptied: 298737 bytes
->Temporary Internet Files folder emptied: 24099676 bytes
->Java cache emptied: 8783320 bytes
->FireFox cache emptied: 55431496 bytes
->Flash cache emptied: 112991 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139136 bytes
%systemroot%\System32 .tmp files removed: 4008327 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 119818379 bytes
RecycleBin emptied: 28027560 bytes

Total Files Cleaned = 233,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 01312011_165609

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
__________________

Alt 31.01.2011, 19:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.01.2011, 20:48   #5
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



ok, anbei die log-Datei von ComboFix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-31.01 - Simon 31.01.2011  20:27:47.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\cofi.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-31  ))))))))))))))))))))))))))))))
.

2011-01-31 19:00 . 2011-01-31 19:00	--------	d-----w-	c:\programme\CCleaner
2011-01-31 16:00 . 2011-01-31 16:00	--------	d-----w-	c:\windows\LastGood
2011-01-30 13:56 . 2011-01-30 13:56	--------	d-----w-	c:\windows\system32\XPSViewer
2011-01-30 13:56 . 2011-01-30 13:56	--------	d-----w-	c:\programme\MSBuild
2011-01-30 13:56 . 2011-01-30 13:56	--------	d-----w-	c:\programme\Reference Assemblies
2011-01-30 13:55 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2011-01-30 13:55 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2011-01-30 13:55 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2011-01-30 13:55 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2011-01-30 13:55 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2011-01-30 13:55 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2011-01-30 13:55 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2011-01-30 13:55 . 2011-01-30 13:55	--------	d-----w-	C:\1d92f480e7b2b63d7652acd6079d
2011-01-30 13:55 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2011-01-30 13:55 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2011-01-30 13:47 . 2011-01-30 13:47	--------	d-----w-	c:\programme\MSXML 6.0
2011-01-28 17:54 . 2011-01-29 11:57	--------	d-----w-	c:\windows\system32\CatRoot_bak
2011-01-28 17:48 . 2008-06-14 17:57	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2011-01-28 17:47 . 2009-11-21 16:37	470528	-c----w-	c:\windows\system32\dllcache\aclayers.dll
2011-01-28 17:47 . 2010-06-14 14:30	743936	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2011-01-28 17:44 . 2008-05-01 14:30	331776	-c----w-	c:\windows\system32\dllcache\msadce.dll
2011-01-28 17:44 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-01-28 17:43 . 2009-06-05 07:42	655872	-c----w-	c:\windows\system32\dllcache\mstscax.dll
2011-01-28 17:40 . 2008-04-21 21:25	217600	-c----w-	c:\windows\system32\dllcache\wordpad.exe
2011-01-28 17:14 . 2011-01-28 17:14	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Malwarebytes
2011-01-28 17:14 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-28 17:14 . 2011-01-28 17:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-28 17:14 . 2011-01-28 19:23	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-28 17:14 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-27 17:54 . 2011-01-27 17:54	--------	d-----w-	c:\windows\system32\wbem\Repository
2011-01-27 17:49 . 2011-01-27 17:53	--------	d-s---w-	c:\dokumente und einstellungen\Administrator
2011-01-27 17:01 . 2011-01-27 17:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dMbDaLi07633

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-08-12 335872]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-02-22 1499136]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-09-25 229952]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Omnipage"="c:\programme\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 147456]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-12-20 35328]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"D-Link AirPlus XtremeG DWL-G122"="c:\programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe" [2008-01-02 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-9-1 110592]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-10-4 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04.07.2008 11:52 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [12.01.2010 19:59 135664]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [04.10.2006 17:53 264704]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HTTPFILTER
.
Inhalt des "geplante Tasks" Ordners

2010-11-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2011-01-31 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-07-27 21:23]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-12 18:59]

2011-01-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-12 18:59]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Simon\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\egeaknrp.default\
FF - prefs.js: browser.search.selectedEngine - AVG Secure Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.avg.com/route/?d=4ccc6fcb&v=6.010.006.004&i=23&tp=ab&iy=&ychte=de&lng=de&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-MobileConnect - %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-31 20:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3452)
c:\programme\ScanSoft\OmniPageSE\ophook32.dll
c:\progra~1\Logitech\MOUSEW~1\SYSTEM\LgMousHk.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-01-31  20:41:48
ComboFix-quarantined-files.txt  2011-01-31 19:41

Vor Suchlauf: 10 Verzeichnis(se), 26.243.887.104 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 26.215.374.848 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - CD35B58E0E1CC0D20917E24D33FADABF
         
--- --- ---

Viele Grüße
Tom2


Alt 31.01.2011, 21:35   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
--> System tool 2011 zunächst bekämpft - aber wie gehts weiter?

Alt 04.02.2011, 13:53   #7
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



so, anbei die log-files von OSAM (unten) und MBRCheck (Anhang).
GMER wurde wie angegeben als erstes ausgeführt und lief zwar stabil, hat aber allem Anschein nach keine log-Datei erstellt. Nach dem Scan kam eine Meldung (sinngemäß), dass keine Rootkits/ Malware gefunden wurde. Das Fenster unter dem Menüpunkt Rootkit/ Malware war leer. Anschließend ging ich auf COPY, wobei sich in der Zwischenablage nichts befand. Ich hoffe, das ist so ok.

Gruß
Tom2

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 13:35:09 on 04.02.2011

OS: Windows XP Home Edition Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"Google Software Updater.job" - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"ISUSPM.cpl" - "Macrovision Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"slcpappl.cpl" - ? - C:\WINDOWS\system32\slcpappl.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"SMAX3CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax3CP.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ANIO Service" (ANIO) - "Alpha Networks Inc." - C:\WINDOWS\system32\ANIO.SYS
"catchme" (catchme) - ? - C:\DOKUME~1\Simon\LOKALE~1\Temp\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"GEARAspiWDM" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Computer, Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{73B24247-042E-4EF5-ADC2-42F62E6FD654} "MCLiteShellExt Class" - ? - C:\Programme\ICQLite\ICQLiteShell.dll
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"Klicke hier um das Projekt xp-AntiSpy zu unterstützen" - ? - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "Java Plug-in 1.5.0_09" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\System32\Macromed\Flash\Flash9.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
{33564D57-0000-0010-8000-00AA00389B71} "{33564D57-0000-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ Lite" - "ICQ Ltd." - C:\Programme\ICQLite\ICQLite.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" - ? -   (File not found | COM-object registry key not found)

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Acrobat Assistant.lnk" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe  (Shortcut exists | File exists)
"Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"InterVideo WinCinema Manager.lnk" - ? - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ANIWZCS2Service" - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
"ATIPTA" - "ATI Technologies, Inc." - C:\ATI-CPanel\atiptaxx.exe
"AVMWlanClient" - "AVM GmbH Berlin" - C:\Programme\avmwlanstick\wlangui.exe
"D-Link AirPlus XtremeG DWL-G122" - "D-Link" - C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
"EM_EXEC" - "Logitech Inc.                    " - C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"iTunesHelper" - "Apple Computer, Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"NeroCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe
"Omnipage" - "ScanSoft, Inc" - C:\Programme\ScanSoft\OmniPageSE\opware32.exe
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"Smapp" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMTray.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ANIWZCSd Service" (ANIWZCSdService) - "Wireless Service" - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"iPod Service" (iPod Service) - "Apple Computer, Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
"Vodafone Mobile Connect Service" (VMCService) - "Vodafone" - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 04.02.2011, 15:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Zitat:
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Warum fehlt bei dir eigentlich SP3 und IE8??
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.02.2011, 11:10   #9
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



sorry - das hat eine Weile gedauert, bis ich dazu kam, die Scans auszuführen. Im Anhang bzw. unten die beiden Logs. Superantispyware hat über 7 Stunden gescannt - ganz schön lange.
Vielen Dank für deine hilfreichen Anleitungen - das hätte ich alleine so nicht hinbekommen.
Zu SP 3 und IE 8: Da mein Rechner nicht der schnellste ist, hatte ich die automatische Update-Funktion vom Sicherheitscenter deaktiviert - was man wohl nicht tun sollte
Jetzt ist sie wieder an. Allerdings konnte nun SP3 nicht vollständig installiert werden - irgendwann kam die Nachricht, dass der Zugriff verweigert wurde - auf was, war nicht zu lesen. Der Installationsvorgang wurde zwar zu Ende geführt, aber es wurde angeblich nicht alles installiert.
Ein weiteres Update - Sicherheitsupdate (ich glaube mit der Bezeichnung XML 6.0 service) für SP 2 ist ebenfalls fehlgeschlagen.
Vielleicht gehört das in ein neues Thema, aber wenn ich schon dabei bin, noch eine abschließende Frage: Der Ordner Temporary Internet Files ist bei mir als "Versteckt" gekennzeichnet - allerdings in grauer Schrift, so dass ich den Haken nicht herausnehmen kann. Der Ordner enthält Dateien, was unter "Eigenschaften" mitgeteilt wird - die Dateien sind aber im Explorer nicht sichtbar. Ich weiß nicht, wie ich die Einstellung ändern kann.
Ich bin mir sicher, dass die Dateien vor der Attacke von System tool sichtbar waren - könnte das mit dem Malware-Befall zusammenhängen und wenn ja, wie kann ich das wieder ändern?
Wäre die sehr dankbar, wenn du dazu noch was schreiben könntest.

Gruß und nochmals Danke
Tom2



SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 02/12/2011 bei 07:04 AM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6348
Version der Spur-Datenbank : 4160

Scan Art : kompletter Scann
Totale Scann-Zeit : 07:30:26

Gescannte Speicherelemente : 469
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6542
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 81911
Erfasste Datei-Elemente : 0

Alt 12.02.2011, 11:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Versuchs mal mit dem kompletten Paket des SP3 => http://www.microsoft.com/downloads/d...displaylang=de
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.02.2011, 15:49   #11
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



danke für den Tip - leider trat dieselbe Fehlermeldung ("kein Zugriff") auf, so dass SP 3 nicht installiert wurde.

Alt 13.02.2011, 20:39   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Erstell dir mal ein neues Benutzerkonto mit Adminrechten über die Systemsteuerung und log dich damit ein. Versuch das SP3 darüber zu installieren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.02.2011, 14:47   #13
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



hab ich gemacht - leider das selbe Problem mit dem neuen Benutzerkonto.
Hättest du zu der anderen Sache (keine Anzeige der Temp Internet files) noch eine Idee?
Danke vorab.

Gruß
Tom2

Alt 20.02.2011, 18:22   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Vllt hilft das hier => >> Windows XP SP3 - Zugriff verweigert Meldung - Der FIX! - Joomla-Blog.net Insider
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.03.2011, 18:01   #15
Tom2
 
System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Standard

System tool 2011 zunächst bekämpft - aber wie gehts weiter?



Danke - evt. werde ich das noch ausprobieren, aber da die Installation wohl doch etwas aufwendiger wird, verschiebe ich das noch mal. Jedenfalls scheint das "Zugriff-verweigert"-Problem mit der Registry zusammenzuhängen, ebenso auch das Ausblenden der Dateien im Temp-Internet-Files-Ordner.
Mein Rechner ist alt und nicht der schnellste - deshalb denke ich ohnehin seit einiger Zeit über eine Neuanschaffung nach.
Für die Hilfe mit dem Trojaner und den anderen Problemchens nochmals vielen Dank.

Gruß

Tom2

Antwort

Themen zu System tool 2011 zunächst bekämpft - aber wie gehts weiter?
antimalware, ausgehen, automatisch, clean, desktop, desktop verschwunden, falsch, folge, forum, gen, icon, malware, malwarebytes, malwarebytes antimalware, neustart, nicht mehr, nicht mehr öffnen, oldtimer, pcs, popup-fenster, programme, rechner, schädling, surfen, system, systemwiederherstellung, tool, verschwunden, windows, öffnen



Ähnliche Themen: System tool 2011 zunächst bekämpft - aber wie gehts weiter?


  1. ANTI-SPYWARE (wie gehts weiter) ?
    Plagegeister aller Art und deren Bekämpfung - 26.11.2014 (35)
  2. bka trojaner entfernen - wie gehts weiter?
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (1)
  3. OTLPE scan durchgeführt wie gehts weiter
    Log-Analyse und Auswertung - 04.05.2012 (5)
  4. Trojaner - OTL Log - wie gehts weiter?
    Log-Analyse und Auswertung - 01.05.2012 (2)
  5. BKA/Virus/OTLPE installiert wie gehts weiter
    Log-Analyse und Auswertung - 02.04.2012 (1)
  6. "System-Check Virus" eingefangen, MAM schon durchgführt, wie gehts weiter?
    Log-Analyse und Auswertung - 27.03.2012 (34)
  7. Habe den € 50 Trojaner, wie gehts nun weiter?
    Plagegeister aller Art und deren Bekämpfung - 13.02.2012 (1)
  8. LOG File für BRK Virus, wie gehts weiter?
    Log-Analyse und Auswertung - 14.08.2011 (18)
  9. System Tool 2011 infection. Abgesicherter Modus startet nicht
    Plagegeister aller Art und deren Bekämpfung - 28.02.2011 (26)
  10. System Tool entfernen, aber wie ?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2011 (43)
  11. System Tool 2011 legt PC lahm
    Plagegeister aller Art und deren Bekämpfung - 12.01.2011 (3)
  12. "System Tool 2011"
    Plagegeister aller Art und deren Bekämpfung - 12.01.2011 (2)
  13. System Tool 2011?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (16)
  14. System Tool 2011 Extreme
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (20)
  15. Google Links leiten mich üebr Firefox zunächst auf ebay weiter
    Log-Analyse und Auswertung - 16.12.2008 (20)
  16. HiJackThisLog File-? Wie gehts weiter?!
    Mülltonne - 12.11.2007 (1)
  17. Hilfe Wie Gehts Jetzt Weiter
    Log-Analyse und Auswertung - 27.01.2005 (1)

Zum Thema System tool 2011 zunächst bekämpft - aber wie gehts weiter? - Hallo, hoffentlich könnt ihr mir helfen.... ich habe am Donnerstag beim Surfen die Malware System tool 2011 auf den Rechner bekommen. Nach den üblichen Symptomen - vorgegebener Systemscan, lästige Popup-Fenster - System tool 2011 zunächst bekämpft - aber wie gehts weiter?...
Archiv
Du betrachtest: System tool 2011 zunächst bekämpft - aber wie gehts weiter? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.