TR/Crypt.ZPACK.Gen und ADWARE/NaviPromo.2.93 entfernen
 

Hallo zusammen,

ich hab leider ein kleiner/großes Problem und hoffe ich konnte es lösen. Allerdings brauche ich dazu einen fachmännischen Rat von euch.

Ich hab mir heute Format Factory runtergeladen um Videos meiner Canon Kamera von MVI auf AVI umzuwandeln. Leider hat das nicht so ganz funktioniert... die finalen Dateien waren ca. 1 Sekunde lang, anstatt die tatsächliche Videolänge zu zeigen.

Nach langem Suchen in irgendwelchen Forum fand ich den Hinweis, das womöglich ein trojanisches Pferd auf dem Rechner sein könnte, der das Problem verursacht. Ich hab den Virenscanner Avira laufen lassen und tatsächlich: Avira hat TR/Crypt.ZPACK.Gen und ADWARE/NaviPromo.2.93 gefunden.

Nach langem einlesen im Internet habe ich folgendes gemacht:

1. Hab heute Format Factory heruntergeladen.
2. Meine Videos nicht richtig konvertriert.
3. Hab in einem Form den Hinweis gefunden – bitte such Hilfe in einem Torjaner-Forum - das könnte das Problem sein.
4. Hab Avira AntiVir laufen lassen und den Report erhalten: TR/Crypt.ZPACK.Gen und ADWARE/NaviPromo.2.93 gefunden (ausführlichen Bericht kann ich nachliefern)
5. Habe mich durchs Web gelesen und Cambofix als Möglichkeit gefunden, die schädlichen Programme zu entfernen.
6. Hab alle Schritte ausgeführt und zum einen diesen Report erhalten:

Reinigung mit Ccleaner

REINIGUNG komplett - (71.183 Sek)
------------------------------------------------------------------------------------------
9.593MB entfernt.

7. Cambofix empfielt jetzte den kompletten Report von Profis in einem Forum prüfen zu lassen, damit sicher gestellt ist, dass alles wieder in Ordnung ist.


Hier der Finale Report von Cambofix:


ComboFix 11-07-29.01 29.07.2011 17:01:46.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3069.1488 [GMT 2:00]
ausgeführt von:: c:\users\Max Mustermann\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Java\jre6\core.zip
c:\program files\Java\jre6\patchjre.exe
c:\program files\Java\jre6\zipper.exe
c:\users\Max Mustermann\AppData\Local\fegvgne.dat
c:\users\Max Mustermann\AppData\Local\fegvgne_nav.dat
c:\users\Max Mustermann\AppData\Local\fegvgne_navps.dat
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-28 bis 2011-07-29 ))))))))))))))))))))))))))))))
.
.
2011-07-29 15:09 . 2011-07-29 15:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-29 14:44 . 2011-07-29 14:44 -------- d-----w- c:\program files\CCleaner
2011-07-29 12:08 . 2011-07-29 12:08 -------- d-----w- c:\program files\FreeTime
2011-07-29 05:56 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{D4550759-0473-4EBC-88C8-04B199F0D0D1}\mpengine.dll
2011-07-17 17:54 . 2011-07-17 17:54 -------- d-----w- c:\program files\pdfforge Toolbar
2011-07-17 17:54 . 2011-07-17 17:54 -------- d-----w- c:\program files\Application Updater
2011-07-17 17:54 . 2011-07-17 17:54 -------- d-----w- c:\program files\Common Files\Spigot
2011-07-17 17:53 . 2004-03-08 23:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2011-07-17 17:53 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2011-07-17 17:53 . 1998-06-23 23:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2011-07-17 17:53 . 2011-07-17 18:01 -------- d-----w- c:\program files\PDFCreator
2011-07-17 17:53 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2011-07-17 17:53 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2011-07-17 17:53 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2011-07-17 17:53 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2011-07-13 17:37 . 2011-06-02 13:34 2043392 ----a-w- c:\windows\system32\win32k.sys
2011-07-13 17:37 . 2011-04-20 15:55 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-07-13 17:37 . 2011-04-20 15:50 49152 ----a-w- c:\windows\system32\csrsrv.dll
2011-07-11 19:13 . 2011-07-11 19:13 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2011-07-10 18:34 . 2011-07-10 18:34 -------- d-----w- c:\windows\de
2011-07-10 18:32 . 2011-07-10 18:32 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2011-07-10 18:29 . 2011-07-10 18:32 -------- d-----w- c:\program files\Windows Live
2011-07-10 18:29 . 2009-09-04 15:44 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2011-07-10 18:29 . 2009-09-04 15:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2011-07-10 18:29 . 2009-09-04 15:29 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2011-07-10 18:28 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2011-07-10 18:26 . 2011-07-29 11:48 -------- d-----w- c:\users\Max Mustermann\AppData\Local\Windows Live
2011-07-10 18:26 . 2011-07-10 18:26 -------- d-----w- c:\program files\Common Files\Windows Live
2011-07-10 11:07 . 2011-07-10 11:22 -------- d-----w- c:\users\Max Mustermann\.jenny
2011-07-10 10:14 . 2011-07-10 10:14 -------- d-----w- c:\program files\Common Files\Adobe
2011-07-10 10:13 . 2011-07-10 10:13 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll
2011-07-10 10:13 . 2011-07-10 10:13 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll
2011-07-01 14:44 . 2011-04-29 15:59 276992 ----a-w- c:\windows\system32\schannel.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-10 18:29 . 2011-03-28 16:36 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-07-03 17:23 . 2010-02-09 18:20 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-03 17:23 . 2010-02-09 18:20 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-05-24 17:14 . 2010-02-09 17:43 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-21 12:06 . 2011-05-21 12:06 161792 ----a-w- c:\windows\system32\msls31.dll
2011-05-21 12:06 . 2011-05-21 12:06 1126912 ----a-w- c:\windows\system32\wininet.dll
2011-05-21 12:06 . 2011-05-21 12:06 86528 ----a-w- c:\windows\system32\iesysprep.dll
2011-05-21 12:06 . 2011-05-21 12:06 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-21 12:06 . 2011-05-21 12:06 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-21 12:06 . 2011-05-21 12:06 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-21 12:06 . 2011-05-21 12:06 63488 ----a-w- c:\windows\system32\tdc.ocx
2011-05-21 12:06 . 2011-05-21 12:06 367104 ----a-w- c:\windows\system32\html.iec
2011-05-21 12:06 . 2011-05-21 12:06 74752 ----a-w- c:\windows\system32\iesetup.dll
2011-05-21 12:06 . 2011-05-21 12:06 23552 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-21 12:06 . 2011-05-21 12:06 152064 ----a-w- c:\windows\system32\wextract.exe
2011-05-21 12:06 . 2011-05-21 12:06 150528 ----a-w- c:\windows\system32\iexpress.exe
2011-05-21 12:06 . 2011-05-21 12:06 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-21 12:06 . 2011-05-21 12:06 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-05-21 12:06 . 2011-05-21 12:06 35840 ----a-w- c:\windows\system32\imgutil.dll
2011-05-21 12:06 . 2011-05-21 12:06 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-21 12:06 . 2011-05-21 12:06 11776 ----a-w- c:\windows\system32\mshta.exe
2011-05-21 12:06 . 2011-05-21 12:06 101888 ----a-w- c:\windows\system32\admparse.dll
2011-05-21 12:06 . 2011-05-21 12:06 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-13 13:42 . 2011-05-13 13:42 302448 ----a-w- c:\windows\WLXPGSS.SCR
2011-05-04 02:52 . 2011-03-19 09:22 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-02 17:16 . 2011-06-18 14:44 739328 ----a-w- c:\windows\system32\inetcomm.dll
2011-07-10 10:13 . 2011-05-15 09:42 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2010-10-18 20:20 . 2010-10-18 20:20 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2009-04-18 15:17 157168 ----a-w- c:\programdata\Partner\partner.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44 1400712 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 01:00 39472 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-08 4853760]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-01-03 521776]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-01-07 858632]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-18 30192]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-18 281768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-05-27 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"SearchSettings"="c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe" [2011-06-24 534880]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2008-3-28 535336]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
R2 AWISp60;AWISp60 NDIS Protocol Driver;c:\windows\system32\Drivers\AWISp60.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-03-16 136176]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-10-18 30192]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-03-16 136176]
R3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
R3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
R3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2006-11-02 1083520]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2007-04-03 39680]
S0 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2007-04-03 35712]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-06-24 393112]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-03-16 14:07]
.
2011-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-03-16 14:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com?o=15003&l=dis
mStart Page = hxxp://alice.aol.de
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 83.169.184.161 83.169.184.225
FF - ProfilePath - c:\users\Max Mustermann\AppData\Roaming\Mozilla\Firefox\Profiles\5paoltfk.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKCU-Run-xqjtld - c:\users\Max Mustermann\appdata\local\xqjtld.exe
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe
AddRemove-EuroPoker_is1 - c:\europoker\unins000.exe
AddRemove-2kv4.8.442 - c:\windows\Radeon Omega Drivers v4.8.442
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-29 17:09
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}"=hex:51,66,7a,6c,4c,1d,38,12,12,38,ad,
58,75,50,10,02,d8,cb,7a,2d,b5,19,2a,3d
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=hex:51,66,7a,6c,4c,1d,38,12,11,7f,11,
d0,78,5b,08,05,de,bb,01,03,dd,4c,30,54
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=hex:51,66,7a,6c,4c,1d,38,12,6b,d7,31,
bd,21,23,45,0f,d1,9f,4b,e0,35,84,00,16
"{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}"=hex:51,66,7a,6c,4c,1d,38,12,f1,9d,97,
02,e5,86,37,08,c7,6b,3b,0b,78,35,a4,a7
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"=hex:51,66,7a,6c,4c,1d,38,12,d5,94,07,
72,c2,98,42,03,c9,fd,97,9a,f4,87,69,57
"{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}"=hex:51,66,7a,6c,4c,1d,38,12,9a,83,ec,
87,46,c2,ee,0e,ca,ac,8b,9d,d1,6a,a1,d0
"{9030D464-4C02-4ABF-8ECC-5164760863C6}"=hex:51,66,7a,6c,4c,1d,38,12,0a,d7,23,
94,30,02,d1,0f,f1,da,12,24,73,56,27,d2
"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,
df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd
"{FF059E31-CC5A-4E2E-BF3B-96E929D65503}"=hex:51,66,7a,6c,4c,1d,38,12,5f,9d,16,
fb,68,82,40,0b,c0,2d,d5,a9,2c,88,11,17
"{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}"=hex:51,66,7a,6c,4c,1d,38,12,11,dd,f9,
b9,57,8c,be,54,c3,fb,43,e0,cc,54,f1,1b
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:55,fb,5a,58,f5,4d,cc,01
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,32,a0,a7,38,86,12,d3,4e,b9,21,ec,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,32,a0,a7,38,86,12,d3,4e,b9,21,ec,\
.
[HKEY_USERS\S-1-5-21-2511072110-4018051657-3765050603-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:66,ac,1d,30,3e,17,cc,07,26,ee,7c,78,f6,b7,88,4e,97,f9,46,13,7e,16,f1,
b2,61,b3,88,36,75,91,c9,8d,38,4e,37,d4,d0,6d,d5,78,72,61,cc,9b,42,aa,96,13,\
"??"=hex:3a,23,9d,fe,1d,f0,19,26,11,09,2b,14,1c,ae,29,98
.
[HKEY_USERS\S-1-5-21-2511072110-4018051657-3765050603-1003\Software\SecuROM\License information*]
"datasecu"=hex:8c,66,47,fa,4e,6e,7f,b4,3c,cb,48,ad,b8,7d,d9,86,64,28,e4,67,79,
a9,2f,db,bb,3e,e6,97,68,09,d9,c7,02,73,12,37,72,07,5d,bf,44,3c,43,f9,13,91,\
"rkeysecu"=hex:68,72,a0,a6,94,b4,c4,b6,2c,d6,e8,f0,cd,4b,be,0f
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1220)
c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\acer\Empowering Technology\EPOWER\SysHook.dll
.
Zeit der Fertigstellung: 2011-07-29 17:12:35
ComboFix-quarantined-files.txt 2011-07-29 15:12
.
Vor Suchlauf: 10 Verzeichnis(se), 50.056.306.688 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 50.003.054.592 Bytes frei
.
- - End Of File - - AEC75D0532E3165E41271E3F18157C72


Könntet ihr mir bitte helfen? Ich wäre euch sehr dankbar!!!

Bettina

CF soll nicht ohne Anweisung ausgeführt werden!!

Hallo zusammen,

ok, dann hätte ich das wohl lassen sollen... wisst ihr auf Grund des Protokolls, ob noch schädliche Software auf meinem Rechner ist?

Was muss ich denn unternehmen um das rauszufinden? Ich kann mich leider nicht aus.

Würd mich freuen, wenn ihr mir helfen könntet.
Betti

Bitte alles Logs dazu posten. Hast du auch schon Tool wie Malwarebytes und so ausgeführt?

Hallo Arne,

vielen Dank für deine Hilfe. Hier die Logs von Avira:

Versionsinformationen:
BUILD.DAT : 10.2.0.696 35934 Bytes 29.06.2011 17:26:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 03.07.2011 17:23:31
AVSCAN.DLL : 10.0.5.0 57192 Bytes 03.07.2011 17:23:31
LUKE.DLL : 10.3.0.5 45416 Bytes 03.07.2011 17:23:31
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 03.07.2011 17:23:31
AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 17:25:40
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:55:02
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:59:10
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:44:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:48:27
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 20:00:15
VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 20:00:15
VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 20:00:15
VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 20:00:15
VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 20:00:16
VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 20:00:16
VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 20:00:16
VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 20:00:16
VBASE013.VDF : 7.11.11.75 688128 Bytes 12.07.2011 17:25:38
VBASE014.VDF : 7.11.11.104 978944 Bytes 13.07.2011 08:50:47
VBASE015.VDF : 7.11.11.137 655360 Bytes 14.07.2011 08:50:48
VBASE016.VDF : 7.11.11.184 699392 Bytes 18.07.2011 08:50:50
VBASE017.VDF : 7.11.11.214 414208 Bytes 19.07.2011 08:50:52
VBASE018.VDF : 7.11.11.242 772096 Bytes 20.07.2011 08:50:54
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20.07.2011 08:50:57
VBASE020.VDF : 7.11.12.30 844288 Bytes 21.07.2011 08:50:59
VBASE021.VDF : 7.11.12.67 149504 Bytes 24.07.2011 18:57:45
VBASE022.VDF : 7.11.12.93 195072 Bytes 25.07.2011 18:57:45
VBASE023.VDF : 7.11.12.113 150528 Bytes 26.07.2011 08:20:07
VBASE024.VDF : 7.11.12.152 182784 Bytes 28.07.2011 13:07:11
VBASE025.VDF : 7.11.12.153 2048 Bytes 28.07.2011 13:07:11
VBASE026.VDF : 7.11.12.154 2048 Bytes 28.07.2011 13:07:11
VBASE027.VDF : 7.11.12.155 2048 Bytes 28.07.2011 13:07:11
VBASE028.VDF : 7.11.12.156 2048 Bytes 28.07.2011 13:07:11
VBASE029.VDF : 7.11.12.157 2048 Bytes 28.07.2011 13:07:11
VBASE030.VDF : 7.11.12.158 2048 Bytes 28.07.2011 13:07:11
VBASE031.VDF : 7.11.12.166 30208 Bytes 29.07.2011 13:07:12
Engineversion : 8.2.6.22
AEVDF.DLL : 8.1.2.1 106868 Bytes 18.11.2010 18:30:03
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 23.07.2011 08:51:07
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 11:07:38
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 08:00:48
AERDL.DLL : 8.1.9.13 639349 Bytes 23.07.2011 08:51:06
AEPACK.DLL : 8.2.9.5 676214 Bytes 23.07.2011 08:51:05
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 29.07.2011 13:07:40
AEHEUR.DLL : 8.1.2.148 3576184 Bytes 29.07.2011 13:07:39
AEHELP.DLL : 8.1.17.7 254327 Bytes 29.07.2011 13:07:15
AEGEN.DLL : 8.1.5.6 401780 Bytes 30.05.2011 18:46:38
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 11:07:36
AECORE.DLL : 8.1.22.4 196983 Bytes 23.07.2011 08:51:00
AEBB.DLL : 8.1.1.0 53618 Bytes 18.11.2010 18:30:03
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 03.07.2011 17:23:31
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:06:24
AVARKT.DLL : 10.0.26.1 255336 Bytes 03.07.2011 17:23:31
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 03.07.2011 17:23:31
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 03.07.2011 17:23:30
RCTEXT.DLL : 10.0.64.0 98664 Bytes 03.07.2011 17:23:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 29. Juli 2011 15:08

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2511072110-4018051657-3765050603-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2511072110-4018051657-3765050603-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '116' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'MovieMaker.exe' - '218' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'ERAGENT.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPOWER_DMC.EXE' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'capuserv.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'eRecoveryService.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'xaudio.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'ePowerSvc.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobilityService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'eNet Service.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'eLockServ.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'eDSLoader.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'PLFSetI.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '588' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Users\***\AppData\Local\fegvgne.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/NaviPromo.2.93
C:\Users\***\AppData\Local\Temp\c.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\***\AppData\Local\Temp\c.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b6368e2.qua' verschoben!
C:\Users\***\AppData\Local\fegvgne.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/NaviPromo.2.93
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53fa471c.qua' verschoben!


Ende des Suchlaufs: Freitag, 29. Juli 2011 16:29
Benötigte Zeit: 1:21:10 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23169 Verzeichnisse wurden überprüft
316090 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
316088 Dateien ohne Befall
5188 Archive wurden durchsucht
0 Warnungen
4 Hinweise
602413 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

________________________

Nach der Aktion mit CamboFix wurde von Avira nichts mehr gefunden....

Soll ich alle anderen Suchläufe starten?

Danke
Betti

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

danke für die Hilfe. Ich hab Malwarebytes Anti-Malware 1.51.1 heruntergeladen und einen Vollscan gemacht. Dabei kam folgendes raus:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7377

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

04.08.2011 20:48:21
mbam-log-2011-08-04 (20-48-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 274534
Laufzeit: 51 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot.
c:\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Not selected for removal.

_____________________________

Im Suchlauf wurden 4 infizierte Objekte gefunden. drei davon waren bei der Auswahl angehaktk und ich hab die Auswahl entfernt. Wie gesagt, eines war nicht angehakt.... ?!?

Ein Infofeld ging auf in dem es hieß:

Bestimmte Objekte konnten nicht entfernt werden. Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert.

Neustart mach ich schnell und dann starte ich OTL...

PUP = Potentially Unwanted Program = Potentiell unerwünschte Software
Diese Programme werden standardmäßig zwar "gefunden" aber nicht angehakt, der Benutzer muss selbst entscheiden ob Malwarebytes das entfernen soll. Diese PDF-Toolbar ist unnötiger Müll und kann weg bzw. sollte über die Systemsteuerung deinstalliert werden!

Hier der OTL Scan:OTL EXTRAS Logfile:
--- --- ---
____________________________

Und was sagst du? Muss ich den Computer platt machen?

Vielen Dank
Betti

Und die OTL.txt?

Hi Arne,

danke für die schnelle Antwort!

Ich wollte die PDF Toolbar entfernen, dann heißt es aber: Ein nicht identifiziertes Programm möchte auf den Computer zugreifen...

Ich hab abgebrochen .. soll ich das zulassen oder geht dann das ganze Spektakel wieder von vorne los.

Wegen OTL, ich dachte das ist die txt Datei... was hab ich denn falsch gemacht?

Danke und Gruß
Betti

Hier, das ist das richtige, oder?OTL Logfile:
--- --- ---

Gruß
Betti

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

hab alles so gemacht wie du geschrieben hast. Hier die Infos:

========== OTL ==========
Process SearchSettings.exe killed successfully!
Process ApplicationUpdater.exe killed successfully!
Service Application Updater stopped successfully!
Service Application Updater deleted successfully!
C:\Program Files\Application Updater\ApplicationUpdater.exe moved successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.
C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}\ deleted successfully.
C:\ProgramData\Partner\partner.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.
========== FILES ==========
C:\Program Files\Common Files\Spigot\wtxpcom\components folder moved successfully.
C:\Program Files\Common Files\Spigot\wtxpcom folder moved successfully.
C:\Program Files\Common Files\Spigot\Search Settings\Res folder moved successfully.
C:\Program Files\Common Files\Spigot\Search Settings folder moved successfully.
C:\Program Files\Common Files\Spigot folder moved successfully.
C:\Program Files\Application Updater folder moved successfully.
C:\Program Files\pdfforge Toolbar\Res folder moved successfully.
C:\Program Files\pdfforge Toolbar\IE\4.5 folder moved successfully.
C:\Program Files\pdfforge Toolbar\IE folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome\skin folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome\locale folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome\content folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF\chrome folder moved successfully.
C:\Program Files\pdfforge Toolbar\FF folder moved successfully.
C:\Program Files\pdfforge Toolbar folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08052011_220936

____________________________

Wie geht es jetzt weiter?

Vielen Dank für deine Hilfe!
Betti

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).