Trojaner-Board - 'PC blockiert durch Screen-Meldung!'

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 'PC blockiert durch Screen-Meldung!' (https://www.trojaner-board.de/105316-pc-blockiert-screen-meldung.html)

'PC blockiert durch Screen-Meldung!'

habe mir auf einem anderen pc mit windows xp einen virus/trojaner o.ä. eingefangen (der auch andere plagt), der verhindert, dass das ding normal startet... kommt bis zum start-screen- bzw. desktop-bild, aber der windows-explorer bzw. all die sonst erscheinenden programm-links bzw. die sonst automatisch gestarteten programme erscheinen nicht... der task-manager lässt sich nicht starten: "ist vom administrator abgeschaltet."
man kann nicht mal im abgesicherten modus starten: beim startvorgang erscheint screen-füllend und -blockierend die meldung, mit der das system sich verabschiedet hat: "Es besteht noch keine Internetverbindung, bitte warten."
vor der infizierung war eine website geladen worden, die alle möglichen systemmeldungen zeigte, aus denen hervorging, dass "java benutzt" wird; habe ich alle weggeklickt und dann, als der screen gehijackt wurde (mit obiger meldung), den pc per hardware-knopf abgeschaltet (dauergedrückt)... was wohl leider nicht geholfen hat...
wenn man im abgesicherten modus startet, wird man aufgefordert zwischen "administrator" und "mein Name" als zugang zu wählen. wenn ich über "administrator" reingehen will (um vielleicht die java-console abzuschalten, oder den task-manager wieder anzuschalten), werde ich um ein passwort gebeten, das der computer-verkäufer wohl seinerzeit mal eingerichtet, aber mir nie verraten hat...
die google-suche nach "Es besteht noch keine Internetverbindung, bitte warten." liefert erstaunlich wenige treffer mit keinerlei hinweis auf eine erfolgreiche therapie. der plausibelste tip läuft auf reparatur-installation mit der windows-xp-diskette hinaus; allerdings scheint die auch beim verkäufer verblieben zu sein, der sich derzeit nicht meldet... ob das die lösung wäre? oder der tip hier: http://www.trojaner-board.de/104576-...komme-hin.html ; allerdings scheinen die empfehlungen dort vom anfrager nicht verfolgt worden zu sein; der thread bricht ab (und eine "antwort" mit einer nachfrage setzen, lässt mich die software nicht). ich will auch nicht ausführen, was dort steht, weil es in den "trojaner-board-regeln" ausdrücklich heißt: "nicht die empfehlungen anderer themen einfach nachmachen...! jede infizierung erfordert eine individuelle lösung!"
leider kann ich keines der empfohlenen diagnose-werkzeuge verwenden, weil ich ja überhaupt nicht an den pc 'heran-komme'...
meine computer sind übrigens über einen "rooter" mit eingebauter firewall mit dem internet verbunden, wodurch ich laut systemeinrichter geschützt sei; ich habe also keine internet-sicherheitssoftware laufen (und war auch jahre lang ohne irgend ein problem...).

also, was ist zu tun? besten dank im voraus! ;-) :wtf: :confused:
BerlinerTour

ps: leider gestattet mir eure software nicht, den titel wie folgt einzugeben: 'PC blockiert durch Sreen-Meldung: "Es besteht noch keine Internetverbindung, bitte warten."' das sei nicht aussagekräftig... aber genau das würde von geplagten im netz gesucht werden... :eek:

hi,
eine solche meldung kenne ich noch nicht, mal gucken was sich da verbirgt:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

hallo, werter markusg!

zunächst mal vielen dank für deine tipps!

dann: "eine solche meldung kenne ich noch nicht" - natürlich kennst du die meldung! sie taucht ja schon in dem thread auf, auf den ich oben einen link gesetzt habe und in dem du mit denselben tipps geantwortet hast...

nun zur therapie: habe OTLPENet.exe und iso-burner downgeloadet. nun soll ich doch ein iso-image brennen, sagt die von dir verlinkte anweisung. eine .exe ist aber kein iso-image...??? wenn ich also mit iso-burner den "full path to ... iso image file" suche, dann sucht das programm eine *.iso-datei und findet also in dem ordner, wo die .exe liegt nix...

also, was tun?? dankeee!
;-)
BerlinerTour

hmm dann kann ich mich nicht mehr erinnern :d
einfach die exe doppelklicken und isoburner startet dann gehts los :-)

sorry, wenn man eine .exe doppelklickt, wird sie gestartet... ich will sie doch aber nicht starten, sondern brennen. soll ich also - im klartext - die .exe auf die cd brennen und KEINE iso-datei? (oder wird daraus eine iso-datei, wenn ich in diesem modus brenne...?) allerdings sucht iso-burner eine *.iso-datei und findet bzw. 'sieht' die .exe im ordner nicht... ich kann also keinen "pfad" angeben... was nun?

danke!

ich müsste als datei-typ wählen: "any raw file", damit die .exe 'gesehen' und also ein basis-pfad geladen werden kann... vorher kein brennen...

es hieß allerdings in eurer anleitung zum brennen einer iso-datei, dass nur von einer solchen gebootet werden könne...

ja, instaliere doch mal isoburner und doppelklicke dann die
OTLPENet.exe
brenne es und starte dann den pc von der cd.

o.k., hab einfach mal per doppelklick die .exe gestartet, und - siehe da - da wird iso-burner und der brennvorgang automatisch gestartet... woher sollte ich das ahnen... also: dieses in deine anleitung aufnehmen! sonst denkt jeder: muss das brennprogramm öffnen und von dort aus brennen...
so jetzt versuch ich mal zu booten...

• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
steht doch schon da :-)

sorry, blinder maulwurf...
***
aaaalso: der pc hat automatisch von der CD gebootet. der Reatogo-X-PE-bildschirm mit allen möglichen programm-icons hat sich installiert. doppelklick auf OTL-icon > dialog mit aufforderung "browse for folder, choose windows directory". zur verfügung standen: "my computer", RAMDisk (B: ), und die "removable disks" (falsch!) C:, D:, E:, F: und "Reatogo PE (X: )" mit cd-symbol... wenn ich "my computer" gewählt habe, erschien: "scanRunner (o.ä.) error: no windows installations found"; wenn ich irgendeinen anderen datenträger genommen hab: "scanRunner (o.ä.) error: target is not windows 2000 or later" - was falsch ist, denn auf dem computer ist windows xp installiert, wie beim startvorgang zwischendurch (systemscreen war sichtbar) und beim anschließenden runterfahren sichtbar wurde...

also: sackgasse... was nun?

browse for folder, dort c: bzw das richtige laufwerk auswählen, dann öffnen, und auf windows klicken, und los gehts :-)

o.k. versucht, aber: 1. die laufwerksbezeichnungen sind alle verändert... wenn ich auf C: klicke, heißt es: "bitte cd einlegen"... ebenso bei allen anderen, außer einem usb-speichermedium. bleibt "RAMDisk (B: )". hier gibt's die ordner: bin, documents and settings, logs, recycler. nur d.a.s. scheint interessant; da gibt's: all users, default users. unter beiden finde ich: microsoft, dort aber keinen windows-ordner, nur "internet explorer", "MMC".
wenn ich nach "win" suche ("windows" bringt schon gleich gar nichts...) - was ich über OTL tun kann, oder über desktop und windows-funktion, kommt nichts verwertbares raus. höchstens auf systemebene der pfad: "locale/en-US/global-platform/win". aber der ist über OTL nicht zu finden...
also, wie weiter? kannst du irgendeinen pfad angeben, oder einen einschlägigen suchbegriff und das richtige suchwerkzeug...? dankeee!

hast du nen usb stick zur hand?

lade auf dem sauberen pc

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

dann starte den infizierten in den abgesicherten modus mit eingabeaufforderung,
bei pc start f8 drücken, und den modus auswählen
usb stick anschließen, combofix.exe muss natürlich drauf liegen
dann
d:\combofix.exe
eeingeben
enter
falls das nicht klappt mit e: usw versuchen
falls combofix das laufende antimalware programm anmeckert, mit ok weiter.
evtl. musst du in den normalen modus starten.
falls explorer.exe nicht funktioniert, also der desktop leer bleibt taskmanager,neuer task, explorer.exe
tippen
enter
combofix.txt posten
und mir mitteilen das explorer.exe nicht lief

auf dem pc, von dem aus ich kommuniziere (win 2k), habe ich den ordner C:/WINNT. wäre das der entsprechende?
o.k., sehe grade, du hattest eben vorher schon geantwortet... les ich gleich... ;-)

thanks für die mühe, aber geht so nicht: schon der andere (eingangs verlinkte) kandidat hat angemerkt: "Mit F8 komme ich noch bis in den Abgesicherten Modus kann es (? er meint wohl: windows) aber nicht starten...", d.h. genauer: man kann den abgesicherten modus wählen, wird dann aber mit der besagten fehlermeldung konfrontiert, die den bildschirm komplett einnimmt, also jede weitere aktion verhindert. und - wie gesagt - der task-manager funktioniert nicht, weil angeblich "vom administrator abgeschaltet..." un' nu...?

wenn, dann müsste ich mit reatogo starten. so komme ich an das usb-speichermedium ran, und könnte versuchen, von dort aus combofix zu starten. erhebt sich aber die frage, ob ich nicht besser versuche, eine windows-reparatur-installation vorzunehmen, statt mit einem programm zu arbeiten, das evtl. schaden anrichtet...?
weitere frage: was würde sich denn eigentlich aus den logfiles ergeben???

auch wenn du im abgesicherten modus mit eingabeaufforderung startest?
eig muss unter otl ein windows oder wind ordner zu finden sein falls da windows drauf ist, klicke doch noch mal die ordner durch wenn du bei browse folder bist, man müsste die ja aufklappen können2000

danke für deine bemühungen! hab mich auch bemüht:

1. es ist unter otl beim besten willen kein "win(d)"-ordner zu finden... diese infektion scheint erfolgreich alles zu verbergen (hab auch unter ordner-optionen > view > alles so eingestellt, dass alle verborgenen und system-dateien angezeigt werden sollten); die meisten ordner, die angezeigt werden, wie z.b. "bin", sind sowieso verdächtig leer; jedenfalls ist das "RAMDrive (B: )" längst nicht so voll, wie sonst C: ...

2. man kann in der tat im "abgesicherten modus mit eingabeaufforderung" starten! ich hab dann den schwarzen prompt von cmd.exe vor der nase, mit dem ich nix anfangen kann...

nochmal: was wollen wir denn eigentlich durch die analyse finden? ergibt sich daraus ein spezial-tool, das angewendet werden soll, um 'das böse ding' zu löschen?

würde es vielleicht was bringen, wenn ihr mal nachforscht, wer sonst so mit der ominösen fehlermeldung zu tun hatte...?! muss sich doch in fachkreisen schon bisschen rumgesprochen haben, wenn schon bei google n paar fälle hochkommen...
thanx nochmal!

ach so: und was hälst du von meiner idee, combofix von reatogo aus zu starten???

nein du sollst combofix auf den stick laden und dann in der eingabeaufforderung, natürlich bei angeschlossemem stick
d:\combofix.exe
enter
e:\combofix.exe
enter
jenach dem was das usb laufwerk ist wird einer der befehle combofix starten.

o.k. fein, aber versetz dich bitte mal in die puschen von jemand, der nicht wie du ein mega-insider ist: wie starte ich denn von dem eingabe-prompt von cmd.exe aus irgendetwas auf einem usb-speichermedium (ich werde keinen stick, sondern ein lesegerät mit einer speicherkarte in einem der schlitze verwenden... - was immer unter cmd.exe dann die laufwerksbezeichnung sein wird...)? null ahnung...
merci!

na ich habs doch schon geschrieben du tippst dort
d:\combofix.exe
enter
falls das nicht klappt versuchs mit e: f: bis es funktioniert

o.k., sorry, der groschen war nicht gefallen bei deinem leicht verkürzten satz: "und dann in der eingabeaufforderung (schreiben - fehlte hier - für mich...)
d:\combofix.exe
enter"
d.h. wohl: das speichermedium muss bis auf die .exe komplett leer sein... werd ich nachher versuchen... (oder die tage... bin verdammt unter druck mit einer anderen arbeit...)
thanx!

nö muss nicht leer sein, aber combofix sollte in keinem extra verzeichniss liegen, falls doch musst du halt d:\verzeichnissname\combofix.exe
schreiben

o.k. - logo, eigentlich... danke!!! ;-)

lieber markusg!
habe nun die zeit gefunden, die gebrauchsanweisung für combofix.exe durchzulesen. erlaube mir noch eine frage, bevor ich vesuche, das programm zu starten: wie komme ich nachher über den prompt an C:\Combofix.txt (oder wo immer die txt gespeichert wird) ran? oder wird die datei da gespeichert, von wo aus combofix.exe gestartet wurde? dann wäre die txt auf dem usb-speichermedium... oder soll ich davon ausgehen, dass alles wieder funktioniert und ich den windows-explorer normal nutzen kann? und wenn nicht, was dann? thanx a lot!!! BerlinerTour

hi, starte nach combofix neu dann solltest du das log direkt auf c: finden und windows sollte ebenfalls normal funktionieren

also: habe zuerst versucht, combofix.exe von der in der gebrauchsanleitung empfohlenen download-site ForoSpyware.com herunterzuladen. 1. bekam ich keine möglichkeit zu wählen, wo die exe gespeichert werden sollte (es sollte ausdrücklich der desktop sein...!). sie war 'verschwunden'. ich musste sie per suchfunktion finden. sie befand sich in C:\dokumente und einstellungen\user xyz\eigene dateien\downloads... eine verknüpfung wurde gespeichert auf C:\dokumente und einstellungen\user xyz\recent ...
o.k. dann startversuch auf dem kranken pc: meldung: "combofix ist abgelaufen. klicke 'ja' um C. mit reduzierter funktionalität auszuführen." habe nein geklickt, um zu versuchen, eine aktuelle exe downzuloaden...
also combo von bleepingcomputer.com runtergeladen (exe etwas größer...). hat gefunzt.
beim versuch, eine windowswiederherstellungskonsole einzurichten, hieß es: "du scheinst nicht mit dem internet verbunden zu sein (wohl weil im abgesicherten modus...). bitte stelle die verbindung her, bevor du auf o.k. klickst." da keine möglichkeit bestand, die verbindung herzustellen, habe ich auf "o.k." geklickt. > "ich fahre mit suche nach malware fort." wurde gemeldet... dann: "klicken Sie auf 'ja' um im abesicherten modus fortzufahren. klicken Sie auf 'nein', wenn Sie vevorzugen, den vorherigen Computerstatus durch die systemwiederherstellung wiederherzustellen." bin hier mal auf "ja" gegangen...
ergebnis: log.txt wurde angezeigt und konnte auf usb-speichermedium gespeichert werden. hier nun also isser (na denn prost mahlzeit! auf einen neustart habe ich erst mal verzichtet, um zu hören was zu sagst!):

Combofix Logfile:

Code:

ComboFix 11-11-29.04 - Hilmar 29.11.2011  20:38:40.1.2 - x86 MINIMAL

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1771 [GMT 1:00]

ausgeführt von:: I:\ComboFix.exe

AV: Norton AntiVirus *Disabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Hilmar\Anwendungsdaten\dwlGina3.dll

c:\dokumente und einstellungen\Hilmar\Anwendungsdaten\u5hr46sirtijyrt5.exe

c:\windows\CSC\d6

c:\windows\IsUn0407.exe

c:\windows\system32\usmt\migwiz_a.exe

c:\windows\Temp\scsF.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-10-28 bis 2011-11-29  ))))))))))))))))))))))))))))))

.

.

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-05 22:04 . 2011-06-24 15:04        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-10-13 21:02 . 2011-10-13 21:02        467592        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\cchpx86.sys

2011-10-10 14:22 . 2007-08-10 11:05        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2007-08-10 11:05        604160        ----a-w-        c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 18:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2007-08-10 11:05        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2007-08-10 11:05        220160        ----a-w-        c:\windows\system32\oleacc.dll

2011-09-22 00:32 . 2011-10-13 21:02        89976        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symfw.sys

2011-09-22 00:32 . 2011-10-13 21:02        48760        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symndisv.sys

2011-09-22 00:32 . 2011-10-13 21:02        36472        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symndis.sys

2011-09-22 00:32 . 2011-10-13 21:02        33144        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symids.sys

2011-09-22 00:32 . 2011-10-13 21:02        217464        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symtdi.sys

2011-09-06 14:10 . 2007-08-10 11:05        1859072        ----a-w-        c:\windows\system32\win32k.sys

2006-05-03 10:06        163328        --sha-r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\system32\nbDX.dll

2010-01-06 22:00        107520        --sha-r-        c:\windows\system32\TAKDSDecoder.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{E38FA08E-F56A-4169-ABF5-5C71E3C153A1}"= "c:\programme\Freeze.com\NetAssistant\NetAssistant.dll" [2011-06-22 1718472]

"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\programme\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll" [2011-06-04 214840]

.

[HKEY_CLASSES_ROOT\clsid\{e38fa08e-f56a-4169-abf5-5c71e3c153a1}]

[HKEY_CLASSES_ROOT\NetAssistant.NetAssistantBHO.1]

[HKEY_CLASSES_ROOT\TypeLib\{1E8FC16F-4C51-49C4-BC9B-4FC24BDDCEE7}]

[HKEY_CLASSES_ROOT\NetAssistant.NetAssistantBHO]

.

[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]

[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin.1]

[HKEY_CLASSES_ROOT\TypeLib\{A31F34A1-EBD2-45A2-BF6D-231C1B987CC8}]

[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E38FA08E-F56A-4169-ABF5-5C71E3C153A1}]

2011-06-22 10:30        1718472        ----a-w-        c:\programme\Freeze.com\NetAssistant\NetAssistant.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Power2GoExpress"="c:\programme\CyberLink\Power2Go\Power2GoExpress.exe" [2007-01-04 2471472]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-06-24 39408]

"InstallIQUpdater"="c:\programme\W3i\InstallIQUpdater\InstallIQUpdater.exe" [2011-08-09 1176064]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]

"Gainward"="c:\windows\TBPanel.exe" [2007-03-23 2173744]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"nwiz"="nwiz.exe" [2008-10-07 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-26 155648]

"UVS10 Preload"="c:\programme\Ulead Systems\Ulead VideoStudio SE DVD\uvPL.exe" [2006-03-06 36864]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NokiaMusic FastStart"="c:\programme\Nokia\Ovi Player\NokiaOviPlayer.exe" [2010-03-04 2192672]

"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"ALUAlert"="c:\programme\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-14 54888]

.

c:\dokumente und einstellungen\Hilmar\Startmenü\Programme\Autostart\

Internet Explorer Browser starten (3).lnk - c:\programme\Internet Explorer\iexplore.exe [2007-8-10 638816]

Windows-Explorer (2).lnk - c:\windows\explorer.exe [2007-8-10 1036800]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2011-7-20 25214]

Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

@="FSFilter Activity Monitor"

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]

2005-10-12 10:30        139264        ----a-w-        c:\programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"BGLiveSvc"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Dokumente und Einstellungen\\Hilmar\\Anwendungsdaten\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=

"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=

.

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1008030.006\SymEFA.sys [13.10.2011 22:02 310320]

S1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1008030.006\BHDrvx86.sys [13.10.2011 22:02 259632]

S1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1008030.006\cchpx86.sys [13.10.2011 22:02 467592]

S1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20091111.001\IDSXpx86.sys [15.11.2009 22:08 329592]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.06.2011 15:35 136176]

S2 Norton AntiVirus;Norton AntiVirus;c:\programme\Norton AntiVirus\Engine\16.8.3.6\ccSvcHst.exe [13.10.2011 22:02 117648]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28.08.2009 15:54 102448]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [24.06.2011 15:35 136176]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]

S3 Mspwlau;Mspwlau; [x]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - BDFILESPY

*Deregistered* - BdFileSpy

.

Inhalt des "geplante Tasks" Ordners

.

2011-11-24 c:\windows\Tasks\Final Media Player Update Checker.job

- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-09-02 13:24]

.

2011-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-24 14:35]

.

2011-11-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-24 14:35]

.

2011-11-24 c:\windows\Tasks\Symantec NetDetect.job

- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2008-11-18 15:03]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

Trusted Zone: adobe.com\www

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-XStzV0FikIADbMr - c:\dokumente und einstellungen\Hilmar\Anwendungsdaten\u5hr46sirtijyrt5.exe

HKLM-Run-XStzV0FikIADbMr - c:\dokumente und einstellungen\Hilmar\Anwendungsdaten\u5hr46sirtijyrt5.exe

MSConfigStartUp-BullGuard - c:\programme\BullGuard Software\BullGuard\bullguard.exe

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-29 20:42

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Norton AntiVirus]

"ImagePath"="\"c:\programme\Norton AntiVirus\Engine\16.8.3.6\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\programme\Norton AntiVirus\Engine\16.8.3.6\diMaster.dll\" /prefetch:1"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:73,9e,0d,3e,4f,e2,75,bc,c1,be,51,b6,88,7a,d8,55,c1,a4,8f,c7,53,

   40,e9,6e,68,8d,76,00,5a,63,5e,c4,7d,e7,79,49,4d,91,76,20,8b,dc,3f,03,06,71,\

.

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:73,9e,0d,3e,4f,e2,75,bc,c1,be,51,b6,88,7a,d8,55,c1,a4,8f,c7,53,

   40,e9,6e,68,8d,76,00,5a,63,5e,c4,7d,e7,79,49,4d,91,76,20,8b,dc,3f,03,06,71,\

.

Zeit der Fertigstellung: 2011-11-29  20:43:44

ComboFix-quarantined-files.txt  2011-11-29 19:43

.

Vor Suchlauf: 7 Verzeichnis(se), 91.748.724.736 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 100.224.155.648 Bytes frei

.

- - End Of File - - 7C41F568BD686FAA3C3ACC86F16CF720

--- --- ---

denkst du, es ist problematisch, wenn ich diesen pc hier anlasse (ist am netzwerk dran), während ich den anderen starte (von wegen ausspionieren...)? dann müsste ich ihn nicht, wie ich's bisher gemacht hab, immer runter- und wieder hochfahren... (zeitaufwändig...)

hey, scheint alles wieder tadellos zu funktionieren...!!! ein dreifaches hoch auf combofix und dich!!! :-))))))))))) war's das jetzt? oder kommt das dicke ende noch nach, wenn du den log studiert hast? (kannst du den bösewicht erkennen? immerhin hat's da doch etliche "löschungen" gegeben...)
jedenfalls werd ich euch "unterstützen" (meinen bescheidenen möglichkeiten entsprechend), wenn dieser alptraum erfolgreich exorziert wurde...
;-) BerlinerTour
ps: wahrscheinlich darfst du ja nichts empfehlen, aber die frage ist jetzt natürlich, ob ich nicht doch, zusätzlich zur firewall im rooter, eine anti-malware-software drauflade? gibt's eine aktuelle vergleichsplattform?

hi, ich kann dir was empfehlen, dazu kommen wir noch.
erst mal auch danke für die spende, es muss nicht viel sein, dass verlangt niemand, wir freuen uns über jede unterstützung die hilft den server zu finanzieren.
kannst du sicherheitshalber mal ein frisches combofix log im normalen modus erstellen?
du kannst es direkt auf der festplatte speichern.

tja, leider zu früh gefreut... bei heutigem neustart wieder nicht der übliche desktop mit allen programm-links. immerhin keine blockierende screen-meldung. der windows-explorer lief. auch konnte man alle programme über windows starten. aber irgendwie ist noch 'der wurm drin'... soll ich unter diesen umständen mit bestehender internetverbindung (und installation der windows-wiederherstellungskonsole) nochmal combofix durchlaufen lassen? thanx! :bussi:

hi, wie siehts nach nem rechtsklick auf desktop, ansicht, desktop symbole einblenden aus?

oh mann oh, das war's... zu meiner entschuldigung: man findet die funktion "desktopsymbole anzeigen" bei mir nicht gleich nach dem rechtsklick, sondern erst wenn man danach auf "symbole anordnen nach..." geht; da steht's dann ganz unten (nach dem, was man eigentlich erwartet: "nach namen, größe etc..")
gut! und nun? bleibt weiter die frage: "soll ich unter diesen umständen mit bestehender internetverbindung (und installation der windows-wiederherstellungskonsole?!) nochmal combofix durchlaufen lassen?" merci!
ps: übrigens: wie kommt man denn in dem "direkt-antwort-feld" an die netten smileys ran???

ich glaub das geht nur über antworten direkt oder du musst es halt mit tastenkombinationen machen soweit das geht.
ja, jetzt combofix mit internet verbindung ausführen

o.k., mach ich! :daumenhoc jetzt kann ich vielleicht mal einen tipp geben in sachen smileys: unten ist hier ein kästchen "forumregeln": da gibt's einen link "smileys": rechte maustaste, öffnen in neuem tab, und man hat alle grafiken samt code, den man dann in den text einsetzen kann... bis nacher... :kaffee:

danke, ich nutze die nicht so oft deswegen hab ich da nicht drauf geachtet

habe also combofix noch mal durchlaufen lassen. hat erfolgreich die windows-wiederherstellungskonsole eingerichtet, sich dann aber irgendwann aufgehängt; meldung: "Bereite Logdatei vor. Starte keine anderen Programme, bevor Combofix fertig ist." das steht da nun schon einen ganzen abend und eine nacht über...
was nun? pc abwürgen? combofix über task-manager ausknipsen? dankeeee!

versuchs mal über den taskmanager zu löschen und dann im abgesicherten modus mit netzwerk noch mal zu starten

"combofix.exe" taucht unter den laufenden programmen im task-manager nicht auf... also pc runterfahren?
außerdem: warum "mit netzverbindung"? combofix wurde ja gestern upgedatet und die konsole über das netz eingerichtet...

falls es von combofix ein update gibt.
ja versuchs mit runterfahren

so, das hat jetzt diesmal geklappt! es folgt der log... mich würde schwer interessieren, was du dem und dem log vorher nun entnimmst...!!! :glaskugel: :heilig: BerlinerTour :teufel1:
Combofix Logfile:

Code:

ComboFix 11-12-02.01 - Hilmar 02.12.2011  18:17:36.3.2 - x86 NETWORK

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1760 [GMT 1:00]

ausgeführt von:: I:\ComboFix.exe

AV: Norton AntiVirus *Disabled/Outdated* {E10A9785-9598-4754-B552-92431C1C35F8}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\CSC\d6

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-11-02 bis 2011-12-02  ))))))))))))))))))))))))))))))

.

.

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-05 22:04 . 2011-06-24 15:04        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-10-13 21:02 . 2011-10-13 21:02        467592        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\cchpx86.sys

2011-10-10 14:22 . 2007-08-10 11:05        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2007-08-10 11:05        604160        ----a-w-        c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 18:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2007-08-10 11:05        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2007-08-10 11:05        220160        ----a-w-        c:\windows\system32\oleacc.dll

2011-09-22 00:32 . 2011-10-13 21:02        89976        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symfw.sys

2011-09-22 00:32 . 2011-10-13 21:02        48760        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symndisv.sys

2011-09-22 00:32 . 2011-10-13 21:02        36472        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symndis.sys

2011-09-22 00:32 . 2011-10-13 21:02        33144        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symids.sys

2011-09-22 00:32 . 2011-10-13 21:02        217464        ----a-w-        c:\windows\system32\drivers\NAV\1008030.006\symtdi.sys

2011-09-06 14:10 . 2007-08-10 11:05        1859072        ----a-w-        c:\windows\system32\win32k.sys

2006-05-03 10:06        163328        --sha-r-        c:\windows\system32\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\system32\nbDX.dll

2010-01-06 22:00        107520        --sha-r-        c:\windows\system32\TAKDSDecoder.dll

.

.

(((((((((((((((((((((((((((((   SnapShot@2011-11-29_19.42.42   )))))))))))))))))))))))))))))))))))))))))

.

- 2007-08-10 11:07 . 2011-09-29 19:55        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2007-08-10 11:07 . 2011-12-01 04:00        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2007-08-10 11:07 . 2011-12-01 04:00        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

- 2007-08-10 11:07 . 2011-09-29 19:55        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

+ 2011-12-01 04:00 . 2011-12-01 04:00        16384              c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2007-08-10 11:07 . 2011-09-29 19:55        16384              c:\windows\system32\config\systemprofile\Cookies\index.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{E38FA08E-F56A-4169-ABF5-5C71E3C153A1}"= "c:\programme\Freeze.com\NetAssistant\NetAssistant.dll" [2011-06-22 1718472]

"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\programme\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll" [2011-06-04 214840]

.

[HKEY_CLASSES_ROOT\clsid\{e38fa08e-f56a-4169-abf5-5c71e3c153a1}]

[HKEY_CLASSES_ROOT\NetAssistant.NetAssistantBHO.1]

[HKEY_CLASSES_ROOT\TypeLib\{1E8FC16F-4C51-49C4-BC9B-4FC24BDDCEE7}]

[HKEY_CLASSES_ROOT\NetAssistant.NetAssistantBHO]

.

[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]

[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin.1]

[HKEY_CLASSES_ROOT\TypeLib\{A31F34A1-EBD2-45A2-BF6D-231C1B987CC8}]

[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E38FA08E-F56A-4169-ABF5-5C71E3C153A1}]

2011-06-22 10:30        1718472        ----a-w-        c:\programme\Freeze.com\NetAssistant\NetAssistant.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Power2GoExpress"="c:\programme\CyberLink\Power2Go\Power2GoExpress.exe" [2007-01-04 2471472]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-06-24 39408]

"InstallIQUpdater"="c:\programme\W3i\InstallIQUpdater\InstallIQUpdater.exe" [2011-08-09 1176064]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]

"Gainward"="c:\windows\TBPanel.exe" [2007-03-23 2173744]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"nwiz"="nwiz.exe" [2008-10-07 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-26 155648]

"UVS10 Preload"="c:\programme\Ulead Systems\Ulead VideoStudio SE DVD\uvPL.exe" [2006-03-06 36864]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NokiaMusic FastStart"="c:\programme\Nokia\Ovi Player\NokiaOviPlayer.exe" [2010-03-04 2192672]

"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"ALUAlert"="c:\programme\Symantec\LiveUpdate\ALUNotify.exe" [2002-08-14 54888]

.

c:\dokumente und einstellungen\Hilmar\Startmenü\Programme\Autostart\

Internet Explorer Browser starten (3).lnk - c:\programme\Internet Explorer\iexplore.exe [2007-8-10 638816]

Windows-Explorer (2).lnk - c:\windows\explorer.exe [2007-8-10 1036800]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2011-7-20 25214]

Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]

@="FSFilter Activity Monitor"

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]

2005-10-12 10:30        139264        ----a-w-        c:\programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"BGLiveSvc"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Dokumente und Einstellungen\\Hilmar\\Anwendungsdaten\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=

"c:\\Programme\\FinalMediaPlayer\\FMPCheckForUpdates.exe"=

.

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1008030.006\SymEFA.sys [13.10.2011 22:02 310320]

S1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NAV\1008030.006\BHDrvx86.sys [13.10.2011 22:02 259632]

S1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1008030.006\cchpx86.sys [13.10.2011 22:02 467592]

S1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20091111.001\IDSXpx86.sys [15.11.2009 22:08 329592]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.06.2011 15:35 136176]

S2 Norton AntiVirus;Norton AntiVirus;c:\programme\Norton AntiVirus\Engine\16.8.3.6\ccSvcHst.exe [13.10.2011 22:02 117648]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28.08.2009 15:54 102448]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [24.06.2011 15:35 136176]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]

S3 Mspwlau;Mspwlau; [x]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - BDFILESPY

*Deregistered* - BdFileSpy

.

Inhalt des "geplante Tasks" Ordners

.

2011-12-01 c:\windows\Tasks\Final Media Player Update Checker.job

- c:\programme\FinalMediaPlayer\FMPCheckForUpdates.exe [2011-09-02 13:24]

.

2011-12-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-24 14:35]

.

2011-12-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-24 14:35]

.

2011-12-01 c:\windows\Tasks\Symantec NetDetect.job

- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2008-11-18 15:03]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

Trusted Zone: adobe.com\www

TCP: DhcpNameServer = 192.168.2.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-02 18:22

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Norton AntiVirus]

"ImagePath"="\"c:\programme\Norton AntiVirus\Engine\16.8.3.6\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\programme\Norton AntiVirus\Engine\16.8.3.6\diMaster.dll\" /prefetch:1"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:73,9e,0d,3e,4f,e2,75,bc,c1,be,51,b6,88,7a,d8,55,c1,a4,8f,c7,53,

   40,e9,6e,68,8d,76,00,5a,63,5e,c4,7d,e7,79,49,4d,91,76,20,8b,dc,3f,03,06,71,\

.

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:73,9e,0d,3e,4f,e2,75,bc,c1,be,51,b6,88,7a,d8,55,c1,a4,8f,c7,53,

   40,e9,6e,68,8d,76,00,5a,63,5e,c4,7d,e7,79,49,4d,91,76,20,8b,dc,3f,03,06,71,\

.

Zeit der Fertigstellung: 2011-12-02  18:24:01

ComboFix-quarantined-files.txt  2011-12-02 17:23

ComboFix2.txt  2011-11-29 19:43

.

Vor Suchlauf: 9 Verzeichnis(se), 100.160.552.960 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 100.140.728.320 Bytes frei

.

- - End Of File - - 27A921808CF6D195815485E0C87BBAD5

--- --- ---

sieht gut aus

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

auch der einsatz von Malwarebytes hat geklappt. hat nicht viel gefunden: "nur" zwei passwort-spionierer und :snyper: :daumenhoc. log folgt (der nach dem löschen):

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8293

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.12.2011 01:05:14
mbam-log-2011-12-03 (01-05-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 333490
Laufzeit: 1 Stunde(n), 1 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\dokumente und einstellungen\Hilmar\anwendungsdaten\u5hr46sirtijyrt5.exe.vir (Spyware.Password) -> Quarantined and deleted successfully.
c:\system volume information\_restore{001bd959-aba2-4db2-81e0-11bbcca314b7}\RP274\A0118393.exe (Spyware.Password) -> Quarantined and deleted successfully.

klingt ja fast als währest du enteuscht
:d

lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ey sir! aber das könnte in die hose gehen, weil ich nicht von jedem kleinen programm weiß, für was es gut und ob es nötig ist... verrätst du mir vorher den zweck der übung? wenn's darauf hinausläuft, alle programme zu löschen, die mir unnötig erscheinen (weil ich damit nix anfangen kann), würde ich sagen: gefährlich... lieber nicht...! :(

hi,
1. sehe ich die liste ja durch, wenn also was falsch beschriftet ist, dann werd ichs dich sicher nicht löschen lassen.
2. geht es darum, unnötiges zeugs los zu werden und zu schauen was updates benötigt.

o.k. aber wie kannst du wissen, was ich hier alles für exoten-programme drauf hab und was die für hilfsprogrämmchen haben... ich kann dir sagen, dass es unter den programmen, die alle lt. task-manager laufen, von programmen wimmelt, die ich nicht kenne...
sorry, aber den zeitaufwändigen job schieb ich erst mal... das FA ist mir im nacken... meld mich, wenn ich wieder land seh... o.k.?!

alles klar.
keine angst wenn ich nen programm nicht kenne dann wirds auch nicht angerührt, so einfach ist das :-)
es ist aber wichtig aktuelle software zu nutzen und evtl. nicht benötigtes weg zu haun, um sicherheitslücken zu vermeiden

all right! meld mich! auf jeden fall: :dankeschoen: