Infizierte Registrierungswerte Hijack.ControlPanelStyle
 

Hallo zusammen,

alles fing damit an, dass auf meinem Computer folgender Virus vorhanden war: Exploit.java.cve-2012-1723.b. Der konnte entfernt werden. Dieser Virus hat sich dadurch bemerkbar gemacht, dass sich auf einmal ein Fenster geöffnet hat in dem zu lesen war, dass mein PC 20 Infektionen ausgesetz ist. Ich habe dieses Fenster sofort geschlossen und alle Programme beendet und den PC sofort runtergefahren. Dann habe ich eine Überprüfung mit der Kaspersky Rescue Disk 10 durchgeführt. Bei dieser Überprüfung wurde der oben genannte Virus gefunden und entfernt.
Nach Überprüfung mit Malwarbytes Anti-Malware wurde "Hijack.ControlPanelStyle" gefunden. Um sicher zu gehen, dass ich diesen komplett entfernt bekomme, habe ich alles, was hier im Board vorgeschlagen wird gemacht, s. Logfiles.

vielen Dank für eure Hilfe

hier die mbam log file

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.04.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: THEO99 [Administrator]

Schutz: Aktiviert

04.07.2012 10:03:56
mbam-log-2012-07-04 (11-49-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 487005
Laufzeit: 1 Stunde(n), 42 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Liebes Board-Team, leider sind nur noch die protection-Logs dort abgespeichert. Ich denke, die werden nicht weiterhelfen.

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Liebes Board-Team,

ESET habe ich durchlaufen lassen, konnte aber nur mit der Offline-Version arbeiten, da die Online-Variante beim Starten des Setup abstuerzte.

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

zu 1. Windows scheint auf dem ersten Blick normal zu laufen
zu 2. Es fehlen keinerlei Eintraege in den Programmeordnern.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo liebes Board-Team,
hier die OTL-Text

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

ja, hier der Inhalt:

hier die S1:

Kannst du bitte mal diese Vollzitate sein lassen?

sorry, ok!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

ja, hab ich jetzt mit der neuesten OTL durchgefuehrt.

Das fällt mir ja jetzt erst auf :headbang:

Willst du dein System in die Knie zwingen? Zwei solcher Virenscanner installiert man niemals parallel! Deinstalliere einen der beiden!

Max. Malwarebytes kann man zu einem installierten Virenscanner benutzen, bei Malwarebytes würde ich aber die reine Free-Variante ohne Hintergrundschutz-Modul verwenden.
(die anderen Scanner die ich hier in der Bereinigung/Analyse verwende kommen den anderen auch nichts ins Gehege)

ESET und Malwarebytes hatte ich nur installiert, weil Sie mir hier im Board diese SW zur Herstellung der Logfiles vorgeschlagen hatten. Normalerweise habe ich nur McAfee installiert. Die anderen Tools deinstalliere ich nach Eurer Analyse sowieso wieder. McAfee hatte ich wie auch hier vorgeschlagen deaktiviert.

Na, nur weil wir hier mit dem ESET-OnlineScanner arbeiten ist das keine Pauschalaufforderung für jeden die normale Version von ESET einfach zu installiert :eek:

Zwei solcher Tools gehen eigentlich garnicht und deswegen sollst du jetzt ja auch einen der beiden umgehend deinstallieren, also ESET

ich finde, Du koenntest Deine Art, hier mit ganz normalen Menschen umzugehen, ein bisschen ueberpruefen. Weshalb ich ESET auf dem PC installiert habe und nicht die OnlineVersion, hatte ich auch hier gepostet. Lesen und Verstehen schuetzt vor falschen Behauptungen. Vielleicht solltest Du von Deinem hohen Ross ein bisschen runterkommen. Unsereins ist wirklich dankbar fuer Eure Arbeit, aber keiner aus Eurem wirklich nuetzlichen Forum muss uns zeigen, wie schlau er ist. Wir wissen es.

Sry aber jetzt vergreifst du dich im Ton!
Wir verweisen nicht aus Spaß auf die Online-Variante, wenn die nicht geht hättest du erst mal nachfragen können anstatt einfach ESET richtig zu installieren!

Du machst etwas falsch, ich erklär dir warum es falsch ist und dann bist du auch noch beleidigt! Mit deiner infantilen Einstellung kann und will ich dir nicht helfen

ein bisschen Freundlichkeit ist nicht zu viel verlangt und wenn das infantil ist, dann bin ich es. Vielleicht koenntest Du jemand anderen hier im Board vorschlagen, der die Arbeit mit mir fortsetzt?

Ich hab dir deutlich mitgeteilt, dass zwei Virenscanner wie McAfee und das ESET-Teil was du installiert hast, das System negativ beeinträchtigen. Mir ist das natürlich erst danach aufgefallen, dass du dann zwei Virenscanner im System hattest, aber erst wäre wirklich sinnvoller gewesen wenn du erst nachgfragt hättest was nun passieren soll da ja die Online-Variante nicht funktionierte

Auf meinen deutlichen Hinweis reagierst du mit patzigen Antworten, eigentlich bist du es der hier unfreundlich war!

genau, denk mal drüber nach!

ok, koennen wir jetzt noch auf ganz sachlicher Ebene weitermachen oder wird der Thread jetzt beendet? ESET habe ich jeden falls deinstalliert.

Warum fängst du hier überhaupt an mir Unfreundlichkeit vorzuwerfen?
Lag es am Smilie => :headbang:
Wenn ja, der war an mich selbst gerichtet weil ich es übersehen habe, dass du zwei Scanner installiert hast!
Ich hab mich höchstens ein wenig darüber gewundert, dass du einfach was installierst ohne Absprache, mir wäre ein Nachfragen, was passieren soll wenn der OnlineScanner nicht geht, lieber gewesen!

na gut, ich denke, vielleicht ein wenig ueberreagiert zu haben - Sorry, ich habe mich an diese Forensprache einfach noch nicht gewoehnt.

Hast du den "echten" ESET deinstalliert? Wenn ja, brauch ich wie o.g. ein neues OTL-Log

ja, ESET war schon komplett deinstalliert und danach hatte ich auch einen Neustart durchgefuehrt. McAfee hatte ich saemtliche Einstellungen deaktiviert. Danach die neueste OTL runtergeladen und bin dann wie beim letzten OTL Durchlauf vorgegangen

Hier also die neueste OTL log:

Rechner in der Uni? Humboldt Uni Berlin?
Fester Rechner, dein Rechner?

:confused:

Ja, das ist mein Rechner in der Uni. Gibt es da Probleme. Wir haben leider keine Virenspezialisten.

Was heißt "dein" Rechner, ist es dein eigener Rechner oder Eigentum der Uni und du arbeitest an diesem Rechner nur?

der Rechner ist Eigentum der Uni.

Sry genau das dachte ich mir.
Das verhält sich wie ein Büro-PC
Mag sein, das ihr in der Uni keinen Virenspezi habt, aber da dieser Rechner der Uni gehört muss es einen administrativ Verantwortlichen für diesen Rechner geben, der dir bei diesem Problem weiterhelfen muss

Ist mir sowieso unbegreiflich, dass jmd an festen Uni-Rechnern Adminrechte bekommt



Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

naja, die Uni ist zwar kein Gewerbe sondern Dienst an der Oeffentlichkeit, sie macht in jedem Falle kein Gewinn. Mehr kann ich dazu nicht sagen.

Naja ich würde hier schon eine Ausnahme machen, so ist das ja nicht, weil in unserem Strang ja nun wirklich nicht von Uni-Rechnern die Rede ist
Aber dennoch finde ich das schon etwas merkwürdig, bei einer Uni sollte man schon erwarten dürfen, dass es dort Admins gibt die sich auch für die Rechner im Uni-Netz verantwortlich fühlen! Und auch tatsächlich dafür zuständig sind und dann auch bei Problemen/Fragen verfügbar sind und handeln!


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

das habe ich jetzt auch unter Befolgung Deiner Hinweise gemacht.
Die Nutzernamen ersetze ich durch xxx:

All processes killed
========== OTL ==========
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: true removed from browser.search.useDBForOrder
C:\Profile\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l3srtxij.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults\preferences folder moved successfully.
C:\Profile\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l3srtxij.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults folder moved successfully.
C:\Profile\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l3srtxij.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\chrome folder moved successfully.
C:\Profile\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\l3srtxij.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableStatusMessages deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\VerboseStatus deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-515967899-492894223-839522115-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 210481140 bytes
->Temporary Internet Files folder emptied: 6517016 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 63470995 bytes
->Flash cache emptied: 795 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxx
->Temp folder emptied: 599383239 bytes
->Temporary Internet Files folder emptied: 7044989 bytes
->Java cache emptied: 2419591 bytes
->FireFox cache emptied: 58214590 bytes
->Flash cache emptied: 11912 bytes

User: xxx
->Temp folder emptied: 4153384 bytes
->Temporary Internet Files folder emptied: 8502736 bytes
->FireFox cache emptied: 12271427 bytes

User: xxx
->Temp folder emptied: 91672715 bytes
->Temporary Internet Files folder emptied: 12744405 bytes
->Java cache emptied: 1522498 bytes
->FireFox cache emptied: 35311829 bytes
->Flash cache emptied: 1535537 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxx
->Temp folder emptied: 21719393 bytes
->Temporary Internet Files folder emptied: 3937255 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 46307141 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

User: xxx
->Temp folder emptied: 587497 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxx
->Temp folder emptied: 667325 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 44650233 bytes
->Flash cache emptied: 456 bytes

User: xxx
->Temp folder emptied: 962183 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47600070 bytes
->Flash cache emptied: 456 bytes

User: xxx
->Temp folder emptied: 588347 bytes
->Temporary Internet Files folder emptied: 44668029 bytes
->Java cache emptied: 284967 bytes
->FireFox cache emptied: 2928589 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9375488 bytes
RecycleBin emptied: 1374624 bytes

Total Files Cleaned = 1.281,00 mb


[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

User: Default User

User: xxx
->Flash cache emptied: 0 bytes

User: xxx

User: xxx
->Flash cache emptied: 0 bytes

User: LocalService

User: xxx

User: NetworkService

User: xxx

User: xxx
->Flash cache emptied: 0 bytes

User: xxx
->Flash cache emptied: 0 bytes

User: xxx

Total Flash Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.53.1 log created on 07122012_092132

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

ok, hab ich unter Beachtung Deiner Hinweise ausgefuehrt:

Log ist unvollständig! Die untere Zusammenfassung fehlt

hm, jetzt:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

hab ich gemacht unter Beachtung Deiner Hinweise, wobei vor dem Durchlauf die MS WiderherstellungsConsole runtergeladen und installiert wurde:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

hab ich unter Beachtung Deiner Hinweise durchgefuehrt. Folgende Abweichungen sind dabei aufgetreten:
1. CoFi hat zu Beginn des Durchlaufs eine Programmaktualisierung durchgefuehrt.
2. Bei Stufe 4 ist folgendes Programm abgestuerzt: PEV.exe
3. Das Programm CoFi hat mich nicht nach einem Neustart gefragt, wie beim ersten Durchlauf. Es hat dann gleich die LogDatei erstellt:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Gmer:

Osam:

aswMBR log:

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier also das Logfile von SuperAntiSpyware:


und von vom Antimalwarebyte:

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

nun moechte ich mich bei Dir erst mal herzlich bedanken fuer Deine umfangreiche Arbeit!!!

Kannst Du mir noch etwas zu dem Fund 'infizierte Registrierungswerte' in amwb sagen?
Und noch eine Frage: Kann man eine Aussage treffen ueber die Herkunft der Virenfunde, also Ursprung bspw. Internet (MailClient, Webrowser) USB-LW?
Wir sind uns nicht klar, wie wir uns den Virus eingefangen hatten.

Einfach mal nach ForceClassicControlPanel googlen, dann solltest du es selber schon sehen :pfeiff:

Wo genau die Schädlinge herkamen kann ich doch nicht sagen! Es gibt verschiedene Verbreitungswege und diese müssen alle von dir abgedichtet werden! :kloppen:

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

nochmals besten Dank fuer Deine umfangreich Unterstuetzung! An Deinen abschliessenden Hinweisen werden wir uns orientieren.