Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundestrojaner eingefangen (https://www.trojaner-board.de/118754-bundestrojaner-eingefangen.html)

K4M1K4Z3 07.07.2012 08:01
Bundestrojaner eingefangen
 
Guten Morgen,

um c.a 6:24 kam plötzlich beim Surfen im Internet ein Vollbildfenster mit dem hinweiß das ich etwas verbrochen habe (Bundespolizei) und deshalb mein Computer gesperrt wurde. Um Ihn wieder zu entsperren soll ich eine doch erhebliche Summe überweißen, damit ich wieder Arbeiten kann. Evtl. Hilf der hinweiß auch, dass in diesem Fenster so eine Webcam fake zu sehen war oben rechts.

Des Weiteren kommt diese Meldung nur, wenn ich mit dem Internet Verbunden bin. Wenn ich nicht Verbunden bin, kann ich ganz normal arbeiten, nur mein Task-Manager geht nicht auf. (er geht zwar auf, aber gleich wieder zu).

Meine Schritte bis jetzt:
1. Avira durchlaufen lassen, hat auch Viren gefunden und löschen können. (leider kein log mehr dazu) (konnte nach dem zweiten durchlauf keine Viren mehr finden)

2. Habe die Windows 7 interne Bereinigung durchlaufen lassen.

3. Mit dem CCleaner habe ich auch alles bereinigt + Registry.

4. Neustart, Internet wieder aktiviert nur blöder weiße kam diese Meldung immer noch.

Habe mir auch paar andere Beiträge dazu durchgelesen und fast immer wurde diese Datei: appdata/roaming/microsoft/windows/start menu/programs/startup/cftmon angesprochen oder beim fixen ausgewählt. Diese wurde auch um 6:24 das letzte mal geändert.

Im Anhang hinterlege ich auch noch den OTLlog (Muss sie zipen, da die txt zu groß war).

Ich würde mich sehr freuen, wenn sich Einer mir annehmen könnte.
Schonmal vielen dank dafür.

Gruß
Kami

markusg 09.07.2012 19:12
hi
finger weg von der registry, da kannst du dem system schaden.
öffne avira, berichte, poste alle logs mit funden

K4M1K4Z3 10.07.2012 02:58
Hallo Markusg,

wie ich in meinem ersten Post schon geschrieben habe, existieren keine Logs mehr. Will ich den Log der Suche einsehen, sagt mir Avira, dass diese Datei nicht existiert und ob ich diese Datei neu erstellen möchte.

Meine Logs lagen unter ProgramData/Avira/Avira Desktop/TEMP, bin mir nicht sicher ob die Windowsbereinigung oder der Ccleaner diese evtl. rausgeschmissen hat.

Was ich habe sind die Dateien aus dem Quarantäne Ordner, die an diesem Tag gefunden wurden. Ich poste mal die Eigenschaften dazu:

Code:
Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\10d047e0-6164dd94
Status:        Infiziert
Quarantäne-Objekt:        40cc4eea.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/CVE-2010-0840
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\4bb9e887-38e4d29a
Status:        Infiziert
Quarantäne-Objekt:        4e394469.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/CVE-2011-3544.BL
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\5232f67d-2a58d81e
Status:        Infiziert
Quarantäne-Objekt:        7a2251b3.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/CVE-2011-3544.BU
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\35976f9d-4e4c3788
Status:        Infiziert
Quarantäne-Objekt:        0c1f62bb.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/2012-0507.CU
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\5d79db3e-2d13fd47
Status:        Infiziert
Quarantäne-Objekt:        1c111e83.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/CVE-2010-0840
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\7fbc82a9-29f64d91
Status:        Infiziert
Quarantäne-Objekt:        3fd57c41.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        EXP/JAVA.Ternub.Gen
Datum/Uhrzeit:        07.07.2012, 07:12


Typ:        Datei
Quelle:        C:\Users\Beni\AppData\Roaming\BAcroIEHelpe.dll
Status:        Infiziert
Quarantäne-Objekt:        55f8126e.qua
Wiederhergestellt:        NEIN
Zu Avira hochgeladen:        NEIN
Betriebssystem:        Windows XP/VISTA Workstation/Windows 7
Suchengine:        8.02.10.106
Virendefinitionsdatei:        7.11.35.108
Meldung:        TR/Rogue.kdv.666316
Datum/Uhrzeit:        07.07.2012, 06:29
Ich habe heute auch nochmal einen kompletten Suchlaufe durchgeführt, diesen Poste ich auch mal, aber wie ich schon sagte, findet er keine Viren mehr:

Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 10. Juli 2012  02:51

Es wird nach 3844912 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Ultimate
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : Beni
Computername  : MUDDA

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE    : 12.3.0.15    466896 Bytes  08.05.2012 17:18:10
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  08.05.2012 17:18:10
LUKE.DLL      : 12.3.0.15      68304 Bytes  08.05.2012 17:18:10
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 17:18:10
AVREG.DLL      : 12.3.0.17    232200 Bytes  10.05.2012 17:50:05
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 22:00:57
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 07:28:38
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 20:05:16
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 18:34:08
VBASE006.VDF  : 7.11.34.117    2048 Bytes  29.06.2012 18:34:08
VBASE007.VDF  : 7.11.34.118    2048 Bytes  29.06.2012 18:34:08
VBASE008.VDF  : 7.11.34.119    2048 Bytes  29.06.2012 18:34:08
VBASE009.VDF  : 7.11.34.120    2048 Bytes  29.06.2012 18:34:08
VBASE010.VDF  : 7.11.34.121    2048 Bytes  29.06.2012 18:34:08
VBASE011.VDF  : 7.11.34.122    2048 Bytes  29.06.2012 18:34:08
VBASE012.VDF  : 7.11.34.123    2048 Bytes  29.06.2012 18:34:08
VBASE013.VDF  : 7.11.34.124    2048 Bytes  29.06.2012 18:34:09
VBASE014.VDF  : 7.11.34.201  169472 Bytes  02.07.2012 15:43:29
VBASE015.VDF  : 7.11.35.19    122368 Bytes  04.07.2012 17:02:44
VBASE016.VDF  : 7.11.35.87    146944 Bytes  06.07.2012 02:44:44
VBASE017.VDF  : 7.11.35.88      2048 Bytes  06.07.2012 02:44:44
VBASE018.VDF  : 7.11.35.89      2048 Bytes  06.07.2012 02:44:44
VBASE019.VDF  : 7.11.35.90      2048 Bytes  06.07.2012 02:44:44
VBASE020.VDF  : 7.11.35.91      2048 Bytes  06.07.2012 02:44:44
VBASE021.VDF  : 7.11.35.92      2048 Bytes  06.07.2012 02:44:44
VBASE022.VDF  : 7.11.35.93      2048 Bytes  06.07.2012 02:44:45
VBASE023.VDF  : 7.11.35.94      2048 Bytes  06.07.2012 02:44:45
VBASE024.VDF  : 7.11.35.95      2048 Bytes  06.07.2012 02:44:45
VBASE025.VDF  : 7.11.35.96      2048 Bytes  06.07.2012 02:44:45
VBASE026.VDF  : 7.11.35.97      2048 Bytes  06.07.2012 02:44:45
VBASE027.VDF  : 7.11.35.98      2048 Bytes  06.07.2012 02:44:45
VBASE028.VDF  : 7.11.35.99      2048 Bytes  06.07.2012 02:44:45
VBASE029.VDF  : 7.11.35.100    2048 Bytes  06.07.2012 02:44:45
VBASE030.VDF  : 7.11.35.101    2048 Bytes  06.07.2012 02:44:46
VBASE031.VDF  : 7.11.35.108    5120 Bytes  06.07.2012 02:44:46
Engineversion  : 8.2.10.106
AEVDF.DLL      : 8.1.2.8      106867 Bytes  01.06.2012 17:07:24
AESCRIPT.DLL  : 8.1.4.32      455034 Bytes  05.07.2012 17:04:06
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 22:53:49
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 17:20:56
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL    : 8.2.16.22    807288 Bytes  22.06.2012 15:38:06
AEOFFICE.DLL  : 8.1.2.40      201082 Bytes  28.06.2012 16:20:10
AEHEUR.DLL    : 8.1.4.64    5009782 Bytes  05.07.2012 17:04:02
AEHELP.DLL    : 8.1.23.2      258422 Bytes  28.06.2012 16:19:35
AEGEN.DLL      : 8.1.5.32      434548 Bytes  07.07.2012 02:44:46
AEEXP.DLL      : 8.1.0.60      86388 Bytes  05.07.2012 17:04:07
AEEMU.DLL      : 8.1.3.0      393589 Bytes  01.09.2011 22:46:01
AECORE.DLL    : 8.1.25.10    201080 Bytes  31.05.2012 17:08:10
AEBB.DLL      : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 17:18:09
AVPREF.DLL    : 12.3.0.15      51920 Bytes  08.05.2012 17:18:10
AVREP.DLL      : 12.3.0.15    179208 Bytes  08.05.2012 17:18:10
AVARKT.DLL    : 12.3.0.15    211408 Bytes  08.05.2012 17:18:10
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  08.05.2012 17:18:10
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  08.05.2012 17:18:10
AVSMTP.DLL    : 12.3.0.15      63440 Bytes  08.05.2012 17:18:10
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 17:18:10
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 17:18:09
RCTEXT.DLL    : 12.3.0.15      98512 Bytes  08.05.2012 17:18:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 10. Juli 2012  02:51

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'OTL.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSTheme.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'EKAG20NT.EXE' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosAVRC.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHsp.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHid.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDWebCam.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMovieViewer.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDYT.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCU.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCUService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '30' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
D:\Games\Star Wars-The Old Republic\launcher.exe
  [WARNUNG]  Die Datei ist kennwortgeschützt
Die Registry wurde durchsucht ( '2818' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Games\World_of_Tanks\Updates\wot_74.170084_content_de.patch
  [WARNUNG]  Die Komprimierungsmethode wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_74.981_client_eu.patch
  [WARNUNG]  Die Komprimierungsmethode wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_74.98_launcher_eu.patch
  [WARNUNG]  Die Komprimierungsmethode wird nicht unterstützt
C:\Games\World_of_Tanks\Updates\wot_741.1002_74.981_client_eu.patch
  [WARNUNG]  Die Komprimierungsmethode wird nicht unterstützt
C:\Program Files\WinRAR\rarnew.dat
  [WARNUNG]  Das Archiv ist unbekannt oder defekt
C:\Users\Beni\Downloads\avira_free_antivirus_de1200861.exe
  [WARNUNG]  Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\'
D:\Games\Star Wars-The Old Republic\assets_swtor_de_de.version
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\assets_swtor_main.version
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\FixLauncher.exe
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\launcher.exe
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\movies_de_de.version
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\patcher.version
  [WARNUNG]  Die Datei ist kennwortgeschützt
D:\Games\Star Wars-The Old Republic\retailclient_swtor.version
  [WARNUNG]  Die Datei ist kennwortgeschützt


Ende des Suchlaufs: Dienstag, 10. Juli 2012  03:31
Benötigte Zeit: 39:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  35479 Verzeichnisse wurden überprüft
 588135 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 588135 Dateien ohne Befall
  9110 Archive wurden durchsucht
    14 Warnungen
      0 Hinweise
 789423 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Welche Informationen könnte ich noch zusammen tragen, damit Sie mir effektiv weiterhelfen können? Konnten die OTLlogs etwas aussagen, dass uns evtl. weiterbringt?

Schonmal danke für Ihre Mühe,

Gruß
Kami

Hallo Markusg,

ich habe mir nochmal die OTLlogs angesehen und habe da zwei Zeilen gefunden, die hier in anderen Beiträgen immer im Bezug zum Bundestrojaner aufgefügt werden.

Code:
[2012.07.07 06:24:47 | 000,001,883 | ---- | M] () -- C:\Users\Beni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
Diese Datei wurde um 6:24 erstellt und seid dann habe ich auch dieses Problem mit dem Sperren des Rechners, wenn ich die Internet-Verbindung aktiviere. Müsste ich jetzt nicht ein OTL-Script ausführen und das Fixen?

Ich wollte jetzt keines Falls vorausgreifen, nur Informationen hinzufügen.

Danke
Gruß

Kami

markusg 11.07.2012 01:38
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - Startup: C:\Users\Beni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\Windows\SysWOW64\rundll32.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Userinit] C:\Users\Beni\AppData\Roaming\appconf32.exe ()
[2012.07.07 07:47:52 | 000,000,000 | ---D | C] -- C:\Users\Beni\AppData\Roaming\UAs
[2012.07.07 07:47:37 | 000,000,000 | ---D | C] -- C:\Users\Beni\AppData\Roaming\xmldm
[2012.07.07 04:42:10 | 000,000,000 | ---D | C] -- C:\Users\Beni\AppData\Roaming\13001.017
[2012.07.06 11:11:20 | 000,000,000 | ---D | C] -- C:\Users\Beni\AppData\Roaming\13001.016
[2012.07.07 07:58:00 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.07.07 04:42:00 | 000,179,904 | ---- | M] () -- C:\Users\Beni\AppData\Roaming\AcroIEHelpe161.dll
[2012.07.07 04:42:00 | 000,007,424 | ---- | M] () -- C:\Users\Beni\AppData\Roaming\BAcroIEHelpe161.dll
 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

K4M1K4Z3 11.07.2012 05:44
Hallo Markusg,

erstmal danke für deine Antwort.
Die Movedfieles.zip habe ich im Uploadchannel hochgeladen und war erfolgreich.

Hier das Ergebnis nach dem Neustart:

Code:
All processes killed
========== OTL ==========
C:\Users\Beni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Userinit deleted successfully.
File move failed. C:\Users\Beni\AppData\Roaming\appconf32.exe scheduled to be moved on reboot.
C:\Users\Beni\AppData\Roaming\UAs folder moved successfully.
C:\Users\Beni\AppData\Roaming\xmldm folder moved successfully.
C:\Users\Beni\AppData\Roaming\13001.017\components folder moved successfully.
C:\Users\Beni\AppData\Roaming\13001.017 folder moved successfully.
C:\Users\Beni\AppData\Roaming\13001.016\components folder moved successfully.
C:\Users\Beni\AppData\Roaming\13001.016 folder moved successfully.
C:\ProgramData\go_0molg.pad moved successfully.
C:\Users\Beni\AppData\Roaming\AcroIEHelpe161.dll moved successfully.
C:\Users\Beni\AppData\Roaming\BAcroIEHelpe161.dll moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Beni
->Flash cache emptied: 497 bytes
 
User: Default
 
User: Default User
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Beni
->Temp folder emptied: 5130208 bytes
->Temporary Internet Files folder emptied: 720451 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 42377534 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4472 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36035469 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 81,00 mb
 
 
OTL by OldTimer - Version 3.2.53.1 log created on 07112012_060810

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
C:\Users\Beni\AppData\Roaming\appconf32.exe moved successfully.
C:\Users\Beni\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Beni\AppData\Local\Temp\glom0_og.exe moved successfully.

PendingFileRenameOperations files...
[2009.07.14 03:14:31 | 000,044,544 | ---- | M] (Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe : MD5=51138BEEA3E2C21EC44D0932C71762A8
File C:\Users\Beni\AppData\Roaming\appconf32.exe not found!
File C:\Users\Beni\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File C:\Users\Beni\AppData\Local\Temp\glom0_og.exe not found!

Registry entries deleted on Reboot...
Es kam auch eine Fehlermeldung, das er ein Programm nicht öffnen konnte:

Code:
RunDLL

Problem beim Starten von
C:\Users\Beni\AppData\Local\Temp\glom0_og.exe

Das angegebene Modul wurde nicht gefunden.
So, also wie ich sehe, kann ich den Comupter jetzt wieder im Normalen Modus + Inet nutzen, super. Wie geht es jetzt weiter Markus?

markusg 11.07.2012 14:51
danke fürs hochladen
nutzt du den pc für onlinebanking,zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

K4M1K4Z3 11.07.2012 15:02
Ne, ist eingentlich ein reiner Gaming-PC.

markusg 11.07.2012 15:14
hi
ok
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

K4M1K4Z3 13.07.2012 10:05
Hallo Markus,

beim ersten durchlauf Lag die Combofix Datei leider noch im Download Ordner, habe daraufhin das Tool nochmal durchlaufen lassen, mit der Datei auf dem Desktop. Daher Poste ich mal beide Logs:

Code:
ComboFix 12-07-13.01 - Beni 13.07.2012  10:47:49.1.8 - x64
Microsoft Windows 7 Ultimate  6.1.7601.1.1252.49.1031.18.16288.13948 [GMT 2:00]
ausgeführt von:: c:\users\Beni\Downloads\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Beni\AppData\Roaming\AcroIEHelpe.txt
c:\users\Beni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
c:\users\Beni\AppData\Roaming\srvblck5.tmp
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-06-13 bis 2012-07-13  ))))))))))))))))))))))))))))))
.
.
2012-07-13 08:51 . 2012-07-13 08:51        --------        d-----w-        c:\users\UpdatusUser\AppData\Local\temp
2012-07-13 08:51 . 2012-07-13 08:51        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-07-12 08:49 . 2012-07-12 08:50        --------        d-----w-        c:\users\Beni\AppData\Roaming\Notepad++
2012-07-12 08:49 . 2012-07-12 08:49        --------        d-----w-        c:\program files (x86)\Notepad++
2012-07-12 06:27 . 2012-05-31 04:04        9013136        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{8B8CD570-9D3F-40B2-9C77-17366889172B}\mpengine.dll
2012-07-12 04:21 . 2012-07-12 10:18        --------        d-----w-        c:\users\Beni\AppData\Roaming\six-updater
2012-07-12 04:21 . 2012-07-12 04:21        --------        d-----w-        c:\users\Beni\AppData\Roaming\six-zsync
2012-07-12 04:21 . 2012-07-12 04:21        --------        d-----w-        c:\users\Beni\AppData\Local\SIX_Projects
2012-07-12 04:19 . 2012-07-12 04:19        --------        d-----w-        c:\program files (x86)\SIX Projects
2012-07-12 04:18 . 2012-07-12 04:19        --------        d-----w-        c:\users\Beni\AppData\Local\Downloaded Installations
2012-07-12 03:39 . 2012-07-12 23:23        --------        d-----w-        c:\users\Beni\AppData\Local\ArmA 2 OA
2012-07-12 03:39 . 2012-07-12 03:39        --------        d-----w-        c:\program files (x86)\Bohemia Interactive
2012-07-12 03:37 . 2012-07-12 03:37        --------        d-----w-        c:\users\Beni\AppData\Local\ArmA 2
2012-07-12 01:02 . 2012-06-12 03:08        3148800        ----a-w-        c:\windows\system32\win32k.sys
2012-07-11 09:10 . 2012-06-06 06:06        2004480        ----a-w-        c:\windows\system32\msxml6.dll
2012-07-11 04:08 . 2012-07-11 04:22        --------        d-----w-        C:\_OTL
2012-07-07 05:48 . 2012-07-07 05:48        --------        d-----w-        c:\program files\CCleaner
2012-07-03 19:46 . 2010-02-23 08:16        294912        ----a-w-        c:\windows\system32\browserchoice.exe
2012-07-03 00:54 . 2012-07-03 02:58        --------        d-----w-        c:\users\Beni\AppData\Roaming\wargaming.net
2012-07-03 00:52 . 2012-07-03 00:52        --------        d-----w-        C:\Games
2012-06-27 12:44 . 2012-06-27 12:44        --------        d-----w-        c:\program files\Common Files\Logitech
2012-06-25 20:38 . 2012-06-25 20:38        --------        d-----w-        c:\program files (x86)\HWiNFO32
2012-06-24 08:57 . 2012-06-24 08:57        421200        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-06-24 08:57 . 2012-06-24 08:57        770384        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-06-21 15:52 . 2012-06-02 22:19        2428952        ----a-w-        c:\windows\system32\wuaueng.dll
2012-06-21 15:52 . 2012-06-02 22:19        57880        ----a-w-        c:\windows\system32\wuauclt.exe
2012-06-21 15:52 . 2012-06-02 22:19        44056        ----a-w-        c:\windows\system32\wups2.dll
2012-06-21 15:52 . 2012-06-02 22:15        2622464        ----a-w-        c:\windows\system32\wucltux.dll
2012-06-21 15:52 . 2012-06-02 22:19        38424        ----a-w-        c:\windows\system32\wups.dll
2012-06-21 15:52 . 2012-06-02 22:19        701976        ----a-w-        c:\windows\system32\wuapi.dll
2012-06-21 15:52 . 2012-06-02 22:15        99840        ----a-w-        c:\windows\system32\wudriver.dll
2012-06-21 15:52 . 2012-06-02 13:19        186752        ----a-w-        c:\windows\system32\wuwebv.dll
2012-06-21 15:52 . 2012-06-02 13:15        36864        ----a-w-        c:\windows\system32\wuapp.exe
2012-06-14 16:49 . 2012-04-26 05:41        77312        ----a-w-        c:\windows\system32\rdpwsx.dll
2012-06-14 16:49 . 2012-04-26 05:41        149504        ----a-w-        c:\windows\system32\rdpcorekmts.dll
2012-06-14 16:49 . 2012-04-26 05:34        9216        ----a-w-        c:\windows\system32\rdrmemptylst.exe
2012-06-14 16:49 . 2012-05-01 05:40        209920        ----a-w-        c:\windows\system32\profsvc.dll
2012-06-14 16:49 . 2012-05-04 11:06        5559664        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-06-14 16:49 . 2012-05-04 10:03        3968368        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe
2012-06-14 16:49 . 2012-05-04 10:03        3913072        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe
2012-06-14 16:49 . 2012-04-28 05:32        1112064        ----a-w-        c:\windows\system32\rdpcorets.dll
2012-06-14 16:49 . 2012-04-28 03:55        210944        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-06-14 16:49 . 2012-04-07 12:31        3216384        ----a-w-        c:\windows\system32\msi.dll
2012-06-14 16:49 . 2012-04-07 11:26        2342400        ----a-w-        c:\windows\SysWow64\msi.dll
2012-06-14 16:48 . 2012-04-24 05:37        1462272        ----a-w-        c:\windows\system32\crypt32.dll
2012-06-14 16:48 . 2012-04-24 05:37        184320        ----a-w-        c:\windows\system32\cryptsvc.dll
2012-06-14 16:48 . 2012-04-24 05:37        140288        ----a-w-        c:\windows\system32\cryptnet.dll
2012-06-14 16:48 . 2012-04-24 04:36        140288        ----a-w-        c:\windows\SysWow64\cryptsvc.dll
2012-06-14 16:48 . 2012-04-24 04:36        1158656        ----a-w-        c:\windows\SysWow64\crypt32.dll
2012-06-14 16:48 . 2012-04-24 04:36        103936        ----a-w-        c:\windows\SysWow64\cryptnet.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 07:13 . 2012-03-31 10:23        426184        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-12 07:13 . 2011-12-05 18:04        70344        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-11 13:38 . 2012-03-31 14:29        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr
2012-07-11 13:38 . 2012-03-31 12:53        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe
2012-07-11 13:37 . 2012-03-31 12:53        280904        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0
2012-05-08 17:18 . 2011-12-05 16:08        98848        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-05-08 17:18 . 2011-12-05 16:08        132832        ----a-w-        c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2010-04-22 2363392]
"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-12-05 1242448]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-01-19 3477312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BCU"="c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe" [2009-10-26 375000]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-01-19 43632]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-05-20 284440]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"MDS_Menu"="c:\program files (x86)\CyberLink\MediaShow4\MUITransfer\MUIStartMenu.exe" [2009-02-25 218408]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-12-15 103720]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"RemoteControl9"="c:\program files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-07-06 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-05-14 75048]
"UpdatePPShortCut"="c:\program files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"UCam_Menu"="c:\program files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-02-17 218408]
"UpdatePSTShortCut"="c:\program files (x86)\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe" [2010-06-02 222504]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-06-27 1996200]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files (x86)\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2009-11-5 2717024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\LUCIDL~1\VIRTU\x86\appinit_dll.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer5"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 CLKMSVC10_9EC60124;CyberLink Product - 2011/12/02 15:06;c:\program files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe [2010-05-14 246256]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-12 250056]
R3 cpuz134;cpuz134;c:\program files\MIFcom\Support\pcwiz_x64.sys [2011-02-04 21480]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 e1qexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver Q;c:\windows\system32\DRIVERS\e1q62x64.sys [2010-07-08 303280]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-24 113120]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-21 20992]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-21 34816]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2009-07-21 61976]
R4 RsFx0103;RsFx0103 Driver;c:\windows\system32\DRIVERS\RsFx0103.sys [2009-03-30 311656]
R4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2009-03-30 427880]
S0 mv91xx;mv91xx;c:\windows\system32\drivers\mv91xx.sys [2010-11-22 303408]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 27760]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-01-25 283200]
S1 HWiNFO32;HWiNFO32/64 Kernel Driver;c:\program files (x86)\HWiNFO32\HWiNFO64A.SYS [2012-05-10 30592]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
S2 BCUService;Browser Configuration Utility Service;c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe [2009-10-26 223464]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-06-27 2369960]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-05-20 13592]
S2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IProsetMonitor.exe [2011-01-17 164520]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S3 e1cexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver C;c:\windows\system32\DRIVERS\e1c62x64.sys [2011-02-08 328368]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-14 317440]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [2009-11-23 22408]
S3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\Drivers\LGPBTDD.sys [2009-07-01 30728]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [2009-11-23 16008]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2010-10-19 56344]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-12-10 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-12-10 181248]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2011-07-07 174184]
S3 VirtuWDDM;VirtuWDDM;c:\windows\system32\DRIVERS\VirtuWDDM.sys [2011-08-08 66336]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - CLKMDRV10_9EC60124
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-04-22 12:09        451872        ----a-w-        c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 07:13]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-05-03 11842152]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-04-20 168216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-04-20 392472]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-04-20 416024]
"VIRTU"="c:\program files\Lucidlogix Technologies\VIRTU\VirtuControlPanel.Exe" [2011-08-08 2660128]
"Launch LgDeviceAgent"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 415816]
"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 2412616]
"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 4725320]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 190536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~1\LUCIDL~1\VIRTU\appinit_dll.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
FF - ProfilePath - c:\users\Beni\AppData\Roaming\Mozilla\Firefox\Profiles\qs3sp69w.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-BattlEye for A2 - c:\program files (x86)\steam\steamapps\common\arma 2BattlEye\UnInstallBE.exe
AddRemove-BattlEye for OA - c:\program files (x86)\steam\steamapps\common\arma 2 operation arrowheadExpansion\BattlEye\UnInstallBE.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3766522328-1117112942-3133635898-1001\Software\SecuROM\License information*]
"datasecu"=hex:7f,e1,6c,bd,59,43,9b,74,a3,54,71,a2,22,6f,d0,0b,07,d0,10,d3,5a,
  a0,fe,9b,cb,ed,ce,a0,1e,74,1d,ae,27,56,2d,1a,42,f1,e9,7e,10,a0,62,5b,29,05,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-07-13  10:53:24
ComboFix-quarantined-files.txt  2012-07-13 08:53
.
Vor Suchlauf: 12 Verzeichnis(se), 76.084.428.800 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 75.706.605.568 Bytes frei
.
- - End Of File - - 53769962F9C9877AC63E4B0BDC4366A7
Zweiter lauf:

Code:
ComboFix 12-07-13.01 - Beni 13.07.2012  10:57:43.2.8 - x64
Microsoft Windows 7 Ultimate  6.1.7601.1.1252.49.1031.18.16288.13700 [GMT 2:00]
ausgeführt von:: c:\users\Beni\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-06-13 bis 2012-07-13  ))))))))))))))))))))))))))))))
.
.
2012-07-13 09:00 . 2012-07-13 09:00        --------        d-----w-        c:\users\UpdatusUser\AppData\Local\temp
2012-07-13 09:00 . 2012-07-13 09:00        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-07-12 08:49 . 2012-07-12 08:50        --------        d-----w-        c:\users\Beni\AppData\Roaming\Notepad++
2012-07-12 08:49 . 2012-07-12 08:49        --------        d-----w-        c:\program files (x86)\Notepad++
2012-07-12 06:27 . 2012-05-31 04:04        9013136        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{8B8CD570-9D3F-40B2-9C77-17366889172B}\mpengine.dll
2012-07-12 04:21 . 2012-07-12 10:18        --------        d-----w-        c:\users\Beni\AppData\Roaming\six-updater
2012-07-12 04:21 . 2012-07-12 04:21        --------        d-----w-        c:\users\Beni\AppData\Roaming\six-zsync
2012-07-12 04:21 . 2012-07-12 04:21        --------        d-----w-        c:\users\Beni\AppData\Local\SIX_Projects
2012-07-12 04:19 . 2012-07-12 04:19        --------        d-----w-        c:\program files (x86)\SIX Projects
2012-07-12 04:18 . 2012-07-12 04:19        --------        d-----w-        c:\users\Beni\AppData\Local\Downloaded Installations
2012-07-12 03:39 . 2012-07-12 23:23        --------        d-----w-        c:\users\Beni\AppData\Local\ArmA 2 OA
2012-07-12 03:39 . 2012-07-12 03:39        --------        d-----w-        c:\program files (x86)\Bohemia Interactive
2012-07-12 03:37 . 2012-07-12 03:37        --------        d-----w-        c:\users\Beni\AppData\Local\ArmA 2
2012-07-12 01:02 . 2012-06-12 03:08        3148800        ----a-w-        c:\windows\system32\win32k.sys
2012-07-11 09:10 . 2012-06-06 06:06        2004480        ----a-w-        c:\windows\system32\msxml6.dll
2012-07-11 04:08 . 2012-07-11 04:22        --------        d-----w-        C:\_OTL
2012-07-07 05:48 . 2012-07-07 05:48        --------        d-----w-        c:\program files\CCleaner
2012-07-03 19:46 . 2010-02-23 08:16        294912        ----a-w-        c:\windows\system32\browserchoice.exe
2012-07-03 00:54 . 2012-07-03 02:58        --------        d-----w-        c:\users\Beni\AppData\Roaming\wargaming.net
2012-07-03 00:52 . 2012-07-03 00:52        --------        d-----w-        C:\Games
2012-06-27 12:44 . 2012-06-27 12:44        --------        d-----w-        c:\program files\Common Files\Logitech
2012-06-25 20:38 . 2012-06-25 20:38        --------        d-----w-        c:\program files (x86)\HWiNFO32
2012-06-24 08:57 . 2012-06-24 08:57        421200        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcp100.dll
2012-06-24 08:57 . 2012-06-24 08:57        770384        ----a-w-        c:\program files (x86)\Mozilla Firefox\msvcr100.dll
2012-06-21 15:52 . 2012-06-02 22:19        2428952        ----a-w-        c:\windows\system32\wuaueng.dll
2012-06-21 15:52 . 2012-06-02 22:19        57880        ----a-w-        c:\windows\system32\wuauclt.exe
2012-06-21 15:52 . 2012-06-02 22:19        44056        ----a-w-        c:\windows\system32\wups2.dll
2012-06-21 15:52 . 2012-06-02 22:15        2622464        ----a-w-        c:\windows\system32\wucltux.dll
2012-06-21 15:52 . 2012-06-02 22:19        38424        ----a-w-        c:\windows\system32\wups.dll
2012-06-21 15:52 . 2012-06-02 22:19        701976        ----a-w-        c:\windows\system32\wuapi.dll
2012-06-21 15:52 . 2012-06-02 22:15        99840        ----a-w-        c:\windows\system32\wudriver.dll
2012-06-21 15:52 . 2012-06-02 13:19        186752        ----a-w-        c:\windows\system32\wuwebv.dll
2012-06-21 15:52 . 2012-06-02 13:15        36864        ----a-w-        c:\windows\system32\wuapp.exe
2012-06-14 16:49 . 2012-04-26 05:41        77312        ----a-w-        c:\windows\system32\rdpwsx.dll
2012-06-14 16:49 . 2012-04-26 05:41        149504        ----a-w-        c:\windows\system32\rdpcorekmts.dll
2012-06-14 16:49 . 2012-04-26 05:34        9216        ----a-w-        c:\windows\system32\rdrmemptylst.exe
2012-06-14 16:49 . 2012-05-01 05:40        209920        ----a-w-        c:\windows\system32\profsvc.dll
2012-06-14 16:49 . 2012-05-04 11:06        5559664        ----a-w-        c:\windows\system32\ntoskrnl.exe
2012-06-14 16:49 . 2012-05-04 10:03        3968368        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe
2012-06-14 16:49 . 2012-05-04 10:03        3913072        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe
2012-06-14 16:49 . 2012-04-28 05:32        1112064        ----a-w-        c:\windows\system32\rdpcorets.dll
2012-06-14 16:49 . 2012-04-28 03:55        210944        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-06-14 16:49 . 2012-04-07 12:31        3216384        ----a-w-        c:\windows\system32\msi.dll
2012-06-14 16:49 . 2012-04-07 11:26        2342400        ----a-w-        c:\windows\SysWow64\msi.dll
2012-06-14 16:48 . 2012-04-24 05:37        1462272        ----a-w-        c:\windows\system32\crypt32.dll
2012-06-14 16:48 . 2012-04-24 05:37        184320        ----a-w-        c:\windows\system32\cryptsvc.dll
2012-06-14 16:48 . 2012-04-24 05:37        140288        ----a-w-        c:\windows\system32\cryptnet.dll
2012-06-14 16:48 . 2012-04-24 04:36        140288        ----a-w-        c:\windows\SysWow64\cryptsvc.dll
2012-06-14 16:48 . 2012-04-24 04:36        1158656        ----a-w-        c:\windows\SysWow64\crypt32.dll
2012-06-14 16:48 . 2012-04-24 04:36        103936        ----a-w-        c:\windows\SysWow64\cryptnet.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 07:13 . 2012-03-31 10:23        426184        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2012-07-12 07:13 . 2011-12-05 18:04        70344        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-07-11 13:38 . 2012-03-31 14:29        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.xtr
2012-07-11 13:38 . 2012-03-31 12:53        283304        ----a-w-        c:\windows\SysWow64\PnkBstrB.exe
2012-07-11 13:37 . 2012-03-31 12:53        280904        ----a-w-        c:\windows\SysWow64\PnkBstrB.ex0
2012-05-08 17:18 . 2011-12-05 16:08        98848        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2012-05-08 17:18 . 2011-12-05 16:08        132832        ----a-w-        c:\windows\system32\drivers\avipbb.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2010-04-22 2363392]
"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-12-05 1242448]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-01-19 3477312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BCU"="c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe" [2009-10-26 375000]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-01-19 43632]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-05-20 284440]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"MDS_Menu"="c:\program files (x86)\CyberLink\MediaShow4\MUITransfer\MUIStartMenu.exe" [2009-02-25 218408]
"CLMLServer"="c:\program files (x86)\CyberLink\Power2Go\CLMLSvc.exe" [2009-12-15 103720]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"RemoteControl9"="c:\program files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-07-06 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-05-14 75048]
"UpdatePPShortCut"="c:\program files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"UCam_Menu"="c:\program files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-02-17 218408]
"UpdatePSTShortCut"="c:\program files (x86)\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe" [2010-06-02 222504]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-06-27 1996200]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files (x86)\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2009-11-5 2717024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\LUCIDL~1\VIRTU\x86\appinit_dll.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer5"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 CLKMSVC10_9EC60124;CyberLink Product - 2011/12/02 15:06;c:\program files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe [2010-05-14 246256]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-12 250056]
R3 cpuz134;cpuz134;c:\program files\MIFcom\Support\pcwiz_x64.sys [2011-02-04 21480]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 e1qexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver Q;c:\windows\system32\DRIVERS\e1q62x64.sys [2010-07-08 303280]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-24 113120]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-21 20992]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-21 34816]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2009-07-21 61976]
R4 RsFx0103;RsFx0103 Driver;c:\windows\system32\DRIVERS\RsFx0103.sys [2009-03-30 311656]
R4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2009-03-30 427880]
S0 mv91xx;mv91xx;c:\windows\system32\drivers\mv91xx.sys [2010-11-22 303408]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 27760]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-01-25 283200]
S1 HWiNFO32;HWiNFO32/64 Kernel Driver;c:\program files (x86)\HWiNFO32\HWiNFO64A.SYS [2012-05-10 30592]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-08 86224]
S2 BCUService;Browser Configuration Utility Service;c:\program files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe [2009-10-26 223464]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-06-27 2369960]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-05-20 13592]
S2 Intel(R) PROSet Monitoring Service;Intel(R) PROSet Monitoring Service;c:\windows\system32\IProsetMonitor.exe [2011-01-17 164520]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S3 e1cexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver C;c:\windows\system32\DRIVERS\e1c62x64.sys [2011-02-08 328368]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-10-14 317440]
S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;c:\windows\system32\drivers\LGBusEnum.sys [2009-11-23 22408]
S3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\Drivers\LGPBTDD.sys [2009-07-01 30728]
S3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;c:\windows\system32\drivers\LGVirHid.sys [2009-11-23 16008]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2010-10-19 56344]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2010-12-10 80384]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2010-12-10 181248]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2011-07-07 174184]
S3 VirtuWDDM;VirtuWDDM;c:\windows\system32\DRIVERS\VirtuWDDM.sys [2011-08-08 66336]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - CLKMDRV10_9EC60124
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-04-22 12:09        451872        ----a-w-        c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 07:13]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-05-03 11842152]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-04-20 168216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-04-20 392472]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-04-20 416024]
"VIRTU"="c:\program files\Lucidlogix Technologies\VIRTU\VirtuControlPanel.Exe" [2011-08-08 2660128]
"Launch LgDeviceAgent"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2010-08-03 415816]
"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2010-08-03 2412616]
"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2010-08-03 4725320]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2010-06-14 190536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\progra~1\LUCIDL~1\VIRTU\appinit_dll.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
FF - ProfilePath - c:\users\Beni\AppData\Roaming\Mozilla\Firefox\Profiles\qs3sp69w.default\
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3766522328-1117112942-3133635898-1001\Software\SecuROM\License information*]
"datasecu"=hex:7f,e1,6c,bd,59,43,9b,74,a3,54,71,a2,22,6f,d0,0b,07,d0,10,d3,5a,
  a0,fe,9b,cb,ed,ce,a0,1e,74,1d,ae,27,56,2d,1a,42,f1,e9,7e,10,a0,62,5b,29,05,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_265.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-07-13  11:01:06
ComboFix-quarantined-files.txt  2012-07-13 09:01
.
Vor Suchlauf: 14 Verzeichnis(se), 76.737.798.144 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 76.668.751.872 Bytes frei
.
- - End Of File - - C2D1A2FFFC198F088644CC5E667B2AE6

markusg 13.07.2012 10:42
hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20