Trojaner-Board - BSI Trojaner mit Webcam

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BSI Trojaner mit Webcam (https://www.trojaner-board.de/120966-bsi-trojaner-webcam.html)

BSI Trojaner mit Webcam

Hallohallo,

meine Freundin hat sich am 30.8 den BSI Trojaner gefangen. Vor ein paar Monaten hat sie das schonmal geschafft aber dann konnte ich ihn mit Hilfte von Malwarebytes und einer Virensuche im Abgesicherten Modus das Problem schnell lösen. Aber dieses ist es wohl eine neuere Version. Zu meinen Problemen:
- ich habe keine Administratorenrechte da sie das Passwort nicht weiß
- im abgesicherten Modus tritt der Virus auch auf und sperrt den Desktop, Taskmanager und die Regedit
- ich hab auch schon diverse andere Virenprogramme probiert die so zu den Trojanern genannt wurden aber alle ohne Erfolg
- wenn ich in den Windowsmodus mit Eingabeaufforderung geh, kann ich Malwarebytes durchlaufen lassen und bekomme auch die Viren zugesicht, allerdings tritt nach einem Neustart im normalen sowie im abgesichteren Modus wieder der Trojaner auf und ich kann direkt wieder einen Virenscan starten mit dem selben Befund wie vorher
Da ich nicht genau weiß wie ich den Befund hervorheben soll poste ich ihn einfach direkt drunter:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Melli :: MELISSA [Administrator]

01.08.2012 12:49:40
mbam-log-2012-08-01 (12-49-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 198619
Laufzeit: 9 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ich hoffe, dass ihr mir weiterhelfen könnt ;)
mfg

:hallo:

1. Schritt

NEU RUNTERLADEN!

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Da ich ja nur über den Eingabemodus überhaupt die Malware starten kann, weiß ich nicht wie ich die aktualisieren soll. Er zeigt mir an, dass sie zwar älter ist aber ich bin ja nicht mit dem Internet verbunden und kann sie nicht aktualisieren. Drum bin ich zu Schritt 2 übergegangen, wenn das falsch war musst es mir sagen ;)
Hier die beiden LogFiles

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found 

SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe () 

DRV - (winachsf) -- system32\DRIVERS\HSF_CNXT.sys File not found 

DRV - (WDICA) -- File not found 

DRV - (PDRFRAME) -- File not found 

DRV - (PDRELI) -- File not found 

DRV - (PDFRAME) -- File not found 

DRV - (PDCOMP) -- File not found 

DRV - (PCIDump) -- File not found 

DRV - (lbrtfdc) -- File not found 

DRV - (HSFHWICH) -- system32\DRIVERS\HSFHWICH.sys File not found 

DRV - (HSF_DP) -- system32\DRIVERS\HSF_DP.sys File not found 

DRV - (Changer) -- File not found 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2269050 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\URLSearchHook: - No CLSID value found 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=DVS2&o=1586&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^AAA&apn_dtid=^YYYYYY^YY^DE&apn_uid=f831ef2f-5ae6-4d6e-8df8-64efd5efcaed&apn_sauid=6CBB3158-A78C-4335-8FA2-E858C829FF0C 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

IE - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 

FF - prefs.js..browser.search.defaultengine: "Ask.com" 

FF - prefs.js..browser.search.defaultenginename: "Search the web" 

FF - prefs.js..browser.search.defaultthis.engineName: "Search" 

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" 

FF - prefs.js..browser.search.order.1: "Search the web" 

FF - prefs.js..browser.search.selectedEngine: "Search the web" 

FF - prefs.js..browser.search.useDBForOrder: true 

FF - prefs.js..browser.startup.homepage: "http://de.ask.com/?l=dis&o=1586&gct=hp" 

FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0 

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100013 

FF - prefs.js..extensions.enabledItems: welcome@toolmin.com:1.03 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29 

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=" 

FF - prefs.js..network.proxy.type: 0 

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 

O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) 

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) 

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

O3 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. 

O3 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) 

O3 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) 

O4 - HKLM..\Run: [] File not found 

O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask) 

O4 - HKLM..\Run: [hlRuESAqYEn6vel] C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe () 

O4 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005..\Run: [hlRuESAqYEn6vel] C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe () 

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated) 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O7 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe) - C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe () 

O20 - HKU\S-1-5-21-3467630770-993572756-3615652353-1005 Winlogon: Shell - (C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe) - C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe () 

O31 - SafeBoot: UseAlternatShell - 1 

O32 - HKLM CDRom: AutoRun - 1 

O32 - AutoRun File - [2010.12.24 20:43:38 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 

[2012.07.30 22:02:54 | 000,213,359 | ---- | M] () -- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe 

[2011.03.27 14:31:54 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com 

[2012.05.25 09:51:21 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com 

[2012.07.30 12:04:54 | 000,002,404 | ---- | M] () -- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\searchplugins\askcom.xml 

[2010.12.29 14:31:06 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\searchplugins\conduit.xml 

 

[2012.08.01 12:40:19 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 

[2012.08.01 12:04:42 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 

[2012.08.01 08:42:01 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 

[2012.07.31 16:00:14 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

hier das logfile, bin nach dem neustart aber wieder in den abgesicherten modus mit eingabeaufforderung gegangen, statt ihn normal durchbooten zu lassen und bekam dort die meldung ob ich in den abgesichtern modus wechseln möchte, sowie das ein programm installiert wurde und der pc nun neustartet.

Code:

All processes killed

========== OTL ==========

Service HidServ stopped successfully!

Service HidServ deleted successfully!

File  %SystemRoot%\System32\hidserv.dll File not found not found.

Service ICQ Service stopped successfully!

Service ICQ Service deleted successfully!

C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.

Service winachsf stopped successfully!

Service winachsf deleted successfully!

File  system32\DRIVERS\HSF_CNXT.sys File not found not found.

Service WDICA stopped successfully!

Service WDICA deleted successfully!

File  File not found not found.

Service PDRFRAME stopped successfully!

Service PDRFRAME deleted successfully!

File  File not found not found.

Service PDRELI stopped successfully!

Service PDRELI deleted successfully!

File  File not found not found.

Service PDFRAME stopped successfully!

Service PDFRAME deleted successfully!

File  File not found not found.

Service PDCOMP stopped successfully!

Service PDCOMP deleted successfully!

File  File not found not found.

Service PCIDump stopped successfully!

Service PCIDump deleted successfully!

File  File not found not found.

Service lbrtfdc stopped successfully!

Service lbrtfdc deleted successfully!

File  File not found not found.

Service HSFHWICH stopped successfully!

Service HSFHWICH deleted successfully!

File  system32\DRIVERS\HSFHWICH.sys File not found not found.

Service HSF_DP stopped successfully!

Service HSF_DP deleted successfully!

File  system32\DRIVERS\HSF_DP.sys File not found not found.

Service Changer stopped successfully!

Service Changer deleted successfully!

File  File not found not found.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-21-3467630770-993572756-3615652353-1005\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.

C:\Programme\Ask.com\GenericAskToolbar.dll moved successfully.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.

C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\URLSearchHooks\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.

C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll moved successfully.

HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!

Registry key HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.

Registry key HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.

Registry key HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

HKU\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!

HKU\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!

Prefs.js: "Ask.com" removed from browser.search.defaultengine

Prefs.js: "Search the web" removed from browser.search.defaultenginename

Prefs.js: "Search" removed from browser.search.defaultthis.engineName

Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl

Prefs.js: "Search the web" removed from browser.search.order.1

Prefs.js: "Search the web" removed from browser.search.selectedEngine

Prefs.js: true removed from browser.search.useDBForOrder

Prefs.js: "hxxp://de.ask.com/?l=dis&o=1586&gct=hp" removed from browser.startup.homepage

Prefs.js: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0 removed from extensions.enabledItems

Prefs.js: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 removed from extensions.enabledItems

Prefs.js: engine@conduit.com:3.3.3.2 removed from extensions.enabledItems

Prefs.js: toolbar@ask.com:3.14.0.100013 removed from extensions.enabledItems

Prefs.js: welcome@toolmin.com:1.03 removed from extensions.enabledItems

Prefs.js: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29 removed from extensions.enabledItems

Prefs.js: jqs@sun.com:1.0 removed from extensions.enabledItems

Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=" removed from keyword.URL

Prefs.js: 0 removed from network.proxy.type

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.

File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

File C:\Programme\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.

File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Programme\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.

File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Programme\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.

C:\Programme\Ask.com\Updater\Updater.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\hlRuESAqYEn6vel deleted successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\Software\Microsoft\Windows\CurrentVersion\Run\\hlRuESAqYEn6vel deleted successfully.

File C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe not found.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk moved successfully.

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.

Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe deleted successfully.

File C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe not found.

Registry value HKEY_USERS\S-1-5-21-3467630770-993572756-3615652353-1005\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe deleted successfully.

File C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe not found.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

C:\WINDOWS\System32\ConduitEngine.tmp deleted successfully.

C:\WINDOWS\System32\CONFIG.TMP deleted successfully.

File C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe not found.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\searchplugin folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\META-INF folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\lib folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\DualPackage folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\defaults folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\components folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com\chrome folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\engine@conduit.com folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\searchplugins folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\logs folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\defaults\preferences folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\defaults folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\datastore folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Wed-21-Mar-2012-19-54-44-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Wed-14-Sep-2011-14-31-01-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Wed-13-Jun-2012-16-26-24-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Wed-08-Feb-2012-17-51-41-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Tue-22-May-2012-07-35-52-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Tue-12-Jun-2012-13-55-02-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-17-Nov-2011-14-32-00-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Thu-09-Feb-2012-18-06-11-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sun-31-Jul-2011-10-22-42-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sun-24-Jul-2011-15-15-42-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sat-31-Dec-2011-18-05-55-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Mon-07-Nov-2011-16-13-13-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Mon-05-Sep-2011-15-16-49-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Fri-02-Mar-2012-19-09-28-GMT folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\temp folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\skin folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome\content folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com\chrome folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\extensions\toolbar@ask.com folder moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\searchplugins\askcom.xml moved successfully.

C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\searchplugins\conduit.xml moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.

C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job moved successfully.

C:\WINDOWS\tasks\PMTask.job moved successfully.

========== FILES ==========
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Ein interner Fehler ist aufgetreten: Die Anforderung wird nicht unterstützt.

 

Wenden Sie sich an den Microsoft Software Service, um weitere Hilfe zu erhalten.

Zusätzliche Informationen: Der Hostname konnte nicht abgefragt werden.

C:\Dokumente und Einstellungen\Melli\Desktop\cmd.bat deleted successfully.

C:\Dokumente und Einstellungen\Melli\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32768 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

->Flash cache emptied: 56468 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: Melli

->Temp folder emptied: 214367783 bytes

->Temporary Internet Files folder emptied: 363365100 bytes

->Java cache emptied: 1362965 bytes

->FireFox cache emptied: 562083870 bytes

->Flash cache emptied: 3888306 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 19569 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 376622765 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1.451,00 mb

 

 

[EMPTYFLASH]

 

User: Administrator

 

User: All Users

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: LocalService

 

User: Melli

->Flash cache emptied: 0 bytes

 

User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.55.0 log created on 08022012_090520
 

Files\Folders moved on Reboot...

C:\WINDOWS\temp\vtclrg41.tmp moved successfully.
 

PendingFileRenameOperations files...

File C:\WINDOWS\temp\vtclrg41.tmp not found!
 

Registry entries deleted on Reboot...

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

ja der laptop läuft wieder, bloß sind alle daten verschlüsselt. muss jedes mal die explorer.exe ausführen um überhaupt was machen zu können, aber dann kann ich ins internet etc. hab auch vorhin schon einen malwarebytes scan gemacht der nichts ergab, drum bin ich direkt zu punkt 2 übergegangen. hier das file:

.......................

Code:

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 14:29:29

# Updated 01/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)

# User : Melli - MELISSA

# Running from : C:\Dokumente und Einstellungen\Melli\Desktop\adwcleaner.exe

# Option [Search]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Found : C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PriceGong

Folder Found : C:\Programme\Ask.com

Folder Found : C:\Programme\Conduit

Folder Found : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registry] *****

[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2269050

Key Found : HKCU\Software\APN

Key Found : HKCU\Software\Ask.com

Key Found : HKCU\Software\AskToolbar

Key Found : HKCU\Software\Conduit

Key Found : HKCU\Software\DVDVideoSoftTB

Key Found : HKCU\Software\IM

Key Found : HKCU\Software\ImInstaller

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}

Key Found : HKCU\Software\PriceGong

Key Found : HKCU\Software\Softonic

Key Found : HKCU\Toolbar

Key Found : HKLM\SOFTWARE\APN

Key Found : HKLM\SOFTWARE\AskToolbar

Key Found : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Key Found : HKLM\SOFTWARE\Classes\Conduit.Engine

Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Key Found : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Key Found : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Key Found : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Key Found : HKLM\SOFTWARE\Conduit

Key Found : HKLM\SOFTWARE\DVDVideoSoftTB

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB Toolbar
 

***** [Registre - GUID] *****
 

Key Found : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{0764D9D9-DE30-4E0B-B8F5-2F1710B4A314}

Key Found : HKLM\SOFTWARE\Classes\CLSID\{7C642294-4352-431B-9EC6-81EE28F55F7D}

Key Found : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Key Found : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Key Found : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Key Found : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C8EC55BB-567D-4D2F-BDB8-932158CAD155}

Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{052E2F89-B99C-4D69-82A6-A1AAA55B15E8}

Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7C642294-4352-431B-9EC6-81EE28F55F7D}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}

Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [4303 octets] - [02/08/2012 14:29:29]
 

########## EOF - C:\AdwCleaner[R1].txt - [4431 octets] ##########

wie sehen die verschluesselten Dateien aus?
http://www.trojaner-board.de/116851-...strojaner.html

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

keine ahnung wie die aussehen, ich hab halt einen komplett leeren desktop beim start. aber wenn ich über ausführen -> explorer.exe -> desktop geh seh ich noch alle dateien die vorher auf dem desktop da waren.
hier der log

Code:

# AdwCleaner v1.800 - Logfile created 08/02/2012 at 14:41:17

# Updated 01/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)

# User : Melli - MELISSA

# Running from : C:\Dokumente und Einstellungen\Melli\Desktop\adwcleaner.exe

# Option [Delete]
 
 

***** [Services] *****
 
 

***** [Files / Folders] *****
 

Folder Deleted : C:\Dokumente und Einstellungen\Melli\Anwendungsdaten\PriceGong

Folder Deleted : C:\Programme\Ask.com

Folder Deleted : C:\Programme\Conduit

Folder Deleted : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registry] *****

[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2269050

Key Deleted : HKCU\Software\APN

Key Deleted : HKCU\Software\Ask.com

Key Deleted : HKCU\Software\AskToolbar

Key Deleted : HKCU\Software\Conduit

Key Deleted : HKCU\Software\DVDVideoSoftTB

Key Deleted : HKCU\Software\IM

Key Deleted : HKCU\Software\ImInstaller

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}

Key Deleted : HKCU\Software\PriceGong

Key Deleted : HKCU\Software\Softonic

Key Deleted : HKCU\Toolbar

Key Deleted : HKLM\SOFTWARE\APN

Key Deleted : HKLM\SOFTWARE\AskToolbar

Key Deleted : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Key Deleted : HKLM\SOFTWARE\Classes\Conduit.Engine

Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Key Deleted : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Key Deleted : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Key Deleted : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Key Deleted : HKLM\SOFTWARE\Conduit

Key Deleted : HKLM\SOFTWARE\DVDVideoSoftTB

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB Toolbar
 

***** [Registre - GUID] *****
 

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{0764D9D9-DE30-4E0B-B8F5-2F1710B4A314}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{7C642294-4352-431B-9EC6-81EE28F55F7D}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Key Deleted : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C8EC55BB-567D-4D2F-BDB8-932158CAD155}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{052E2F89-B99C-4D69-82A6-A1AAA55B15E8}

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7C642294-4352-431B-9EC6-81EE28F55F7D}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}

Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]
 

***** [Internet Browsers] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Registry is clean.
 

*************************
 

AdwCleaner[R1].txt - [4432 octets] - [02/08/2012 14:29:29]

AdwCleaner[S1].txt - [4463 octets] - [02/08/2012 14:41:17]
 

########## EOF - C:\AdwCleaner[S1].txt - [4591 octets] ##########

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

also jetzt ist der desktop wieder da, hat also was gebracht ;)
hier die beiden logs

Code:

ComboFix 12-07-31.03 - Melli 02.08.2012  15:42:22.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.237 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Melli\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Melli\Anwendungsdaten\Roaming

c:\dokumente und einstellungen\Melli\Anwendungsdaten\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#schnueffelbande2.com\settings.sol

c:\dokumente und einstellungen\Melli\Anwendungsdaten\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol

c:\windows\IsUn0407.exe

c:\windows\system32\TPAPSLOG.LOG

c:\windows\system32\TPHDLOG0.LOG

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-07-02 bis 2012-08-02  ))))))))))))))))))))))))))))))

.

.

2012-08-02 07:05 . 2012-08-02 07:05        --------        d-----w-        C:\_OTL

2012-08-01 06:40 . 2012-08-01 06:40        --------        d-----w-        C:\found.000

2012-07-31 12:59 . 2012-07-31 15:58        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0

2012-07-09 11:40 . 2012-07-09 11:40        770384        ----a-w-        c:\programme\Mozilla Firefox\msvcr100.dll

2012-07-09 11:40 . 2012-07-09 11:40        421200        ----a-w-        c:\programme\Mozilla Firefox\msvcp100.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-03 11:46 . 2012-03-30 06:58        22344        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-06-13 13:55 . 1979-12-31 23:00        1866240        ----a-w-        c:\windows\system32\win32k.sys

2012-06-05 15:49 . 2009-08-19 16:07        1372672        ----a-w-        c:\windows\system32\msxml6.dll

2012-06-05 15:49 . 1979-12-31 23:00        1172480        ----a-w-        c:\windows\system32\msxml3.dll

2012-06-04 04:32 . 1979-12-31 23:00        152576        ----a-w-        c:\windows\system32\schannel.dll

2012-06-02 13:19 . 2009-08-06 18:24        18456        ----a-w-        c:\windows\system32\wuaueng.dll.mui

2012-06-02 13:19 . 2009-08-06 18:24        15896        ----a-w-        c:\windows\system32\wuapi.dll.mui

2012-06-02 13:19 . 2004-08-10 12:24        329240        ----a-w-        c:\windows\system32\wucltui.dll

2012-06-02 13:19 . 2004-08-10 12:24        219160        ----a-w-        c:\windows\system32\wuaucpl.cpl

2012-06-02 13:19 . 2004-08-10 12:24        210968        ----a-w-        c:\windows\system32\wuweb.dll

2012-06-02 13:19 . 2009-08-06 18:24        45080        ----a-w-        c:\windows\system32\wups2.dll

2012-06-02 13:19 . 2009-08-06 18:24        15896        ----a-w-        c:\windows\system32\wuaucpl.cpl.mui

2012-06-02 13:19 . 2004-08-10 12:24        53784        ----a-w-        c:\windows\system32\wuauclt.exe

2012-06-02 13:19 . 2004-08-10 12:24        35864        ----a-w-        c:\windows\system32\wups.dll

2012-06-02 13:19 . 1979-12-31 23:00        97304        ----a-w-        c:\windows\system32\cdm.dll

2012-06-02 13:19 . 2009-08-06 18:24        23576        ----a-w-        c:\windows\system32\wucltui.dll.mui

2012-06-02 13:19 . 2004-08-10 12:24        577048        ----a-w-        c:\windows\system32\wuapi.dll

2012-06-02 13:19 . 2004-08-10 12:24        1933848        ----a-w-        c:\windows\system32\wuaueng.dll

2012-05-31 13:22 . 1979-12-31 23:00        604160        ----a-w-        c:\windows\system32\crypt32.dll

2012-05-16 15:07 . 1979-12-31 23:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-05-11 14:40 . 1979-12-31 23:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-05-11 14:40 . 1979-12-31 23:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-05-11 11:38 . 1979-12-31 23:00        385024        ------w-        c:\windows\system32\html.iec

2012-05-05 03:14 . 2004-08-03 23:50        2071424        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-05-05 03:14 . 1979-12-31 23:00        2194944        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-07-29 09:13 . 2012-06-24 08:07        136672        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ibmmessages"="c:\programme\IBM\Messages By IBM\ibmmessages.exe" [2004-08-06 442368]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-08 110592]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-08 512000]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2004-02-04 897024]

"TpShocks"="TpShocks.exe" [2005-04-05 106496]

"ControlCenter"="c:\programme\IBM fingerprint software\ctlcntr.exe" [2005-04-13 287333]

"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2005-04-04 94208]

"TP4EX"="tp4ex.exe" [2004-11-12 40960]

"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2005-03-23 217088]

"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-10 344064]

"UpdateManager"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-03-07 122939]

"ibmmessages"="c:\programme\IBM\Messages By IBM\\ibmmessages.exe" [2004-08-06 442368]

"QCTRAY"="c:\programme\ThinkPad\ConnectUtilities\QCTRAY.EXE" [2005-03-18 745472]

"QCWLICON"="c:\programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2005-03-18 86016]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-04-14 139264]

"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-14 208896]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Melli\Startmenü\Programme\Autostart\

Netzmanager.lnk - c:\programme\Netzmanager\netzmanager.exe [2011-5-27 11993600]

OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2005-5-24 565309]

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-2-26 24576]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

2005-04-13 08:06        110691        ----a-w-        c:\programme\IBM fingerprint software\psfus.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]

2005-03-18 02:07        262144        ----a-w-        c:\windows\system32\QConGina.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]

2004-08-12 19:11        24576        ----a-w-        c:\windows\system32\tphklock.dll

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\ICQ7.2\\ICQ.exe"=

"c:\\Programme\\ICQ7.2\\aolload.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

.

R0 TPDiskPM;TPDiskPM;c:\windows\system32\drivers\TPDiskPM.sys [26.02.2009 09:54 14208]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.12.2010 20:52 136360]

R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [24.03.2011 16:48 2404864]

R2 SmiHlp;SMI helper driver;c:\programme\IBM fingerprint software\smihlp.sys [13.04.2005 09:58 3328]

R3 TelekomNM3;Telekom Netzmanager Packet Filter Driver;c:\programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [16.09.2010 17:02 35040]

R3 TPInput;TPInput;c:\windows\system32\drivers\TPInput.sys [26.02.2009 09:54 6016]

R3 TPM11;NSC Integrated Trusted Platform Module 1.1;c:\windows\system32\drivers\nsctpm11.sys [01.01.1980 01:00 14336]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.01.2011 16:32 135664]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.01.2011 16:32 135664]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [24.06.2012 10:07 113120]

S3 QCNDISIF;QCNDISIF;c:\windows\system32\drivers\qcndisif.sys [26.02.2009 10:17 12288]

.

Inhalt des "geplante Tasks" Ordners

.

2010-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = 

IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Melli\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Senden an &Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Melli\Anwendungsdaten\Mozilla\Firefox\Profiles\qfslznfb.default\

FF - prefs.js: browser.search.defaulturl - 

FF - prefs.js: browser.search.selectedEngine - Search the web

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - user.js: browser.search.selectedEngine - Search the web

FF - user.js: browser.search.order.1 - Search the web

FF - user.js: browser.search.defaultenginename - Search the web

FF - user.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: privacy.item.cookies - false

FF - user.js: privacy.sanitize.promptOnSanitize - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

AddRemove-Presentation Director - c:\windows\IsUn0407.exe

AddRemove-toolplugin - c:\dokume~1\Melli\LOKALE~1\Temp\WZSE0.TMP\setup.exe

AddRemove-Uninstall_is1 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-08-02 15:49

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(980)

c:\windows\system32\Ati2evxx.dll

c:\programme\IBM fingerprint software\psfus.dll

c:\programme\Gemeinsame Dateien\Virtual Token\psutil.dll

c:\windows\system32\tphklock.dll

.

Zeit der Fertigstellung: 2012-08-02  15:52:25

ComboFix-quarantined-files.txt  2012-08-02 13:52

.

Vor Suchlauf: 14 Verzeichnis(se), 42.261.045.248 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 42.402.959.360 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

.

- - End Of File - - 664B96F00C7997D5E025A7DA90E6D802

Code:

Access IBM

Access IBM Message Center

Adobe AIR

Adobe Flash Player 10 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader 7.0 - Deutsch

Apple Application Support

Apple Mobile Device Support

Apple Software Update

ATI - Dienstprogramm zur Deinstallation der Software

ATI Control Panel

ATI Display Driver

ATI HYDRAVISION

Avira AntiVir Personal - Free Antivirus

Bonjour

Browser-Plug-In für BlackBerry App World

Der Schreibtrainer 3.7

Dienstprogramm 'IBM ThinkPad-Tastaturanpassung'

Dienstprogramm 'IBM ThinkPad EasyEject'

EMEA Wallpaper

Free Audio CD Burner version 1.4.7

Free YouTube to MP3 Converter version 3.10.5.722

Funktion "IBM TrackPoint-Eingabehilfen"

Google Update Helper

Hotfix für Windows XP (KB2633952)

Hotfix für Windows XP (KB952287)

Hotfix für Windows XP (KB961118)

Hotfix für Windows XP (KB981793)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix for Windows XP (KB954550-v5)

Hotfix for Windows XP (KB976002-v5)

IBM 32-bit Runtime Environment for Java 2, v1.4.2

IBM Access Connections

IBM DLA

IBM Fingerprint Software 4.5.5

IBM Integrated 56K Modem

IBM RecordNow!

IBM SATA Power Management Driver

IBM System für aktiven Festplattenschutz

IBM Themes

IBM ThinkPad-Konfiguration

IBM ThinkPad-UltraNav-Assistent

IBM ThinkPad 'Präsentationsdirektor'

IBM ThinkPad Energie-Manager

IBM ThinkPad Power Management Driver

IBM ThinkPad UltraNav Driver

IBM ThinkVantage Technologies Welcome Message

ICQ Toolbar

ICQ7.2

Intel(R) PROSet/Wireless Software

InterVideo WinDVD

iTunes

Java Auto Updater

Java(TM) 6 Update 29

Malwarebytes Anti-Malware Version 1.62.0.1300

mCore

mDriver

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 German Language Pack

Microsoft .NET Framework 1.1 Security Update (KB2656353)

Microsoft .NET Framework 1.1 Security Update (KB2656370)

Microsoft .NET Framework 1.1 Security Update (KB979906)

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

Microsoft .NET Framework 3.5 SP1

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Microsoft WSE 3.0 Runtime

mMHouse

Mozilla Firefox 14.0.1 (x86 de)

Mozilla Maintenance Service

mPfMgr

mProSafe

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

MSXML 6 Service Pack 2 (KB973686)

mWlsSafe

mXML

Netzmanager

OpenOffice.org 3.2

PC-Doctor for Windows

PhotoScape

QuickTime

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)

Sicherheitsupdate für Microsoft Windows (KB2564958)

Sicherheitsupdate für Step by Step Interactive Training (KB923723)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157)

Sicherheitsupdate für Windows Internet Explorer 8 (KB2699988)

Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)

Sicherheitsupdate für Windows Media Player (KB2378111)

Sicherheitsupdate für Windows Media Player (KB952069)

Sicherheitsupdate für Windows Media Player (KB954155)

Sicherheitsupdate für Windows Media Player (KB973540)

Sicherheitsupdate für Windows Media Player (KB975558)

Sicherheitsupdate für Windows Media Player (KB978695)

Sicherheitsupdate für Windows XP (KB2079403)

Sicherheitsupdate für Windows XP (KB2115168)

Sicherheitsupdate für Windows XP (KB2229593)

Sicherheitsupdate für Windows XP (KB2296011)

Sicherheitsupdate für Windows XP (KB2347290)

Sicherheitsupdate für Windows XP (KB2360937)

Sicherheitsupdate für Windows XP (KB2387149)

Sicherheitsupdate für Windows XP (KB2393802)

Sicherheitsupdate für Windows XP (KB2412687)

Sicherheitsupdate für Windows XP (KB2419632)

Sicherheitsupdate für Windows XP (KB2423089)

Sicherheitsupdate für Windows XP (KB2440591)

Sicherheitsupdate für Windows XP (KB2443105)

Sicherheitsupdate für Windows XP (KB2476490)

Sicherheitsupdate für Windows XP (KB2478960)

Sicherheitsupdate für Windows XP (KB2478971)

Sicherheitsupdate für Windows XP (KB2479943)

Sicherheitsupdate für Windows XP (KB2481109)

Sicherheitsupdate für Windows XP (KB2483185)

Sicherheitsupdate für Windows XP (KB2485663)

Sicherheitsupdate für Windows XP (KB2506212)

Sicherheitsupdate für Windows XP (KB2507618)

Sicherheitsupdate für Windows XP (KB2507938)

Sicherheitsupdate für Windows XP (KB2508429)

Sicherheitsupdate für Windows XP (KB2509553)

Sicherheitsupdate für Windows XP (KB2510581)

Sicherheitsupdate für Windows XP (KB2535512)

Sicherheitsupdate für Windows XP (KB2536276-v2)

Sicherheitsupdate für Windows XP (KB2544521)

Sicherheitsupdate für Windows XP (KB2544893-v2)

Sicherheitsupdate für Windows XP (KB2566454)

Sicherheitsupdate für Windows XP (KB2570947)

Sicherheitsupdate für Windows XP (KB2584146)

Sicherheitsupdate für Windows XP (KB2585542)

Sicherheitsupdate für Windows XP (KB2592799)

Sicherheitsupdate für Windows XP (KB2598479)

Sicherheitsupdate für Windows XP (KB2603381)

Sicherheitsupdate für Windows XP (KB2618451)

Sicherheitsupdate für Windows XP (KB2619339)

Sicherheitsupdate für Windows XP (KB2620712)

Sicherheitsupdate für Windows XP (KB2621440)

Sicherheitsupdate für Windows XP (KB2624667)

Sicherheitsupdate für Windows XP (KB2631813)

Sicherheitsupdate für Windows XP (KB2633171)

Sicherheitsupdate für Windows XP (KB2641653)

Sicherheitsupdate für Windows XP (KB2646524)

Sicherheitsupdate für Windows XP (KB2647516)

Sicherheitsupdate für Windows XP (KB2647518)

Sicherheitsupdate für Windows XP (KB2653956)

Sicherheitsupdate für Windows XP (KB2655992)

Sicherheitsupdate für Windows XP (KB2659262)

Sicherheitsupdate für Windows XP (KB2661637)

Sicherheitsupdate für Windows XP (KB2676562)

Sicherheitsupdate für Windows XP (KB2685939)

Sicherheitsupdate für Windows XP (KB2686509)

Sicherheitsupdate für Windows XP (KB2691442)

Sicherheitsupdate für Windows XP (KB2695962)

Sicherheitsupdate für Windows XP (KB2698365)

Sicherheitsupdate für Windows XP (KB2707511)

Sicherheitsupdate für Windows XP (KB2709162)

Sicherheitsupdate für Windows XP (KB2718523)

Sicherheitsupdate für Windows XP (KB2719985)

Sicherheitsupdate für Windows XP (KB923561)

Sicherheitsupdate für Windows XP (KB941569)

Sicherheitsupdate für Windows XP (KB946648)

Sicherheitsupdate für Windows XP (KB950762)

Sicherheitsupdate für Windows XP (KB950974)

Sicherheitsupdate für Windows XP (KB951376-v2)

Sicherheitsupdate für Windows XP (KB951748)

Sicherheitsupdate für Windows XP (KB952004)

Sicherheitsupdate für Windows XP (KB952954)

Sicherheitsupdate für Windows XP (KB955069)

Sicherheitsupdate für Windows XP (KB956572)

Sicherheitsupdate für Windows XP (KB956744)

Sicherheitsupdate für Windows XP (KB956802)

Sicherheitsupdate für Windows XP (KB956803)

Sicherheitsupdate für Windows XP (KB956844)

Sicherheitsupdate für Windows XP (KB958644)

Sicherheitsupdate für Windows XP (KB958869)

Sicherheitsupdate für Windows XP (KB959426)

Sicherheitsupdate für Windows XP (KB960225)

Sicherheitsupdate für Windows XP (KB960803)

Sicherheitsupdate für Windows XP (KB960859)

Sicherheitsupdate für Windows XP (KB961501)

Sicherheitsupdate für Windows XP (KB969059)

Sicherheitsupdate für Windows XP (KB970238)

Sicherheitsupdate für Windows XP (KB970430)

Sicherheitsupdate für Windows XP (KB971468)

Sicherheitsupdate für Windows XP (KB971657)

Sicherheitsupdate für Windows XP (KB972270)

Sicherheitsupdate für Windows XP (KB973507)

Sicherheitsupdate für Windows XP (KB973869)

Sicherheitsupdate für Windows XP (KB973904)

Sicherheitsupdate für Windows XP (KB974112)

Sicherheitsupdate für Windows XP (KB974318)

Sicherheitsupdate für Windows XP (KB974392)

Sicherheitsupdate für Windows XP (KB974571)

Sicherheitsupdate für Windows XP (KB975025)

Sicherheitsupdate für Windows XP (KB975467)

Sicherheitsupdate für Windows XP (KB975560)

Sicherheitsupdate für Windows XP (KB975561)

Sicherheitsupdate für Windows XP (KB975562)

Sicherheitsupdate für Windows XP (KB975713)

Sicherheitsupdate für Windows XP (KB977816)

Sicherheitsupdate für Windows XP (KB977914)

Sicherheitsupdate für Windows XP (KB978037)

Sicherheitsupdate für Windows XP (KB978338)

Sicherheitsupdate für Windows XP (KB978542)

Sicherheitsupdate für Windows XP (KB978601)

Sicherheitsupdate für Windows XP (KB978706)

Sicherheitsupdate für Windows XP (KB979309)

Sicherheitsupdate für Windows XP (KB979482)

Sicherheitsupdate für Windows XP (KB979559)

Sicherheitsupdate für Windows XP (KB979683)

Sicherheitsupdate für Windows XP (KB979687)

Sicherheitsupdate für Windows XP (KB980195)

Sicherheitsupdate für Windows XP (KB980218)

Sicherheitsupdate für Windows XP (KB980232)

Sicherheitsupdate für Windows XP (KB981322)

Sicherheitsupdate für Windows XP (KB981997)

Sicherheitsupdate für Windows XP (KB982132)

Sicherheitsupdate für Windows XP (KB982381)

Sicherheitsupdate für Windows XP (KB982665)

Software Installer

Sonic Update Manager

SoundMAX

ThinkPad FullScreen Magnifier

ThinkPad Integrated Bluetooth IV Software

toolplugin

Uninstall 1.0.0.1

Update für Windows Internet Explorer 8 (KB2598845)

Update für Windows XP (KB2345886)

Update für Windows XP (KB2467659)

Update für Windows XP (KB2641690)

Update für Windows XP (KB2718704)

Update für Windows XP (KB951978)

Update für Windows XP (KB955759)

Update für Windows XP (KB967715)

Update für Windows XP (KB968389)

Update für Windows XP (KB971029)

Update für Windows XP (KB971737)

Update für Windows XP (KB973687)

Update für Windows XP (KB973815)

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

VLC media player 1.1.11

WebFldrs XP

Windows Imaging Component

Windows Internet Explorer 8

Windows Media Connect

Windows Media Format Runtime

Windows Media Player 10

Windows XP Service Pack 3

WinRAR 4.01 (32-Bit)

XML Paper Specification Shared Components Language Pack 1.0

Sehr gut! :daumenhoc

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Das Programm hab ich vorhin schonmal runtergeladen, da du es in einem anderen Thread auch gepostet hast. Allerdings kommt bei mir die Meldung das die 30tägige Testversion abgelaufen sei. Scheinbar war das schonmal installiert, das weiß ich bloß nicht.

Habs eben nochmal probiert, jetzt geht es. Das File folgt gleich!

so hier jetzt das ergebnis :

Code:

Emsisoft Anti-Malware - Version 6.6

Letztes Update: 02.08.2012 16:12:25
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\

Archiv Scan: An

ADS Scan: An
 

Scan Beginn:        02.08.2012 16:13:24
 

C:\_OTL\MovedFiles\08022012_090520\C_Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe         gefunden: Trojan.Win32.Buzus!E1
 

Gescannt        491807

Gefunden        1
 

Scan Ende:        02.08.2012 16:56:24

Scan Zeit:        0:43:00
 

C:\_OTL\MovedFiles\08022012_090520\C_Dokumente und Einstellungen\Melli\Anwendungsdaten\EHeO58kG.exe        Quarantäne Trojan.Win32.Buzus!E1
 

Quarantäne        1