Trojaner-Board - fresh-weather.com Trojaner?Google-Weiterleitung!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - fresh-weather.com Trojaner?Google-Weiterleitung! (https://www.trojaner-board.de/125804-fresh-weather-com-trojaner-google-weiterleitung.html)

fresh-weather.com Trojaner?Google-Weiterleitung!

Ich bin froh dieses Forum gefunden zu haben.
Habe viele Beiträge gelesen und gesehen, dass sich die Leute hier wirklich Mühe geben anderen weiterzuhelfen.

Wie in der Überschrift beschrieben habe ich das Problem dass ich auf google fast immer auf andere Seiten weitergeleitet werde
nachdem ich auf Suchergebnisse klicke.

Meistens geht das ganze über fresh-weather.com und dann auf andere Seiten weiter.
Malwarebytes findet 3 Dateien/Trojaner, die aber nach jedem mal neustarten wieder in der "Funde-Liste" stehen.
Normalerweise würde ich alles wichtige auf ein ext. Platte schieben und neu aufsetzen. Leider geht das im Moment
nicht, da alles voll ist.

Habe den Log von Mawarebytes für Euch.
Oldtimer habe ich versucht aber ich weiß nicht, ob es normal ist dass der scan nach 5 Stunden noch immer
nicht fertig ist.
Vielleicht kann ich noch einen anderen scan machen, der Euch weiterhilft!?

Vielen Dank im Vorhinein!

Zitat:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
DM :: DM-PC [Administrator]

16.10.2012 19:26:39
mbam-log-2012-10-16 (19-26-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 185549
Laufzeit: 37 Minute(n), 36 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@ (Rootkit.0Access.64) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

EDIT:
Versuche gerade einen Scan mit aswMBR zu machen.
Habe diesen Hinweis in einem anderen Thema mit dem gleichen Problem gelesen.

Hier habe ich jetzt noch den aswMBR log.

Hallo,
ich mache das normal nicht gerne aber ich versuche mit diesem Post trotzdem mein Thema ein wenig nach oben zu bringen. Mein Problem besteht noch immer, da ich auch über google nicht nach Lösungen suchen kann.
Wenn Ihr mehrere/andere Scans braucht bitte gebt mir bescheid.

Vielen Dank!

Hi,

Kannst du otl laufen lassen? Morgen früh geht's weiter, bin noch unterwegs.

Danke für Deine Antwort,
alles klar, ich versuchs nochmal.
Schönen Abend!

Wenn es nit klappt dann das hier:

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Leider hat OTL wieder nicht geklappt.
Reicht hier vielleicht auch der Quick-Scan?

Combofix habe ich runtergeladen und am Desktop gespeichert.
Wenn ich das Programm starte sieht es so aus als würde es einen Scan machen.
Wenn der Balken voll ist schließt sich das Programm und es wird kein log erstellt.
Habe auch alle anderen Programme geschlossen. Auch nach einem Neustart bleibt es gleich. Verstehe nicht warum das alles bei mir nicht geht...

Mach mal nen Quick Scan mit OTL.

Weisst Du wie lange ein otl-Scan ca dauert? Normal od Quick.

ungefähr 20 minuten denk ich, je nachdem wieviele daten da sind.

ok läuft jetzt schon ca eine Stunde. Ich warte mal weiter. :)

Nee brich mal ab, wir machen was andres.

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

Starte den Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste
Wähle nun Computer reparieren.
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

Lege die Windows CD in dein Laufwerk.
Starte den Rechner neu auf und starte von der CD
Wähle die Spracheinstellungen und klicke "Weiter".
Klicke auf Computerreparaturoptionen !!
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.
Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
Schließe Notepad wieder
Gib nun bitte folgenden Befehl ein.
e:\frst.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hallo schrauber.
Ich hoffe, ich nerve Dich nicht zu sehr...
wenn ich Deine letzte Anleitung befolge kommt nachdem ich h:frst.exe eingegeben habe die Meldung:
"Das zum Unterstützen des Abbildtyps erforderliche Subsystem ist nicht vorhanden."
Der Stick ist auf fat32 formatiert.

My Bad :)

Nimm diesen Link
Downloading Farbar Recovery Scan Tool

und gib frst64.exe ein anstatt frst.exe.

Alles klar, wird gemacht.
Danke

Jetzt habe ich ein weiteres Problem... Das kannte ich zwar schon nur hats mich sonst nicht gestört. Da ich keine Lösung dafür gefunden habe war ich schon daran gewöhnt.
Ich kann meinen PC nicht starten wenn ein USB Stick oder eine ext Festplatte angesteckt ist.
In diesem Fall kommt nur ein schwarzer Bildschirm mit einem blinkenden weißen Unterstrich oben links.
Wollte den PC überlisten und nach dem Start schnell den Stick anstecken.
hat auch funktioniert - leder ist dann bei der Eingabeaufforderung "das Gerät nicht bereit"....
Kann ich die frst64.exe auch auf c: geben und von dort das Programm ausführen?

Kommst Du in das Bootmenü wo Du auswählen kannst von Wo du booten willst? Wenn ja, erst dann den Stick anstecken.

ja das habe ich schon versucht.
Kann den Stick erst anstecken wenn ich bei der Reparatur bin.
Versuchs jetzt aber nochmal.

es geht leider nicht...

Habe im Bios den USB-Legacy Support deaktiviert. Jetzt könnte ich mir angeschlossenem Stick starten und habe den Log!

Logs bitte nicht anhängen sondern direkt im Thread posten.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@

C:\Windows\assembly\GAC_32\Desktop.ini

C:\Windows\assembly\GAC_64\Desktop.ini

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Neu booten, Combofix nochmal laufen lassen.

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-10-2012
Ran by SYSTEM at 2012-10-21 19:12:46 Run:1
Running from G:\

==============================================

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a} moved successfully.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@ not found.
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.

==== End of Fixlog ====

Combofix Logfile:

Code:

ComboFix 12-10-21.02 - DM 21.10.2012  19:22:32.1.2 - x64

Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.4095.3033 [GMT 2:00]

ausgeführt von:: c:\users\DM\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\assembly\GAC_32\Desktop.ini

c:\windows\assembly\GAC_64\Desktop.ini

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@

c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@

c:\windows\SysWow64\URTTemp

c:\windows\SysWow64\URTTemp\regtlib.exe

.

Infizierte Kopie von c:\windows\system32\Services.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe wurde wiederhergestellt 

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-21 bis 2012-10-21  ))))))))))))))))))))))))))))))

.

.

2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Local\temp

2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\users\Administrator\AppData\Local\temp

2012-10-21 12:41 . 2012-10-21 12:41        --------        d-----w-        C:\FRST

2012-10-21 11:47 . 2012-10-21 11:47        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Roaming\ATI

2012-10-21 11:47 . 2012-10-21 11:47        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Local\ATI

2012-10-12 16:09 . 2012-10-12 16:09        --------        d-sh--w-        c:\windows\SysWow64\%APPDATA%

2012-10-12 15:11 . 2012-10-12 15:25        --------        d-----w-        c:\users\DM\AppData\Roaming\PreisHai4

2012-10-12 15:11 . 2012-10-12 15:11        --------        d-----w-        c:\program files (x86)\PreisHai4

2012-10-12 15:11 . 2010-01-02 10:12        3133952        ----a-w-        c:\windows\SysWow64\ImageEnXLibrary.ocx

2012-10-12 15:11 . 2009-10-02 10:37        115712        ----a-w-        c:\windows\SysWow64\sevClb20.ocx

2012-10-12 15:11 . 2009-04-29 21:33        975192        ----a-w-        c:\windows\SysWow64\wodHttp.dll

2012-10-12 15:11 . 2007-10-12 15:58        753664        ----a-w-        c:\windows\SysWow64\iGrid300_10Tec.ocx

2012-10-12 15:11 . 2005-08-30 07:51        126976        ----a-w-        c:\windows\SysWow64\sevTrayIcon.ocx

2012-10-12 15:11 . 2000-10-01 23:00        125712        ----a-w-        c:\windows\SysWow64\vb6de.dll

2012-10-06 13:52 . 2012-10-06 13:52        --------        d-----w-        c:\users\DM\AppData\Roaming\Navigram

2012-10-06 13:52 . 2012-10-06 13:52        --------        d-----w-        c:\program files (x86)\Navigram

2012-10-06 13:51 . 2012-10-06 13:51        --------        d-----w-        c:\program files (x86)\Common Files\ParallelGraphics

2012-10-06 13:51 . 2012-10-06 13:52        --------        d-----w-        c:\program files (x86)\C.online

2012-09-24 22:27 . 2012-09-24 22:27        --------        d-----w-        c:\users\DM\AppData\Local\libimobiledevice

2012-09-24 21:55 . 2012-08-21 11:01        33240        ----a-w-        c:\windows\system32\drivers\GEARAspiWDM.sys

2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69

2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files\iTunes

2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files (x86)\iTunes

2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files\iPod

2012-09-24 21:50 . 2012-09-25 21:09        --------        d-----w-        c:\users\DM\AppData\Roaming\redsn0w

2012-09-24 21:30 . 2012-09-24 21:30        --------        d-----w-        c:\users\Administrator\AppData\Local\Apple Computer

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-21 11:01 . 2012-03-27 17:44        125872        ----a-w-        c:\windows\system32\GEARAspi64.dll

2012-08-21 11:01 . 2012-03-27 17:44        106928        ----a-w-        c:\windows\SysWow64\GEARAspi.dll

2007-03-12 16:59 . 2007-03-12 16:59        299008        ----a-w-        c:\program files (x86)\navigram_register.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-13 98304]

"NBKeyScan"="c:\program files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]

"ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"BrStsMon00"="c:\program files (x86)\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]

"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]

"LGODDFU"="c:\program files (x86)\lg_fwupdate\fwupdate.exe" [2008-10-01 548864]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Event Reminder.lnk - c:\program files (x86)\PrintMaster 16\pmremind.exe [2006-10-29 339968]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=0 (0x0)

.

R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [2009-01-29 6144]

R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]

R3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\Drivers\motoandroid.sys [2009-07-10 31744]

R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [2011-04-04 21504]

R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [2009-01-29 9216]

R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [2010-04-01 26624]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-21 20992]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]

R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-21 34816]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]

R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]

R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-03-10 283200]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-01-14 202752]

S2 MotoHelper;MotoHelper Service;c:\program files (x86)\Motorola\MotoHelper\MotoHelperService.exe [2011-04-26 223088]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-01-14 6327296]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-01-14 185344]

S3 athur;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athurx.sys [2010-01-05 1847296]

S3 BrYNSvc;BrYNSvc;c:\program files (x86)\Browny02\BrYNSvc.exe [2010-01-25 245760]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-07-30 236544]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-10-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2916643435-1745955518-3813016959-1000Core.job

- c:\users\DM\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 22:35]

.

2012-10-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2916643435-1745955518-3813016959-1000UA.job

- c:\users\DM\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 22:35]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-18 8067616]

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local;192.168.*.*

IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1 192.168.1.1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Shockwave - c:\windows\System32\Macromed\SHOCKW~1\UNWISE.EXE

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe

c:\program files (x86)\Motorola\MotoHelper\MotoHelperAgent.exe

c:\program files (x86)\Common Files\Nero\Lib\NMIndexingService.exe

c:\program files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe

c:\program files (x86)\Brother\ControlCenter3\brccMCtl.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-10-21  19:52:13 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-10-21 17:52

.

Vor Suchlauf: 11 Verzeichnis(se), 13.114.712.064 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 14.539.309.056 Bytes frei

.

- - End Of File - - 67DEEDD6D070BAD3F3C5FD17D2AC382E

--- --- ---

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Und jetzt bitte nochmal OTL versuchen.

Malwarebytes Anti-Malware 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.10.21.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
DM :: DM-PC [Administrator]

21.10.2012 20:19:22
mbam-log-2012-10-21 (20-19-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 226990
Laufzeit: 1 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Und weiter im Text :)

Der eset scan dauert noch ein paar Stunden glaub ich
weil jetzt 4 Platten durchsucht werden. Läuft jetzt eine Stunde und ist bei 18%.

Ist es schonmal ein gutes Zeichen wenn malwarebytes nichts mehr findet?

Hallo Schrauber,
habe jetzt endlich den ESET-Scan fertig.
Musste ihn einige Male abbrechen, da er so lange gedauert hat.

Zitat:

D:\CRC-Killer.exe Win32/Packed.Autoit.C.Gen application
D:\27.1.2008\Schatz\fv_classico_blue.zip PHP/Kryptik.AB trojan
D:\DEFY\AppBackup\tw.nicky.AppBackupReinstall.apk a variant of Android/Adware.AirPush.C application
D:\installer\MyPhoneExplorer_Setup_v1.7.4.exe Win32/Adware.ADON application
D:\installer\Ahead Nero v8.1.1.4 Ultra Edition\Nero-8.1.1.4_deu_trial.exe Win32/Toolbar.AskSBar application
D:\installer\Magic Video Converter 8.0.2.18\MagicVideoConverter.exe probably a variant of Win32/TrojanDownloader.Delf.BMZ trojan

Das darfst Du von Hand löschen, danach Papierkorb leeren.

Poste bitte ein frisches OTL log. Wie läuft der Rechner?