Trojaner-Board - GVU Trojaner auf Windows Vista PC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner auf Windows Vista PC (https://www.trojaner-board.de/129383-gvu-trojaner-windows-vista-pc.html)

GVU Trojaner auf Windows Vista PC

Hallo zusammen,

habe mir leider den GVU Trojaner eingefangen, und bin nach der Systemwiederherstellung (PC läuft vorerst wieder) auf euer Forum gestoßen. Hoffe, ihr könnt mir nun noch weiterhelfen alles wieder ins Reine zu bekommen.

Habe Malwarebytes laufen lassen und das hat auch einiges gefunden, siehe Logfile. Das Zeug ist jetzt erstmal in der Quarantäne.

OTL hat leider nicht geklappt, da meldet mir Windows immer sofort, dass das Programm nicht mehr funktioniert weil ein Problem aufgetreten sei (habe aber alle anderen Fenster geschlossen gehabt). Ging auch nach erneutem Download nicht. :-(

Habe dann Gmer laufen lassen, Logfile ebenfalls anbei.

Könnt ihr mir sagen wie ich jetzt am Besten weiter vorgehen soll?

Danke und viele Grüße
meisterhell

Hallo und :hallo:

Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Logfiles im Anhang erschweren die Auswertung massivst

Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.

Zitat:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.

Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].

Setze den Curser zwischen die CODE-Tags und drücke STRG+V.

Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Sorry, ich hatte die Seite zum Eröffnen eines neuen Themas
http://www.trojaner-board.de/69886-a...-beachten.html
durchgelesen, und da schloss sich direkt die Erklärung an wie man logfiles zipped und anhängt. Ich gebe zu, das ist nicht unebedingt eine Aufforderung das auch zu tun. Vielleicht könnte man das bei

Zitat:

Erstelle ein neues Thema und poste den Inhalt von

OTL.txt
EXTRAS.txt
Gmer.txt

nochmal explizit dazuschreiben, dass man nicht zippen soll. Allerdings habe ich deinen zitierten Text auch nirgendwo gesehen, evtl. ist der zu versteckt.

Wenn ihr wollt kann ich die logfiles gerne auch nochmal direkt in einen Beitrag posten.

Grüße
meisterhell

Und warum fehlen die OTL-Logs? Die sind nämlich nicht im Anhang....

Ich hatte oben geschrieben, dass OTL nicht funktioniert hat. Windows meldet immer sofort dass das Programm nicht mehr funktioniert.

Sry hab ich überlesen :stirn:
Ich dachte du hättest diese Logs weil du das ja auch zitiert hast mit otl.txt und extras :stirn:

Bitte probier es nochmal:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in CODE-Tags in den Thread.

Das Problem mit OTL ist immer das gleiche: Wenn ich es als Administrator ausführen will muss ich anschließend noch zulassen, dass das Programm ausgeführt werden darf, und dann kommt sofort von Windows die Meldung, dass das Programm nicht mehr richtig funktioniert und daher geschlossen wird.
Auch ein erneuter Download der Datei hat nicht geholfen. Was

Was kann ich tun?

Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Code:

ComboFix 13-01-15.02 - *** 15.01.2013  19:48:14.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2939.1496 [GMT 1:00]

ausgeführt von:: c:\users\***\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\pt

c:\windows\system32\pt\smartfacevcp.dll.mui

c:\windows\system32\pt\toscdspd.cpl.mui

c:\windows\unin0407.exe

E:\install.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-15 bis 2013-01-15  ))))))))))))))))))))))))))))))

.

.

2013-01-15 19:03 . 2013-01-15 19:03        --------        d-----w-        c:\users\***\AppData\Local\temp

2013-01-15 19:03 . 2013-01-15 19:03        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-01-11 21:59 . 2013-01-11 21:59        --------        d-----w-        c:\windows\CheckSur

2013-01-09 02:24 . 2012-11-20 04:22        204288        ----a-w-        c:\windows\system32\ncrypt.dll

2013-01-09 02:24 . 2012-11-23 01:35        2048000        ----a-w-        c:\windows\system32\win32k.sys

2013-01-08 22:36 . 2012-11-02 10:19        1400832        ----a-w-        c:\windows\system32\msxml6.dll

2013-01-08 22:21 . 2012-11-28 09:35        93640        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin7.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin6.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin5.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin4.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin3.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin2.dll

2013-01-08 22:18 . 2013-01-08 22:18        159744        ----a-w-        c:\program files\Internet Explorer\Plugins\npqtplugin.dll

2013-01-08 22:17 . 2013-01-08 22:18        --------        d-----w-        c:\program files\QuickTime

2013-01-08 22:11 . 2013-01-08 22:11        --------        d-----w-        c:\users\***\AppData\Roaming\Malwarebytes

2013-01-08 22:11 . 2013-01-08 22:11        --------        d-----w-        c:\programdata\Malwarebytes

2013-01-08 22:11 . 2013-01-08 22:11        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2013-01-08 22:11 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-12-27 13:06 . 2012-12-27 13:06        --------        d-----w-        c:\users\***\AppData\Roaming\Avira

2012-12-27 13:03 . 2012-12-16 13:12        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-27 13:03 . 2012-12-16 10:50        293376        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-27 13:00 . 2012-11-27 09:01        83944        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-12-27 13:00 . 2012-11-22 14:51        36552        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-12-27 13:00 . 2012-11-22 14:50        134336        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-12-27 12:59 . 2012-12-27 12:59        --------        d-----w-        c:\programdata\Avira

2012-12-27 12:59 . 2012-12-27 12:59        --------        d-----w-        c:\program files\Avira

2012-12-20 13:29 . 2012-11-08 18:00        6812136        ------w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{13B72ED8-936F-4F88-8315-1D710C95131B}\mpengine.dll

2012-12-18 14:28 . 2012-12-18 14:28        186584        ----a-w-        c:\program files\Internet Explorer\Plugins\nppdf32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-08 22:05 . 2012-04-03 19:06        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-08 22:05 . 2011-05-25 21:26        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-11-13 01:29 . 2012-12-12 21:37        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-11-09 10:42 . 2012-12-12 21:37        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-09 10:37 . 2012-12-12 21:37        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2012-11-09 10:36 . 2012-12-12 21:37        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-11-09 10:36 . 2012-12-12 21:37        71680        ----a-w-        c:\windows\system32\iesetup.dll

2012-11-09 10:36 . 2012-12-12 21:37        109056        ----a-w-        c:\windows\system32\iesysprep.dll

2012-11-09 09:01 . 2012-12-12 21:37        385024        ----a-w-        c:\windows\system32\html.iec

2012-11-09 07:13 . 2012-12-12 21:37        133632        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-11-09 07:11 . 2012-12-12 21:37        1638912        ----a-w-        c:\windows\system32\mshtml.tlb

2012-11-08 10:29 . 2012-11-08 10:29        1402312        ----a-w-        c:\windows\system32\msxml4.dll

2012-11-02 10:18 . 2012-12-12 21:37        376320        ----a-w-        c:\windows\system32\dpnet.dll

2012-11-02 08:26 . 2012-12-12 21:37        23040        ----a-w-        c:\windows\system32\dpnsvr.exe

2012-10-25 02:12 . 2012-10-25 02:12        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2012-10-25 02:12 . 2012-10-25 02:12        69632        ----a-w-        c:\windows\system32\QuickTime.qts

2013-01-13 12:08 . 2013-01-13 12:08        262704        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-12 68856]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2008-10-24 206112]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]

"NDSTray.exe"="NDSTray.exe" [BU]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-25 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-25 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-25 145944]

"RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]

"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]

"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-06-24 509816]

"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-05-09 716800]

"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]

"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2008-09-26 417792]

"Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2009-04-21 1045904]

"Skytel"="Skytel.exe" [2007-11-20 1826816]

"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2009-07-08 236016]

"USBestCR"="c:\program files\USIM Editor\iconcs3746629.exe" [2010-07-02 7041024]

"RIMBBLaunchAgent.exe"="c:\program files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-02-18 79192]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]

"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2012-04-17 651264]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-09-09 421776]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-12-04 384800]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

VPN Client.lnk - c:\windows\Installer\{08B785C1-3893-4154-B53B-F5D341D0AAAA}\Icon3E5562ED7.ico [2009-11-6 6144]

.

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2008-3-5 393216]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]

2008-09-26 12:22        417792        ----a-w-        c:\program files\Camera Assistant Software for Toshiba\traybar.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google EULA Launcher]

2008-05-28 11:40        20480        ----a-w-        c:\program files\Google\Google EULA\GoogleEULALauncher.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]

2008-02-28 09:58        74408        ----a-w-        c:\program files\Lexmark X1100 Series\LXBKbmgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxbkbmgr.exe]

2008-02-28 09:58        74408        ----a-w-        c:\program files\Lexmark X1100 Series\LXBKbmgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2012-07-13 11:33        17418928        ----a-r-        c:\program files\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]

2009-03-16 17:54        6158240        ----a-w-        c:\program files\TOSHIBA\Toshiba Online Product Information\TOPI.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring"=dword:00000001

.

R2 AfaService;Afa Card Reader Service;c:\windows\system32\afasrv32.exe [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners

.

2013-01-15 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 22:05]

.

2013-01-11 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-12 17:58]

.

2013-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-02 14:47]

.

2013-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-02 14:47]

.

2013-01-14 c:\windows\Tasks\User_Feed_Synchronization-{17C0A8B5-215F-46DC-94E5-1AFB9F8E7359}.job

- c:\windows\system32\msfeedssync.exe [2012-12-12 07:12]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.sueddeutsche.de/

mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA

uInternet Settings,ProxyOverride = local;*.local

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Free YouTube Download - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

Trusted Zone: cltnet.de

Trusted Zone: ihk-content.de\www

Trusted Zone: ihkadhoc.de\www

Trusted Zone: learningsystem.de

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nuyf4lnc.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.sueddeutsche.de/

FF - ExtSQL: !HIDDEN! 2009-07-02 15:44; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-toscdspd - TOSCDSPD.EXE

HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe

HKLM-Run-Toshiba TEMPO - c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe

SafeBoot-WudfPf

SafeBoot-WudfRd

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe

MSConfigStartUp-Google Desktop Search - c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

MSConfigStartUp-jswtrayutil - c:\program files\Jumpstart\jswtrayutil.exe

AddRemove-Macromedia Shockwave Player - c:\windows\System32\Macromed\SHOCKW~1\UNWISE.EXE

AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-15 20:03

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Zeit der Fertigstellung: 2013-01-15  20:13:32

ComboFix-quarantined-files.txt  2013-01-15 19:13

.

Vor Suchlauf: 24 Verzeichnis(se), 36.717.293.568 Bytes frei

Nach Suchlauf: 27 Verzeichnis(se), 49.758.699.520 Bytes frei

.

- - End Of File - - 677B6D27A1A874F05176FAAE39AE0AD3

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Code:

# AdwCleaner v2.105 - Datei am 16/01/2013 um 22:30:48 erstellt

# Aktualisiert am 08/01/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : *** - ***-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\***\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gefunden : C:\Users\***\AppData\LocalLow\boost_interprocess
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Schlüssel Gefunden : HKLM\SOFTWARE\Software
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.19393
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0 (de)
 

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nuyf4lnc.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1066 octets] - [16/01/2013 22:30:48]
 

########## EOF - C:\AdwCleaner[R1].txt - [1126 octets] ##########

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Danach eine Kontrolle mit OTL bitte:

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Setze oben mittig den Haken bei Scanne alle Benutzer
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles in CODE-Tags hier in den Thread.

Code:

# AdwCleaner v2.106 - Datei am 17/01/2013 um 20:07:44 erstellt

# Aktualisiert am 17/01/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : *** - ***-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\***\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Users\***\AppData\LocalLow\boost_interprocess
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

Schlüssel Gelöscht : HKLM\SOFTWARE\Software
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.19393
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0 (de)
 

Datei : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nuyf4lnc.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[R1].txt - [1195 octets] - [16/01/2013 22:30:48]

AdwCleaner[S1].txt - [1410 octets] - [17/01/2013 20:07:44]
 

########## EOF - C:\AdwCleaner[S1].txt - [1470 octets] ##########

OTL funktioniert leider immer noch nicht (auch ein erneuter Download hat nicht geholfen). Windows meldet immer dass das Programm nicht funktionier, es wird also noch nicht mal gestartet. Gibt's irgendwelche Alternativen?

Danke!

Du hast OTL auch wirklich per Rechtsklick als Admin ausgeführt?

Ja, mehrfach versucht.

Scan mit DDS (+ attach)

Downloade dir bitte DDS (von sUBs) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com | dds.scr | dds.pif
Schließe alle laufenden Programme und starte DDS mit Doppelklick.

Der Desktop wird verschwinden, das ist normal.

Stelle folgendes ein:

[X] dds.txt
[X] attach.txt
[ ] options for dds.txt

Ändere keine Einstellung ohne Anweisung.

Klicke auf Start.

Es werden 2 Logfiles auf deinem Desktop erstellt.
dds.txt

attach.txt

Poste die beiden Logfile hier, möglichst in CODE-Tags.

DDS Logfile:

Code:

DDS (Ver_2012-11-20.01) - NTFS_x86 

Internet Explorer: 8.0.6001.19393  BrowserJavaVersion: 10.10.2

Run by Philipp at 19:42:30 on 2013-01-18

#Option MBR scan  is disabled.

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2939.1917 [GMT 1:00]

.

AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ================

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\servicing\TrustedInstaller.exe

C:\Windows\system32\WLANExt.exe

C:\Windows\System32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

C:\Windows\system32\agrsmsvc.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe

C:\Windows\system32\lxbkcoms.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe

C:\Program Files\HTC\Internet Pass-Through\PassThruSvr.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Toshiba TEMPRO\TemproSvc.exe

C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe

C:\Windows\system32\TODDSrv.exe

C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Toshiba TEMPRO\TemproTray.exe

C:\Program Files\USIM Editor\iconcs3746629.exe

C:\Program Files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\igfxext.exe

C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k GPSvcGroup

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\system32\svchost.exe -k imgsvc

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.sueddeutsche.de/

mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA

uProxyOverride = local;*.local

BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: DivX Plus Web Player HTML5 <video>: {326E768D-4182-46FD-9C16-1449A49795F4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll

BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\program files\java\jre7\bin\ssv.dll

BHO: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Skype Browser Helper: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

BHO: Google Toolbar Notifier BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - c:\program files\google\googletoolbarnotifier\5.7.8313.1002\swg.dll

BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\program files\java\jre7\bin\jp2ssv.dll

TB: Google Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun

uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe

uRun: [ISUSPM] "c:\program files\common files\installshield\updateservice\ISUSPM.exe" -scheduler

mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe

mRun: [NDSTray.exe] NDSTray.exe

mRun: [IgfxTray] c:\windows\system32\igfxtray.exe

mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe

mRun: [Persistence] c:\windows\system32\igfxpers.exe

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [TPwrMain] c:\program files\toshiba\power saver\TPwrMain.EXE

mRun: [SmoothView] c:\program files\toshiba\smoothview\SmoothView.exe

mRun: [00TCrdMain] c:\program files\toshiba\flashcards\TCrdMain.exe

mRun: [Toshiba Registration] c:\program files\toshiba\registration\ToshibaRegistration.exe

mRun: [IntelliPoint] "c:\program files\microsoft intellipoint\ipoint.exe"

mRun: [Camera Assistant Software] "c:\program files\camera assistant software for toshiba\traybar.exe" /start

mRun: [Toshiba TEMPRO] c:\program files\toshiba tempro\TemproTray.exe

mRun: [Skytel] Skytel.exe

mRun: [RoxWatchTray] "c:\program files\common files\roxio shared\9.0\sharedcom\RoxWatchTray9.exe"

mRun: [USBestCR] c:\program files\usim editor\iconcs3746629.exe RunFromReg

mRun: [RIMBBLaunchAgent.exe] c:\program files\common files\research in motion\usb drivers\RIMBBLaunchAgent.exe

mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"

mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW

mRun: [HTC Sync Loader] "c:\program files\htc\htc sync 3.0\htcUPCTLoader.exe" -startup

mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

dRun: [TOSHIBA Online Product Information] c:\program files\toshiba\toshiba online product information\topi.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\micros~1.lnk - c:\program files\microsoft office\office10\OSA.EXE

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\vpncli~1.lnk - c:\windows\installer\{08b785c1-3893-4154-b53b-f5d341d0aaaa}\Icon3E5562ED7.ico

uPolicies-Explorer: NoDrives = dword:0

mPolicies-Explorer: BindDirectlyToPropertySetStorage = dword:0

mPolicies-Explorer: NoDrives = dword:0

mPolicies-System: EnableUIADesktopToggle = dword:0

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Free YouTube Download - c:\users\philipp\appdata\roaming\dvdvideosoftiehelpers\freeyoutubedownload.htm

IE: Free YouTube to MP3 Converter - c:\users\philipp\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000

IE: {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\program files\icq7.2\ICQ.exe

IE: {76577871-04EC-495E-A12B-91F7C3600AFA} - hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4

IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

IE: {8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home

Trusted Zone: cltnet.de

Trusted Zone: learningsystem.de

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

TCP: NameServer = 192.168.1.1

TCP: Interfaces\{7A6F9E93-03EA-4FC4-8D6B-5AC10ECEF4F8} : DHCPNameServer = 192.168.1.1

Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files\skype\toolbars\internet explorer\skypeieplugin.dll

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program files\common files\skype\Skype4COM.dll

Notify: igfxcui - igfxdev.dll

LSA: Security Packages =  kerberos msv1_0 schannel wdigest tspkg

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\users\philipp\appdata\roaming\mozilla\firefox\profiles\nuyf4lnc.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.sueddeutsche.de/

FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll

FF - plugin: c:\program files\common files\research in motion\bbwebsllauncher\NPWebSLLauncher.dll

FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll

FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll

FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\google\google updater\2.4.2432.1652\npCIDetect14.dll

FF - plugin: c:\program files\google\picasa3\npPicasa2.dll

FF - plugin: c:\program files\google\picasa3\npPicasa3.dll

FF - plugin: c:\program files\google\update\1.3.21.123\npGoogleUpdate3.dll

FF - plugin: c:\program files\microsoft silverlight\5.1.10411.0\npctrlui.dll

FF - plugin: c:\program files\microsoft\office live\npOLW.dll

FF - plugin: c:\windows\system32\adobe\director\np32dsw_1168638.dll

FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_146.dll

FF - ExtSQL: !HIDDEN! 2009-07-02 15:44; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension

.

============= SERVICES / DRIVERS ===============

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-12-27 36552]

R1 jswpslwf;JumpStart Wireless Filter Driver;c:\windows\system32\drivers\jswpslwf.sys [2009-4-2 20384]

R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-12-27 85280]

R2 AntiVirService;Avira Echtzeit-Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-12-27 109344]

R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-12-27 83944]

R2 ConfigFree Service;ConfigFree Service;c:\program files\toshiba\configfree\CFSvcs.exe [2008-4-16 40960]

R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]

R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe -service --> c:\windows\system32\lxbkcoms.exe -service [?]

R2 MBAMScheduler;MBAMScheduler;c:\program files\malwarebytes' anti-malware\mbamscheduler.exe [2013-1-8 398184]

R2 PassThru Service;Internet Pass-Through Service;c:\program files\htc\internet pass-through\PassThruSvr.exe [2011-9-15 88576]

R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\toshiba tempro\TemproSvc.exe [2009-4-21 116104]

R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\toshiba\smartlogservice\TosIPCSrv.exe [2008-2-6 126976]

R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-8-12 7168]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2013-1-8 21104]

R3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\toshiba\smartfacev\SmartFaceVWatchSrv.exe [2008-4-24 73728]

S2 AfaService;Afa Card Reader Service;c:\windows\system32\afasrv32.exe --> c:\windows\system32\afasrv32.exe [?]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 gupdate1c9b3a2d64d2b8;Google Update Service (gupdate1c9b3a2d64d2b8);c:\program files\google\update\GoogleUpdate.exe [2009-4-2 133104]

S2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2013-1-8 682344]

S2 SkypeUpdate;Skype Updater;c:\program files\skype\updater\Updater.exe [2012-7-13 160944]

S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [2009-6-10 24576]

S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [2010-6-23 23040]

S3 jswpsapi;Jumpstart Wifi Protected Setup;c:\program files\jumpstart\jswpsapi.exe [2009-4-2 954368]

S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [2008-5-27 50560]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

.

=============== Created Last 30 ================

.

2013-01-15 19:13:49        --------        d-----w-        c:\users\philipp\appdata\local\temp

2013-01-15 19:12:36        --------        d-sh--w-        C:\$RECYCLE.BIN

2013-01-15 18:44:17        98816        ----a-w-        c:\windows\sed.exe

2013-01-15 18:44:17        256000        ----a-w-        c:\windows\PEV.exe

2013-01-15 18:44:17        208896        ----a-w-        c:\windows\MBR.exe

2013-01-11 21:59:01        --------        d-----w-        c:\windows\CheckSur

2013-01-09 02:24:34        204288        ----a-w-        c:\windows\system32\ncrypt.dll

2013-01-09 02:24:29        2048000        ----a-w-        c:\windows\system32\win32k.sys

2013-01-08 22:36:12        1400832        ----a-w-        c:\windows\system32\msxml6.dll

2013-01-08 22:21:00        93640        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin7.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin6.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin5.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin4.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin3.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin2.dll

2013-01-08 22:18:23        159744        ----a-w-        c:\program files\internet explorer\plugins\npqtplugin.dll

2013-01-08 22:11:54        --------        d-----w-        c:\users\philipp\appdata\roaming\Malwarebytes

2013-01-08 22:11:16        --------        d-----w-        c:\programdata\Malwarebytes

2013-01-08 22:11:12        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2013-01-08 22:11:12        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2012-12-27 13:06:33        --------        d-----w-        c:\users\philipp\appdata\roaming\Avira

2012-12-27 13:03:03        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-27 13:03:03        293376        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-27 13:00:08        83944        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-12-27 13:00:08        36552        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-12-27 12:59:41        --------        d-----w-        c:\programdata\Avira

2012-12-27 12:59:41        --------        d-----w-        c:\program files\Avira

2012-12-20 13:29:28        6812136        ------w-        c:\programdata\microsoft\windows defender\definition updates\{13b72ed8-936f-4f88-8315-1d710c95131b}\mpengine.dll

.

==================== Find3M  ====================

.

2013-01-08 22:05:55        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-08 22:05:55        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-11-13 01:29:51        2048        ----a-w-        c:\windows\system32\tzres.dll

2012-11-09 10:42:46        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-09 10:37:14        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2012-11-09 10:36:43        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2012-11-09 10:36:28        71680        ----a-w-        c:\windows\system32\iesetup.dll

2012-11-09 10:36:28        109056        ----a-w-        c:\windows\system32\iesysprep.dll

2012-11-09 09:01:43        385024        ----a-w-        c:\windows\system32\html.iec

2012-11-09 07:13:56        133632        ----a-w-        c:\windows\system32\ieUnatt.exe

2012-11-09 07:11:28        1638912        ----a-w-        c:\windows\system32\mshtml.tlb

2012-11-08 10:29:12        1402312        ----a-w-        c:\windows\system32\msxml4.dll

2012-11-02 10:18:17        376320        ----a-w-        c:\windows\system32\dpnet.dll

2012-11-02 08:26:06        23040        ----a-w-        c:\windows\system32\dpnsvr.exe

2012-10-25 02:12:26        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2012-10-25 02:12:26        69632        ----a-w-        c:\windows\system32\QuickTime.qts

.

============= FINISH: 19:43:00,89 ===============

--- --- ---

Code:

.

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.

DDS (Ver_2012-11-20.01)

.

Microsoft® Windows Vista™ Home Premium 

Boot Device: \Device\HarddiskVolume2

Install Date: 02.04.2009 14:41:13

System Uptime: 18.01.2013 19:22:39 (0 hours ago)

.

Motherboard: TOSHIBA |  | Portable PC

Processor: Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz | CPU | 2166/667mhz

.

==== Disk Partitions =========================

.

C: is FIXED (NTFS) - 149 GiB total, 46,039 GiB free.

E: is FIXED (NTFS) - 148 GiB total, 143,338 GiB free.

F: is CDROM ()

.

==== Disabled Device Manager Items =============

.

Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}

Description: Cisco Systems VPN Adapter

Device ID: ROOT\NET\0000

Manufacturer: Cisco Systems

Name: Cisco Systems VPN Adapter

PNP Device ID: ROOT\NET\0000

Service: CVirtA

.

==== System Restore Points ===================

.

.

==== Installed Programs ======================

.

ABBYY FineReader 5.0 Sprint

AC3Filter (remove only)

Adobe AIR

Adobe Digital Editions

Adobe Flash Player 10 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader X (10.1.5) - Deutsch

Adobe Shockwave Player 11.6

ALDI Bestellsoftware 4.9

Apple Application Support

Apple Mobile Device Support

Apple Software Update

Atheros Client Utility

Atheros Driver Installation Program

Atheros Wi-Fi Protected Setup Library

Avira Free Antivirus

BlackBerry Desktop Software 6.0.1

BlackBerry Device Software Updater

Bonjour

Bridge Building Game

calibre

Camera Assistant Software for Toshiba

CD/DVD Drive Acoustic Silencer

Cisco EAP-FAST Module

Cisco LEAP Module

Cisco PEAP Module

Cisco Systems VPN Client 5.0.06.0110

Compatibility Pack für 2007 Office System

DivX-Setup

DivX Converter

DivX Plus DirectShow Filters

DivX Version Checker

doPDF 6.3  printer

DVD MovieFactory for TOSHIBA

ElsterFormular

Foto-Mosaik-Edda 5.4.4

Free Studio version 5.1.4

Free YouTube to MP3 Converter version 3.11.26.706

Google Earth

Google Toolbar for Internet Explorer

Google Update Helper

Google Updater

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

HTC BMP USB Driver

HTC Driver Installer

HTC Sync

ICQ7.2

inSSIDer 2.0

Intel(R) Graphics Media Accelerator Driver

Intel® Matrix Storage Manager

iTunes

Java 7 Update 10

Java Auto Updater

Java(TM) 6 Update 6

Kobo

Lexmark X1100 Series

Malwarebytes Anti-Malware Version 1.70.0.1100

MATLAB R2009a

Microsoft .NET Framework 3.5 Language Pack SP1 - deu

Microsoft .NET Framework 3.5 SP1

Microsoft .NET Framework 4 Client Profile

Microsoft Application Error Reporting

Microsoft IntelliPoint 6.3

Microsoft Office Live Add-in 1.5

Microsoft Office XP Professional mit FrontPage

Microsoft Silverlight

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

Microsoft XML Parser

MiKTeX 2.7

Mozilla Firefox 18.0 (x86 de)

Mozilla Maintenance Service

MSXML 4.0 SP2 (KB941833)

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

MSXML 4.0 SP3 Parser

MSXML 4.0 SP3 Parser (KB2721691)

MSXML 4.0 SP3 Parser (KB2758694)

MSXML 4.0 SP3 Parser (KB973685)

OKI B410 Druckermenü-Einrichtungstool

PDF-XChange 3

Pdf995

Picasa 3

PokerStars

Pontifex

QuickTime

Realtek 8169 8168 8101E 8102E Ethernet Driver

Realtek High Definition Audio Driver

Realtek USB 2.0 Card Reader

Roxio Media Manager

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2604111)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2736416)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2742595)

Security Update for Windows Media Encoder (KB2447961)

Security Update for Windows Media Encoder (KB954156)

Security Update for Windows Media Encoder (KB979332)

Skype Click to Call

Skype™ 5.10

Synaptics Pointing Device Driver

Template Manager 3.0

TeXnicCenter Version 1.0 Stable RC1

Tinypic 3.14

TOSHIBA Assist

TOSHIBA Benutzerhandbücher

TOSHIBA ConfigFree

TOSHIBA Disc Creator

TOSHIBA DVD PLAYER

TOSHIBA Extended Tiles for Windows Mobility Center

TOSHIBA Face Recognition

TOSHIBA Hardware Setup

Toshiba Online Product Information

TOSHIBA Recovery Disc Creator

TOSHIBA Software Modem

TOSHIBA Supervisor Password

Toshiba TEMPRO

TOSHIBA Value Added Package

TRDCReminder

TRORDCLauncher

Uninstall 1.0.0.1

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

Update for Microsoft .NET Framework 4 Client Profile (KB2468871)

Update for Microsoft .NET Framework 4 Client Profile (KB2533523)

Update for Microsoft .NET Framework 4 Client Profile (KB2600217)

USIM Editor 1.0.33.0

VC80CRTRedist - 8.0.50727.6195

VoiceOver Kit

Windows Media Encoder 9 Series

Windows Media Player Firefox Plugin

WinRAR

WinZip

Zoner Photo Studio 12

.

==== End Of File ===========================

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Zunächst mal vorne weg: Mein Avira hatte Samstag Nachmittag selbstständig einen Lauf ausgeführt und auch prompt was gefunden:

Code:



Avira Free Antivirus

Erstellungsdatum der Reportdatei: Samstag, 19. Januar 2013  13:27
 
 

Das Programm läuft als uneingeschränkte Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : Avira Free Antivirus

Seriennummer   : 0000149996-ADJIE-0000001

Plattform      : Windows Vista (TM) Home Premium

Windowsversion : (Service Pack 2)  [6.0.6002]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ***-PC
 

Versionsinformationen:

BUILD.DAT      : 13.0.0.2890    48567 Bytes  05.12.2012 17:11:00

AVSCAN.EXE     : 13.6.0.402    639264 Bytes  04.12.2012 14:37:47

AVSCANRC.DLL   : 13.4.0.360     64800 Bytes  28.11.2012 14:09:15

LUKE.DLL       : 13.6.0.400     67360 Bytes  04.12.2012 11:13:05

AVSCPLR.DLL    : 13.6.0.402     93984 Bytes  04.12.2012 14:37:55

AVREG.DLL      : 13.6.0.406    248096 Bytes  04.12.2012 17:40:31

avlode.dll     : 13.6.1.402    428832 Bytes  04.12.2012 14:36:57

avlode.rdf     : 13.0.0.26       7958 Bytes  22.11.2012 10:59:16

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40

VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 12:43:11

VBASE008.VDF   : 7.11.55.142  2214912 Bytes  03.01.2013 20:12:31

VBASE009.VDF   : 7.11.55.143     2048 Bytes  03.01.2013 20:12:31

VBASE010.VDF   : 7.11.55.144     2048 Bytes  03.01.2013 20:12:31

VBASE011.VDF   : 7.11.55.145     2048 Bytes  03.01.2013 20:12:31

VBASE012.VDF   : 7.11.55.146     2048 Bytes  03.01.2013 20:12:31

VBASE013.VDF   : 7.11.55.196   260096 Bytes  04.01.2013 20:12:31

VBASE014.VDF   : 7.11.56.23    206848 Bytes  07.01.2013 20:12:32

VBASE015.VDF   : 7.11.56.83    186880 Bytes  08.01.2013 20:02:38

VBASE016.VDF   : 7.11.56.145   135168 Bytes  09.01.2013 21:42:25

VBASE017.VDF   : 7.11.56.211   139776 Bytes  11.01.2013 21:42:25

VBASE018.VDF   : 7.11.57.11    153088 Bytes  13.01.2013 22:38:53

VBASE019.VDF   : 7.11.57.75    165888 Bytes  15.01.2013 22:03:19

VBASE020.VDF   : 7.11.57.163   190976 Bytes  17.01.2013 22:03:19

VBASE021.VDF   : 7.11.57.219   119808 Bytes  18.01.2013 12:14:58

VBASE022.VDF   : 7.11.57.220     2048 Bytes  18.01.2013 12:14:58

VBASE023.VDF   : 7.11.57.221     2048 Bytes  18.01.2013 12:14:58

VBASE024.VDF   : 7.11.57.222     2048 Bytes  18.01.2013 12:14:58

VBASE025.VDF   : 7.11.57.223     2048 Bytes  18.01.2013 12:14:58

VBASE026.VDF   : 7.11.57.224     2048 Bytes  18.01.2013 12:14:59

VBASE027.VDF   : 7.11.57.225     2048 Bytes  18.01.2013 12:14:59

VBASE028.VDF   : 7.11.57.226     2048 Bytes  18.01.2013 12:14:59

VBASE029.VDF   : 7.11.57.227     2048 Bytes  18.01.2013 12:14:59

VBASE030.VDF   : 7.11.57.228     2048 Bytes  18.01.2013 12:14:59

VBASE031.VDF   : 7.11.57.238     7680 Bytes  19.01.2013 12:14:59

Engineversion  : 8.2.10.232

AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55

AESCRIPT.DLL   : 8.1.4.82      467323 Bytes  17.01.2013 22:03:20

AESCN.DLL      : 8.1.10.0      131445 Bytes  27.12.2012 13:01:56

AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06

AERDL.DLL      : 8.2.0.88      643444 Bytes  11.01.2013 21:42:27

AEPACK.DLL     : 8.3.1.2       819574 Bytes  27.12.2012 13:01:56

AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  05.11.2012 14:00:38

AEHEUR.DLL     : 8.1.4.174    5615991 Bytes  11.01.2013 21:42:27

AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 14:52:32

AEGEN.DLL      : 8.1.6.14      434548 Bytes  11.01.2013 21:42:25

AEEXP.DLL      : 8.3.0.10      188789 Bytes  17.01.2013 22:03:20

AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55

AECORE.DLL     : 8.1.30.0      201079 Bytes  27.12.2012 13:01:53

AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38

AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30

AVPREF.DLL     : 13.4.0.360     50464 Bytes  28.11.2012 14:05:52

AVREP.DLL      : 13.4.0.360    177952 Bytes  28.11.2012 14:06:10

AVARKT.DLL     : 13.6.0.402    260384 Bytes  04.12.2012 14:36:03

AVEVTLOG.DLL   : 13.6.0.400    167200 Bytes  04.12.2012 11:04:02

SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40

AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54

NETNT.DLL      : 13.4.0.360     15648 Bytes  28.11.2012 14:07:51

RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  28.11.2012 14:09:40

RCTEXT.DLL     : 13.4.0.360     68384 Bytes  28.11.2012 14:09:40
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: Vollständige Systemprüfung

Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp

Protokollierung.......................: standard

Primäre Aktion........................: interaktiv

Sekundäre Aktion......................: ignorieren

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: ein

Bootsektoren..........................: C:, E:, 

Durchsuche aktive Programme...........: ein

Laufende Programme erweitert..........: ein

Durchsuche Registrierung..............: ein

Suche nach Rootkits...................: ein

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: erweitert

Abweichende Gefahrenkategorien........: +JOKE,+SPR,
 

Beginn des Suchlaufs: Samstag, 19. Januar 2013  13:27
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf nach versteckten Objekten wird begonnen.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '107' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '53' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '74' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'CFSwMgr.exe' - '72' Modul(e) wurden durchsucht

Durchsuche Prozess 'dpupdchk.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxext.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'ISUSPM.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehtray.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'sidebar.exe' - '102' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht

Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'htcUPCTLoader.exe' - '116' Modul(e) wurden durchsucht

Durchsuche Prozess 'DivXUpdate.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'RIMBBLaunchAgent.exe' - '36' Modul(e) wurden durchsucht

Durchsuche Prozess 'iconcs3746629.exe' - '29' Modul(e) wurden durchsucht

Durchsuche Prozess 'TemproTray.exe' - '85' Modul(e) wurden durchsucht

Durchsuche Prozess 'ipoint.exe' - '55' Modul(e) wurden durchsucht

Durchsuche Prozess 'TCrdMain.exe' - '63' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '25' Modul(e) wurden durchsucht

Durchsuche Prozess 'SmoothView.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'TPwrMain.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'RtHDVCpl.exe' - '52' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxtray.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'NDSTray.exe' - '92' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '136' Modul(e) wurden durchsucht

Durchsuche Prozess 'Dwm.exe' - '27' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '82' Modul(e) wurden durchsucht

Durchsuche Prozess 'SmartFaceVWatchSrv.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht

Durchsuche Prozess 'ULCDRSvr.exe' - '5' Modul(e) wurden durchsucht

Durchsuche Prozess 'TosIPCSrv.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'TosCoSrv.exe' - '20' Modul(e) wurden durchsucht

Durchsuche Prozess 'TODDSrv.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'TNaviSrv.exe' - '19' Modul(e) wurden durchsucht

Durchsuche Prozess 'TemproSvc.exe' - '89' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'PassThruSvr.exe' - '17' Modul(e) wurden durchsucht

Durchsuche Prozess 'mbamscheduler.exe' - '32' Modul(e) wurden durchsucht

Durchsuche Prozess 'lxbkcoms.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'cvpnd.exe' - '60' Modul(e) wurden durchsucht

Durchsuche Prozess 'CFSvcs.exe' - '71' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '16' Modul(e) wurden durchsucht

Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '92' Modul(e) wurden durchsucht

Durchsuche Prozess 'WLANExt.exe' - '45' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht

Durchsuche Prozess 'TrustedInstaller.exe' - '58' Modul(e) wurden durchsucht

Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '113' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht

Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '4366' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Vista>

C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\nuyf4lnc.default\Cache\4\9A\E24DCd01

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JS.Expack.DX

C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\nuyf4lnc.default\Cache\5\98\50DF7d01

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Pidief.edj

    [0] Archivtyp: Runtime Packed

    --> C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\11478a63-31e306e6

        [1] Archivtyp: ZIP

      --> ewjvaiwebvhtuai124a.class

          [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0422

          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

      --> test.class

          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Treams.IS.2

          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\11478a63-31e306e6

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Treams.IS.2

    --> C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\5863e364-3716a74b

        [1] Archivtyp: ZIP

      --> hw.class

          [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Likinowl.Gen

          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

      --> test.class

          [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Likinowl.Gen

          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

      --> test2.class

          [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Strex.BD

          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\5863e364-3716a74b

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Strex.BD

Beginne mit der Suche in 'E:\' <Data>
 

Beginne mit der Desinfektion:

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\5863e364-3716a74b

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Strex.BD

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '593b1dff.qua' verschoben!

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\11478a63-31e306e6

  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Treams.IS.2

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41b23241.qua' verschoben!

C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\nuyf4lnc.default\Cache\5\98\50DF7d01

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Pidief.edj

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13fd68a8.qua' verschoben!

C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\nuyf4lnc.default\Cache\4\9A\E24DCd01

  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JS.Expack.DX

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '75da2768.qua' verschoben!
 
 

Ende des Suchlaufs: Samstag, 19. Januar 2013  16:29

Benötigte Zeit:  2:55:33 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  54503 Verzeichnisse wurden überprüft

 1293537 Dateien wurden geprüft

      9 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      4 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

 1293528 Dateien ohne Befall

  47081 Archive wurden durchsucht

      5 Warnungen

      4 Hinweise

 924464 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Hängt das mit dem GVU Trojaner zusammen oder ist das schon wieder etwas Neues?
Malwarebytes und ESET haben hinterher aber nichts mehr gefunden:

Code:

Malwarebytes Anti-Malware (Test) 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.01.20.07
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19393

*** :: ***-PC [Administrator]
 

Schutz: Deaktiviert
 

20.01.2013 22:23:42

mbam-log-2013-01-20 (22-23-42).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 220862

Laufzeit: 4 Minute(n), 17 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

ESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

Can not open internetesets_scanner_update returned -1 esets_gle=1

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6889

# api_version=3.0.2

# EOSSerial=a6be4d9b74fa7a40a5371817c04096d7

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-01-21 12:25:18

# local_time=2013-01-21 01:25:18 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1799 16775165 100 97 26698 224151208 19467 0

# compatibility_mode=5892 16776574 100 100 2720437 196260646 0 0

# scanned=414391

# found=0

# cleaned=0

# scan_time=10234

Zitat:

Zunächst mal vorne weg: Mein Avira hatte Samstag Nachmittag selbstständig einen Lauf ausgeführt und auch prompt was gefunden:

JavaCache bitte leeren! Entweder manuell oder zB mit TFC:

TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.

Sieht sonst soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Der Rechner scheint einwandfrei zu funkionieren, und gefunden wurde auch nichts mehr.

Dann bleibt mir wohl nur noch mich herzlich für die Unterstützung und Hilfe zu bedanken! :daumenhoc
Ich hab euch eine kleine Spende für eure Mühe zukommen lassen.

Viele Grüße
meisterhell

Zitat:

Ich hab euch eine kleine Spende für eure Mühe zukommen lassen.

:daumenhoc :dankeschoen:

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.