Trojaner-Board - GData hat Viren/ Trojaner gefunden, was nun?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GData hat Viren/ Trojaner gefunden, was nun? (https://www.trojaner-board.de/100912-gdata-hat-viren-trojaner-gefunden.html)

GData hat Viren/ Trojaner gefunden, was nun?

Hallo!

Mein Betriebssystem lautet: Windows 7 64Bit
Ich habe GData InternetSecurity 2012

Gestern als ich im Internet surfte, hieß es:

Beim Öffnen der Datei "C:\Users\Oliver\AppData\Local\Temp\0.16041775994507734.exe" wurde der Virus "Gen:Variant.Boigy.1 (Engine-A)" entdeckt. Zugriff verweigert.

Ich habe mir nichts dabei gedacht, schließlich ist es während des Surfens passiert und mein Gdata-System hat es ja auch sofort erkannt.

Heute ist in G-Data ein Programmupdate erschienen, darauf folgten mehrere Updates. Ich war gerade Essen und als ich zurückkam, erschien mein G-Data mit mehreren Meldungen:

Datei: C:\Users\Oliver\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\69b4e796-7f0cf1d0
Virus: Gen:Variant.Boigy.1 (Engine A)

Datei: C:\Users\Oliver\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\7a43fc8f-134ddd84
Virus: Java:Agent-JN [Expl] (Engine B)

Datei: C:\Users\Oliver\AppData\Local\Temp\0.16041775994507734.exe
Virus: Gen:Variant.Boigy.1 (Engine A)

Ich habe alle Dateien in Quarantäne verschoben.

Muss ich mir da jetzt Gedanken machen, sollte ich überall meine Passwörter ändern (habe auch Internetbanking) oder ist alles kein problem, weil G-Data es sofort erkannt hat (oder hat er es nicht?)

Laut Hijack ist alles ok.

Was soll ich jetzt tun?

Vielen Dank für Eure Mühen schon im Voraus!

Lg
Yoshi08

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Vielen Dank.

Ich poste mal die Logs.

Der Malwarebytes hat einen Eintrag gefunden, den ich gelöscht habe, beim anderen Programm war es mir aus den Logs nicht ersichtlich, ich habe [dummerweise] einfach mal auf bereinigen geklickt, wonach ein Neustart durchgeführt werden musste. Ich hoffe, da wurde nichts Wichtiges gelöscht?!

Und besteht Gefahr bezüglich I-Banking..

Danke!

PS: Ach, des gibts doch nicht, nach dem Neustart hat OTL sich selber entfernt, es gibt keine OTL.txt und Extras.txt Datei mehr, was soll das?
Ein erneutes Durchführen lohnt sich ja jetzt gar nicht, das eine Bereinigung schon durchgeführt wurde.. Des kann sich doch ned alles in Luft aufgelöst haben, kein OTL.exe, keine Logdateien, soll ich eine Systemwiederherstellung durchführen?

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Nein, das war's leider..

Warum löscht dieses andere Programm nur alle Logdateien..
Was soll ich nun tun?

Lg

OTL löscht keine Logdateien! Wie hast du das Programm genau ausgeführt?

Ganz wie vorgeschrieben, diesen Quellcode da eingegeben, "Quick scan" durchgeführt, es haben sich die 2 Logdateien geöffnet, die ich wieder geschlossen habe, da ich davon ausging, dass sie wo gespeichert sind (OTL.txt un Extras.txt). Ich habe auf "bereinigen" geklickt, danach musste der PC neugestartet werden.

Nach dem Neustart war sowohl die OTL.exe-Datei aus dem Downloads-Ordner gelöscht worden, als auch die Logdateien.. (zumindest ließen sie sich durch die Windows-Suche nicht finden)

In der Systemwiederehrstellung ist der einzige Beweis, dass das Programm mal da war, da ist von gestern um 18.30 Uhr ein Restore-Point.

Microsoft-Remotedesktopdienste (Pirnter) ist laut Windows das Einzige, was sich wohl verändert hat.

Soll ich den Wiederherstellungspunkt durchführen und danach OTL nochmals starten oder eifnach jetzt nochmal starten, nachdem gewisse Sachen bereinigt wurden..?

Einfach OTL nochmal so ausführen wie ich in der Anleitung geschrieben habe

ok, habe ich nun gemacht, und diesmal nicht auf "bereinigen" geklickt.

Die Logs habe ich angehängt.

Danke =)

PS: OTL scheint nach dem Ausführen jedesmal die Einstellung "Bekannte Dateiendungen ausblenden" zu aktivieren, stellt das Programm noch mehr um?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [1999.04.27 17:17:56 | 000,000,049 | R--- | M] () - D:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{5002001f-a3c2-11de-a510-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{5002001f-a3c2-11de-a510-806e6f6e6963}\Shell\AutoRun\command - "" = D:\Setup.exe -- [1999.04.27 17:17:56 | 000,275,968 | R--- | M] ()

O33 - MountPoints2\{ce8aa04c-a3ab-11de-9bc1-0026189103cf}\Shell - "" = AutoRun

O33 - MountPoints2\{ce8aa04c-a3ab-11de-9bc1-0026189103cf}\Shell\AutoRun\command - "" = F:\pushinst.exe

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\INSTALLW.EXE

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Also nochmal OTL ausführe, und das zuerst genannte in "Custom Scan/Fixes"
einfügen, "Fix" und neu starten und danach das von Dir heute morgen genannte in ""Custom Scan/Fixes" eingeben, alles schließen und nochmal "Fix" und dann die neuen Logs veröffentlichen.

Also 2x "Fix"?

Wie kommt du denn auf 2x Fix, das steht doch nicht so in meinem Posting!
Lies sich mein Posting so schwierig? :balla:
Einfach das Fixscript in die Textbox kopieren und Fix klicken, so schwierig kann das nun wirklich nicht sein :confused:

Jetzt habe ich dein Post verstanden, sry ^^

Ich habe den Log nach dem Fixen angehängt.

Was war denn da Schlimmes auf meinem PC?

Manches konnte wohl nicht gelöscht werden.. Wie geht es jetzt weiter?

Vielen Dank für die Mühen schon im Voraus!

Yoshi08

Zitat:

Zitat von Yoshi08 (Beitrag 680036)

PS: Und das "Bereinigen" , war das jetzt eiegntlich schlimm? Nicht das das Grunsättliches meines Systems/ meiner Einstellungen geändert hat.. Sonst führe ich halt kurz eine Systemwiederherstellung durch und fixe das dann eben nochmal..

Diese Informationen bringen mich auch nicht weiter..:

hxxp://www.bleepingcomputer.com/forums/topic257075.html

hxxp://www.smokey-services.eu/forums/index.php/topic,68252.0.html#post_CleanUp

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Vielen Dank!

Es wurde keine Bedrohung gefunden.

Lg
Yoshi08

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Alles klar, bitteschön (Die Gdata Activity konnte nicht vollständig geschlossen werden, ich habe einfach Firewall, Wächter und die Programmüberwachung ausgeschaltet):

Combofix Logfile:

Code:

ComboFix 11-07-06.02 - Oliver 06.07.2011  22:51:35.1.4 - x64

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.4095.2953 [GMT 2:00]

ausgeführt von:: c:\users\Oliver\Downloads\ComboFix.exe

AV: G Data InternetSecurity 2010 *Enabled/Updated* {54ACC2FC-837E-E665-7A92-5352D560D5EF}

FW: G Data Personal Firewall *Enabled* {6C9743D9-C911-E73D-51CD-FA672BB39294}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\Oliver\AppData\Roaming\Adobe\plugs

c:\users\Oliver\AppData\Roaming\Adobe\shed

c:\windows\IsUn0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-06 bis 2011-07-06  ))))))))))))))))))))))))))))))

.

.

2011-07-06 20:58 . 2011-07-06 20:58        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-07-05 15:31 . 2011-07-05 15:31        --------        d-----w-        C:\_OTL

2011-07-01 08:43 . 2011-07-01 08:43        --------        d-----w-        c:\users\Oliver\AppData\Roaming\Malwarebytes

2011-07-01 08:43 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-07-01 08:43 . 2011-07-01 08:43        --------        d-----w-        c:\programdata\Malwarebytes

2011-07-01 08:43 . 2011-07-01 16:08        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-07-01 08:43 . 2011-05-29 07:11        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-01 08:32 . 2011-07-06 15:14        337305        ----a-w-        c:\windows\SysWow64\sig.bin

2011-06-30 09:18 . 2011-03-04 18:57        1941512        ----a-w-        c:\windows\SysWow64\GdScrSv.scr

2011-06-30 09:18 . 2011-06-30 09:18        31448        ----a-w-        c:\windows\system32\drivers\GdNetMon64.sys

2011-06-30 09:18 . 2011-03-29 09:12        138232        ----a-w-        c:\program files (x86)\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}\Components\AvkWebFilterFF2.dll

2011-06-27 18:02 . 2011-06-27 18:02        --------        d-----w-        c:\users\Oliver\AppData\Local\HP

2011-06-27 15:16 . 2011-04-09 06:45        5509504        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-06-27 15:15 . 2010-12-18 06:13        861184        ----a-w-        c:\windows\system32\oleaut32.dll

2011-06-27 15:15 . 2010-12-18 05:31        571904        ----a-w-        c:\windows\SysWow64\oleaut32.dll

2011-06-27 15:14 . 2010-12-18 06:12        3138048        ----a-w-        c:\windows\system32\mstscax.dll

2011-06-27 15:14 . 2010-12-18 05:30        2690560        ----a-w-        c:\windows\SysWow64\mstscax.dll

2011-06-27 15:14 . 2010-12-18 06:08        1097216        ----a-w-        c:\windows\system32\mstsc.exe

2011-06-27 15:14 . 2010-12-18 05:26        1034240        ----a-w-        c:\windows\SysWow64\mstsc.exe

2011-06-27 15:13 . 2011-02-23 05:15        90624        ----a-w-        c:\windows\system32\drivers\bowser.sys

2011-06-27 15:13 . 2011-02-12 06:14        267776        ----a-w-        c:\windows\system32\FXSCOVER.exe

2011-06-27 15:13 . 2011-05-03 05:21        976896        ----a-w-        c:\windows\system32\inetcomm.dll

2011-06-27 15:13 . 2011-05-03 04:50        740864        ----a-w-        c:\windows\SysWow64\inetcomm.dll

2011-06-25 12:59 . 2011-06-25 12:59        2106216        ----a-w-        c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll

2011-06-25 12:59 . 2011-06-25 12:59        1998168        ----a-w-        c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll

2011-06-12 18:45 . 2011-06-12 19:00        --------        d-----w-        C:\Kirill

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-01 08:40 . 2009-09-27 14:14        106488        ----a-w-        c:\windows\system32\drivers\GRD.sys

2011-06-30 09:19 . 2010-12-05 19:34        51576        ----a-w-        c:\windows\system32\drivers\HookCentre.sys

2011-06-30 09:19 . 2009-12-04 19:04        50040        ----a-w-        c:\windows\system32\drivers\GDBehave.sys

2011-06-30 09:19 . 2009-09-27 13:59        110456        ----a-w-        c:\windows\system32\drivers\MiniIcpt.sys

2011-06-30 09:18 . 2009-09-27 13:49        63864        ----a-w-        c:\windows\system32\drivers\gdwfpcd64.sys

2011-06-20 09:08 . 2011-05-14 08:08        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-04-09 16:55 . 2011-04-09 16:55        15453336        ----a-w-        c:\windows\SysWow64\xlive.dll

2011-04-09 16:55 . 2011-04-09 16:55        13642904        ----a-w-        c:\windows\SysWow64\xlivefnt.dll

2006-05-03 10:06        163328        --sha-r-        c:\windows\SysWOW64\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\SysWOW64\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\SysWOW64\nbDX.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{BA3295CF-17ED-4F49-9E95-D999A0ADBFDC}]

2011-03-24 07:28        229880        ----a-w-        c:\program files (x86)\Common Files\G DATA\AVKProxy\BanksafeBHO.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2008-10-28 1794048]

"GDFirewallTray"="c:\program files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe" [2011-05-20 1540616]

"HDAudDeck"="c:\program files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" [2009-06-05 2171904]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-06 102400]

"G Data AntiVirus Tray Application"="c:\program files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe" [2011-05-11 923144]

"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [x]

R3 GdNetMon;G Data Network Monitor;c:\windows\system32\drivers\GdNetMon64.sys [x]

R4 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-10-10 133104]

R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [x]

S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [x]

S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [x]

S1 gdwfpcd;G DATA WFP CD;c:\windows\system32\DRIVERS\gdwfpcd64.sys [x]

S1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2011-07-01 106488]

S1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AMD_RAIDXpert;AMD RAIDXpert;c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpertService.exe [2009-03-15 122880]

S2 AVKProxy;G Data AntiVirus Proxy;c:\program files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe [2011-05-25 1434632]

S2 AVKService;G Data Scheduler;c:\program files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe [2011-03-04 381448]

S2 AVKWCtl;G Data Dateisystem Wächter;c:\program files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlX64.exe [2011-05-26 1929104]

S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]

S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-04-15 2280312]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [x]

S3 GDFwSvc;G Data Personal Firewall;c:\program files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe [2011-05-27 1557816]

S3 GDPkIcpt;GDPkIcpt;c:\windows\system32\drivers\PktIcpt.sys [x]

S3 GDScan;G Data Scanner;c:\program files (x86)\Common Files\G DATA\GDScan\GDScan.exe [2011-05-20 368136]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [x]

.

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://google.de/

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Free YouTube Download - c:\users\Oliver\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\users\Oliver\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~3\OFFICE11\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files (x86)\ICQ7.5\ICQ.exe

TCP: DhcpNameServer = 192.168.0.1

FF - ProfilePath - c:\users\Oliver\AppData\Roaming\Mozilla\Firefox\Profiles\ck3pe577.default\

FF - prefs.js: browser.search.selectedEngine - dict.cc en<->de

FF - prefs.js: browser.startup.homepage - google.de

FF - user.js: yahoo.homepage.dontask - true

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

AddRemove-Worms Armageddon - c:\windows\IsUn0407.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-2456086448-1967686859-238135647-1000\Software\SecuROM\License information*]

"datasecu"=hex:22,62,93,43,9c,d7,25,49,58,49,d5,ea,d6,7a,6e,a8,2f,d6,25,fb,94,

   48,57,ac,2a,bb,18,cc,c4,de,cb,f1,57,40,41,c1,df,f8,ac,e3,cc,f7,3a,b4,fb,1a,\

"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\AMD\RAIDXpert\bin\RAIDXpert.exe

c:\program files (x86)\avmwlanstick\WlanNetService.exe

c:\program files (x86)\CDBurnerXP\NMSAccessU.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-07-06  23:04:06 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-07-06 21:04

.

Vor Suchlauf: 22 Verzeichnis(se), 215.064.293.376 Bytes frei

Nach Suchlauf: 28 Verzeichnis(se), 216.168.656.896 Bytes frei

.

- - End Of File - - 438E51E426D71FCAB8DB9DCAA3F6040D

--- --- ---

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Combofix hat zumindest - ob mehr weiß ich nicht . den Desktophintergrund und den Standardbrowser geändert..

Mein MBRCheck-Log, bitteschön!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Alles klar, werde ich jetzt tun und danach die Logs posten, vielen Dank!

Nur weißt du was all diese Tools genau verändert haben oder hat sich das wirklich nur auf das schwarze Desktophintergrundbild und den Standardbrowser verändern beschränkt? Bzw. was hat die "Bereinigung" von OTL gemacht?

Außerdem: Bei dem "Fix" von OTL konnten ja einige Dateien nicht gelöscht erden. Ist das jetzt schlimm und was bedeutet dies?

Und meine letzte Frage: Was genau wurde da jetzt von OTL gefixt, was hatte ich denn Schlimmes auf einem PC (kann jetzt wieder beruhigt Internet-Banking durchgeführt werden)??

Ich weiß: Viele Fragen, aber lass Dir Zeit, ich bin so dankbar über die Hilfe, udn Du bekommst ja gar nichts dafür - außer meinen Dank.

Lg
Yoshi08

Zitat:

Bzw. was hat die "Bereinigung" von OTL gemacht?

Mülleinträge gelöscht was genau steht im Script.

Zitat:

Ist das jetzt schlimm und was bedeutet dies?

Nein. Wenn OTL was nicht löschen kann ist das Objekt idR nicht mehr existent.