Trojaner-Board - Google leitet auf falsche Webseiten weiter (100ksearches.com)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google leitet auf falsche Webseiten weiter (100ksearches.com) (https://www.trojaner-board.de/101348-google-leitet-falsche-webseiten-100ksearches-com.html)

Google leitet auf falsche Webseiten weiter (100ksearches.com)

Hallo zusammen,

seit heute morgen habe ich folgendes Problem. Wenn ich über Google eine Seite anklicke, werde ich auf verschiedenste andere Seiten weitergeleitet, nur nicht auf die gewünschte. Oben in der Adresszeile bleibt die von mir gewünschte Seite stehen.
Unten kommt immer so eine Einblendung: Warten auch 100ksearches.com. Wenn ich eine Adresse direkt in die Adresszeile eingebe, funktioniert alles wie vorher, nur eben die Suche über Google nicht. Das Problem habe ich sowohl mit Firefox, wie auch mit dem IE.

Ich habe mir bereits "Malewarebytes" (der Komplett-Scan ergab nichts) und OTL heruntergeladen. Die Logfiles hänge ich an.

Ich habe zwar hier von Combo-Fix gelesen, was anscheinend oft bei diesem Problem angewandt wird, wollte dies aber nicht ohne euren Rat installieren und laufen lassen.

Für Hilfe wäre ich sehr, sehr dankbar!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hast du rein zufällig einen Router? Wenn ja wurde da das Adminpasswort geändert?
Wenn nicht, setz diesen Router auf Werkseinstellungen zurück und konfiguriere ihn neu. Wichtig ist, dass du das unsichere vordefinierte Adminkennwort zum Router änderst!

Danke erstmal für die Antwort!

Es gab noch eine Log-Datei: protection-log
Hier der Inhalt:
11:49:23 Wade Wilson MESSAGE Protection started successfully
11:49:28 Wade Wilson MESSAGE IP Protection started successfully
11:54:39 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 51321, Process: csrss.exe)
12:10:45 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 51728, Process: csrss.exe)
12:26:45 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 52077, Process: csrss.exe)
12:42:46 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 52223, Process: csrss.exe)
12:58:44 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 52376, Process: csrss.exe)
13:14:42 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 52704, Process: csrss.exe)
13:16:02 Wade Wilson MESSAGE Protection started successfully
13:16:07 Wade Wilson MESSAGE IP Protection started successfully
13:32:33 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49469, Process: csrss.exe)
13:48:36 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49762, Process: csrss.exe)
14:04:38 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49919, Process: csrss.exe)
14:20:32 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49948, Process: csrss.exe)
20:11:15 Wade Wilson MESSAGE Protection started successfully
20:11:19 Wade Wilson MESSAGE IP Protection started successfully
20:12:47 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49428, Process: csrss.exe)
20:28:53 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50275, Process: csrss.exe)

Router habe ich. Habe den jetzt nochmal neu konfiguriert und das Passwort geändert. Allerdings hab ich ihn direkt zurückgesetzt und vorher nicht mehr geschaut ob das Standardpasswort drin war. Kann ich also nicht mit Sicherheit sagen.

Gruß

Das Protection-Log ist eher nur prophylaktisch. hat Malwarebytes sonst keine malware gefunden? Hast du nur einen Durchlauf gemacht oder mehrere?

Habe nun nochmal einen Scan mit Malewarebytes gemacht, wurde wieder nichts gefunden.

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7143

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

16.07.2011 00:47:44
mbam-log-2011-07-16 (00-47-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 362541
Laufzeit: 54 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier noch protection-log:
00:13:37 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55261, Process: csrss.exe)
00:13:37 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55339, Process: csrss.exe)
00:29:39 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55476, Process: csrss.exe)
00:45:41 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55513, Process: csrss.exe)

Malewarebytes läuft ja nun auch im Hintergrund mit. Es blockt irgendwie auch Seitenzugriffe, wenn ich nicht mit einem Browser unterwegs bin. Wird zumindest so angezeigt. Ist das normal?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\Shell - "" = AutoRun

O33 - MountPoints2\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\Shell\AutoRun\command - "" = G:\autorun.exe

O33 - MountPoints2\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\Shell - "" = AutoRun

O33 - MountPoints2\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\Shell\AutoRun\command - "" = H:\AutoRun.exe

O33 - MountPoints2\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\Shell - "" = AutoRun

O33 - MountPoints2\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\Shell\AutoRun\command - "" = H:\Startme.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So, Fix durchgeführt...hier der Log:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0b31bcb6-ed11-11df-a5b0-88ae1d8b5c71}\ not found.
File G:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22bd818d-2493-11e0-8a0c-88ae1d8b5c71}\ not found.
File H:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d0eb201b-2f97-11e0-8b79-88ae1d8b5c71}\ not found.
File H:\Startme.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07162011_191653

Mir ist noch aufgefallen, das die Windows-Firewall zwischendurch immer mal abgeschaltet ist. Wenn ich die anschalten will, bzw. Einstellungen aktualisieren will, kommt bei der empfohlenen Einstellung folgende Fehlermeldung: 0x8007042c
Keine Ahnung ob das für die Fehlersuche wichtig ist, wollte es nur dazuschreiben.

Ansonsten schonmal vielen, vielen Dank für Deine (Eure) wirkliche Hilfe und die Zeit die ihr dafür opfert! :dankeschoen:

Der Online-Schutz von Antivir ist auch gerade abgeschaltet. Hatte ich gestern auch schonmal gesehen, nach einem Neustart war er aber wieder aktiv.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

TDSSKiller hab ich laufen lassen, hat nicht gefunden. Log ist im Anhang

Die unhide.exe ist durchgelaufen, aber auf der C-Partition sind die Ordner trotzdem noch gesperrt.

Zitat:

aber auf der C-Partition sind die Ordner trotzdem noch gesperrt.

Was normal sein kann, je nachdem was du mit dieser Aussage meinst.

Nun ja, das betrifft 4 Ordner: $Recycle.bin, Documents and Settings, Dokumente und Einstellungen und Programme. Verstehe auch nicht, dass die Ordner sowohl auf Englisch, wie auch auf Deutsch vorhanden sind (Programme gibt es auch 2x, einer davon ist gesperrt). Ich komme halt in die Ordner nicht rein, da kommt: Zugriff verweigert. Ich bin aber ja als Admin angemeldet. Die Berechtigungen kann ich auch nicht ändern.
Wenn ich über Start - meinen Benutzername gehe, dann komme ich aber auf die untergeordneten Ordner, z.B. Eigene Dokumente. Oder liegen die bei Win7 nicht mehr unter Dokumente und Einstellungen?

Sorry, wenn ich sehr dumme Fragen stelle und das nicht richtig beschreiben kann, hab mich lange nicht mit sowas beschäftigen müssen.

Das ist völlig normal so.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, ComboFix durchgeführt.

Hier das Logfile:

Combofix Logfile:

Code:

ComboFix 11-07-17.03 - Wade Wilson 17.07.2011  20:26:49.1.4 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3959.2720 [GMT 2:00]

ausgeführt von:: c:\users\Wade Wilson\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\hpeA64E.dll

c:\windows\security\Database\tmp.edb

c:\windows\system32\consrv.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-17 bis 2011-07-17  ))))))))))))))))))))))))))))))

.

.

2011-07-17 18:32 . 2011-07-17 18:32        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-07-16 17:16 . 2011-07-16 17:16        --------        d-----w-        C:\_OTL

2011-07-16 14:58 . 2011-07-16 14:58        --------        d-----r-        c:\users\Wade Wilson\AppData\Roaming\Brother

2011-07-15 11:26 . 2011-07-15 11:26        --------        d-----w-        c:\program files (x86)\7-Zip

2011-07-15 09:46 . 2011-07-15 09:46        --------        d-----w-        c:\users\Wade Wilson\AppData\Roaming\Malwarebytes

2011-07-15 09:43 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-07-15 09:43 . 2011-07-15 09:43        --------        d-----w-        c:\programdata\Malwarebytes

2011-07-15 09:43 . 2011-07-15 09:48        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-07-15 09:43 . 2011-07-06 17:52        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-15 08:58 . 2011-07-15 08:58        --------        d-----we        c:\windows\system64

2011-07-15 07:23 . 2011-06-07 17:10        8873296        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{2458D1B4-49EE-42C8-A488-1DB69B519F12}\mpengine.dll

2011-06-30 09:26 . 2011-06-30 09:26        0        ----a-w-        c:\users\Wade Wilson\AppData\Local\BIT6FD2.tmp

2011-06-29 17:59 . 2011-06-30 09:53        34624        ----a-w-        c:\windows\system32\TURegOpt.exe

2011-06-29 17:59 . 2011-06-30 09:46        25920        ----a-w-        c:\windows\system32\authuitu.dll

2011-06-29 17:59 . 2011-06-30 09:46        21312        ----a-w-        c:\windows\SysWow64\authuitu.dll

2011-06-29 17:59 . 2011-06-30 09:46        36160        ----a-w-        c:\windows\system32\uxtuneup.dll

2011-06-29 17:59 . 2011-06-30 09:46        29504        ----a-w-        c:\windows\SysWow64\uxtuneup.dll

2011-06-29 17:59 . 2011-06-29 17:59        --------        d-----w-        c:\users\Wade Wilson\AppData\Roaming\TuneUp Software

2011-06-29 17:58 . 2011-07-10 13:10        --------        d-----w-        c:\program files (x86)\TuneUp Utilities 2011

2011-06-29 17:56 . 2011-06-29 17:59        --------        d-----w-        c:\programdata\TuneUp Software

2011-06-29 17:56 . 2011-06-29 17:56        --------        d-sh--w-        c:\programdata\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}

2011-06-26 14:52 . 2011-06-26 14:52        2106216        ----a-w-        c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll

2011-06-26 14:52 . 2011-06-26 14:52        1998168        ----a-w-        c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll

2011-06-18 20:30 . 2011-06-18 20:30        --------        d-----w-        c:\windows\system32\SPReview

2011-06-18 20:28 . 2011-06-18 20:28        --------        d-----w-        c:\windows\system32\EventProviders

2011-06-18 20:21 . 2010-11-20 13:33        982912        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys

2011-06-18 20:20 . 2010-11-20 13:27        228864        ----a-w-        c:\windows\system32\wbem\wmiprov.dll

2011-06-18 20:17 . 2010-11-20 13:27        524288        ----a-w-        c:\windows\system32\wmicmiplugin.dll

2011-06-18 20:17 . 2010-11-20 13:27        529408        ----a-w-        c:\windows\system32\wbemcomn.dll

2011-06-18 20:17 . 2010-11-20 13:27        1225216        ----a-w-        c:\windows\system32\wbem\wbemcore.dll

2011-06-18 20:17 . 2010-11-20 13:27        933376        ----a-w-        c:\windows\system32\SmiEngine.dll

2011-06-18 20:17 . 2010-11-20 13:25        199168        ----a-w-        c:\windows\system32\PkgMgr.exe

2011-06-18 20:17 . 2010-11-20 13:26        422912        ----a-w-        c:\windows\system32\drvstore.dll

2011-06-18 20:17 . 2010-11-20 13:26        399872        ----a-w-        c:\windows\system32\dpx.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-02 09:40 . 2010-10-22 10:40        88288        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-07-02 09:40 . 2010-10-22 10:40        123784        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-06-18 20:35 . 2009-07-14 02:36        152576        ----a-w-        c:\windows\SysWow64\msclmd.dll

2011-06-18 20:35 . 2009-07-14 02:36        175616        ----a-w-        c:\windows\system32\msclmd.dll

2011-06-03 05:57 . 2011-07-13 06:19        44032        ----a-w-        c:\windows\apppatch\acwow64.dll

2011-05-28 03:30 . 2011-06-16 00:56        1638912        ----a-w-        c:\windows\system32\mshtml.tlb

2011-05-28 02:53 . 2011-06-16 00:56        1638912        ----a-w-        c:\windows\SysWow64\mshtml.tlb

2011-05-24 17:14 . 2010-10-22 11:06        270720        ------w-        c:\windows\system32\MpSigStub.exe

2011-05-13 15:47 . 2010-10-23 18:51        952        --sha-w-        c:\programdata\KGyGaAvL.sys

2011-05-04 02:52 . 2010-11-07 10:55        472808        ----a-w-        c:\windows\SysWow64\deployJava1.dll

2011-05-03 05:29 . 2011-06-16 00:49        976896        ----a-w-        c:\windows\system32\inetcomm.dll

2011-05-03 04:30 . 2011-06-16 00:49        741376        ----a-w-        c:\windows\SysWow64\inetcomm.dll

2011-04-29 03:06 . 2011-06-16 00:53        467456        ----a-w-        c:\windows\system32\drivers\srv.sys

2011-04-29 03:05 . 2011-06-16 00:53        410112        ----a-w-        c:\windows\system32\drivers\srv2.sys

2011-04-29 03:05 . 2011-06-16 00:53        168448        ----a-w-        c:\windows\system32\drivers\srvnet.sys

2011-04-27 02:40 . 2011-06-16 00:56        158208        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-27 02:39 . 2011-06-16 00:56        289280        ----a-w-        c:\windows\system32\drivers\mrxsmb10.sys

2011-04-27 02:39 . 2011-06-16 00:56        128000        ----a-w-        c:\windows\system32\drivers\mrxsmb20.sys

2011-04-25 05:33 . 2011-06-16 00:57        1923968        ----a-w-        c:\windows\system32\drivers\tcpip.sys

2011-04-25 02:34 . 2011-06-16 00:57        499200        ----a-w-        c:\windows\system32\drivers\afd.sys

2011-04-22 22:15 . 2011-05-25 06:44        27520        ----a-w-        c:\windows\system32\drivers\Diskdump.sys

2011-04-22 22:08 . 2011-06-16 00:56        1188864        ----a-w-        c:\windows\system32\wininet.dll

2011-04-22 19:10 . 2011-06-16 00:56        981504        ----a-w-        c:\windows\SysWow64\wininet.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-04-13 284696]

"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2010-03-08 260608]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-22 98304]

"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-04-08 908368]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-10 281768]

"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]

"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"midi2"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe"

"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-05 136176]

R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files (x86)\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]

R2 RS_Service;Raw Socket Service;c:\program files (x86)\Acer\Acer VCM\RS_Service.exe [2010-01-29 260640]

R3 ALSysIO;ALSysIO;c:\users\WADEWI~1\AppData\Local\Temp\ALSysIO64.sys [x]

R3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys [x]

R3 ATHDFU;Atheros Valkyrie USB BootROM;c:\windows\system32\Drivers\AthDfu.sys [x]

R3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys [x]

R3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys [x]

R3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys [x]

R3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys [x]

R3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys [x]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-05 136176]

R3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]

R3 NETw5s64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [x]

R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-11-06 50432]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]

R3 s1029bus;Sony Ericsson Device 1029 driver (WDM);c:\windows\system32\DRIVERS\s1029bus.sys [x]

R3 s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1029mdfl.sys [x]

R3 s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1029mdm.sys [x]

R3 s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1029mgmt.sys [x]

R3 s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1029nd5.sys [x]

R3 s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1029obex.sys [x]

R3 s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1029unic.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 TurboBoost;TurboBoost;c:\program files\Intel\TurboBoost\TurboBoost.exe [2009-11-02 126352]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]

R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-02 136360]

S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Bluetooth Suite\adminservice.exe [2010-04-01 34392]

S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-04-08 312400]

S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe [2010-04-23 867360]

S2 GREGService;GREGService;c:\program files (x86)\Acer\Registration\GREGsvc.exe [2010-01-08 23584]

S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-04-13 13336]

S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2010-03-08 250368]

S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-11-06 144640]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe [2011-06-30 2027840]

S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [x]

S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-18 2320920]

S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2010-01-28 243232]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [x]

S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]

S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [2011-06-06 11856]

.

.

Inhalt des "geplante Tasks" Ordners

.

2011-07-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-05 23:33]

.

2011-07-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-05 23:33]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-01-29 10038304]

"AtherosBtStack"="c:\program files (x86)\Bluetooth Suite\BtvStack.exe" [2010-04-01 558168]

"AthBtTray"="c:\program files (x86)\Bluetooth Suite\AthBtTray.exe" [2010-04-23 349344]

"Acer ePower Management"="c:\program files\Acer\Acer ePower Management\ePowerTray.exe" [2010-04-23 861216]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=travelmate_5740g&r=27361010n245l0424z185x4732m37q

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=travelmate_5740g&r=27361010n245l0424z185x4732m37q

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~2\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Wade Wilson\AppData\Roaming\Mozilla\Firefox\Profiles\chcaac9p.default\

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: network.http.max-persistent-connections-per-server - 4

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

Toolbar-Locked - (no file)

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2011-07-17  20:36:59

ComboFix-quarantined-files.txt  2011-07-17 18:36

.

Vor Suchlauf: 12 Verzeichnis(se), 58.462.285.824 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 58.213.863.424 Bytes frei

.

- - End Of File - - 456E89B168C09DED82022FCB83EEC938

--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Diesmal wurde was gefunden, hier das Logfile:

aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software
Run date: 2011-07-18 08:05:05
-----------------------------
08:05:05.304 OS Version: Windows x64 6.1.7601 Service Pack 1
08:05:05.304 Number of processors: 4 586 0x2505
08:05:05.304 ComputerName: CABLE UserName:
08:05:09.360 Initialize success
08:08:47.928 AVAST engine defs: 11071702
08:09:11.047 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
08:09:11.047 Disk 0 Vendor: WDC_WD64 01.0 Size: 610480MB BusType: 3
08:09:11.062 Disk 0 MBR read successfully
08:09:11.062 Disk 0 MBR scan
08:09:11.094 Disk 0 Windows 7 default MBR code
08:09:11.094 Service scanning
08:09:12.030 Disk 0 trace - called modules:
08:09:12.045 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
08:09:12.045 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800524d060]
08:09:12.045 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004fcb050]
08:09:14.167 AVAST engine scan C:\Windows
08:09:16.179 AVAST engine scan C:\Windows\system32
08:09:25.602 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen
08:10:39.265 AVAST engine scan C:\Windows\system32\drivers
08:10:48.422 AVAST engine scan C:\Users\Wade Wilson
08:33:41.928 AVAST engine scan C:\ProgramData
08:37:41.180 Scan finished successfully
08:39:48.065 Disk 0 MBR has been saved successfully to "C:\Users\Wade Wilson\Desktop\MBR.dat"
08:39:48.071 The log file has been saved successfully to "C:\Users\Wade Wilson\Desktop\aswMBR.txt"

Gestern nach dem Combofix gingen die Google Weiterleitungen übrigens kurzfristig normal. Nach einem Neustart mußte ich allerdings die Systemwiederherstellung durchführen, da Windows nicht gestartet werden konnte.
Das Problem mit der ausgeschalteten Firewall bestand sowohl davor als auch danach.
Habe eben nochmal n paar mal Google getestet. Jetzt geht er schon wieder über dieses 100ksearches.com

Hast du rein zufällig einen Router? Wenn ja wurde da das Adminpasswort geändert?
Wenn nicht, setz diesen Router auf Werkseinstellungen zurück und konfiguriere ihn neu. Wichtig ist, dass du das unsichere vordefinierte Adminkennwort zum Router änderst!

Das hatte ich doch auf deinen Rat hin schon getan.

Ich bin mittlerweile ziemlich am verzweifeln. Bei jedem Start macht er nun eine Systemwiederherstellung, was ziemlich viel Zeit in Anspruch nimmt.

Um das Problem endgültig zu lösen, würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Oder müsste ich alles platt machen? Was wäre in diesem Fall mit meinen Daten? Sind die auch infiziert?

Gruß
Wade

Formatieren kannst immer noch. Mach erstmal zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, hier das SUPERAntiSpyware Log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/19/2011 at 10:09 AM

Application Version : 4.55.1000

Core Rules Database Version : 7422
Trace Rules Database Version: 5234

Scan type : Complete Scan
Total Scan Time : 01:48:15

Memory items scanned : 659
Memory threats detected : 0
Registry items scanned : 14071
Registry threats detected : 0
File items scanned : 159570
File threats detected : 62

Adware.Tracking Cookie
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad3.adfarm1.adition[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@smartadserver[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@unitymedia[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@tradedoubler[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@content.yieldmanager[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@content.yieldmanager[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad.yieldmanager[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@doubleclick[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adx.chip[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@atdmt[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad.zanox[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@imrworldwide[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@mediaplex[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@mediabrandsww[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@traffictrack[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@atwola[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adform[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ru4[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adxpose[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@tracking.quisma[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad2.adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@www.zanox-affiliate[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zanox-affiliate[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ads.medienhaus[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@apmebf[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@serving-sys[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ads.creative-serving[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@webmasterplan[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@track.adform[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@ad4.adfarm1.adition[3].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zbox.zanox[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@zanox[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@eyewonder[2].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@invitemedia[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@sevenoneintermedia.112.2o7[1].txt
C:\Users\Wade Wilson\AppData\Roaming\Microsoft\Windows\Cookies\wade_wilson@media6degrees[2].txt
advertising.ingame.de [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
beta.naked.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
cdn1.static.pornhub.phncdn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
counter.cam-content.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
de.pornhub.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
ia.media-imdb.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media.mtvnservices.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media.scanscout.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
media1.break.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
multimedia.pierrevogel.co [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
pubhdstats2.msvp.net [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
s0.2mdn.net [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
secure-us.imrworldwide.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
static.discoverymedia.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
userporn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
vidii.hardsextube.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.adserv3.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.adservercentral.info [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.ardmediathek.de [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.berlinfuckingcity.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.deinsexdate.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.naiadsystems.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.pornhub.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.sex.ch [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]
www.userporn.com [ C:\Users\Wade Wilson\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Q7XNWM24 ]

Leider habe ich einfach weitergeklickt und er hat die Files bereits entfernt.

Hier noch der Malewarebytes-Log:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7192

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

18.07.2011 23:14:18
mbam-log-2011-07-18 (23-14-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (H:\|)
Durchsuchte Objekte: 176712
Laufzeit: 4 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Dieses Online-Tool habe ich jetzt noch nicht durchlaufen lassen, da ich keine Zeit hatte. Vielleicht schaffe ich es heute abend.
Nochmal zur weiteren Info: Malewarebytes blockt ständig einen Seitenzugriff, ausgehend von der csrss.exe. Die Ports varieren, die IP ist anscheinend immer dieselbe. Nachzulesen acuh in der Protection-log (von heute):

00:07:47 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55304, Process: csrss.exe)
00:23:48 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 55421, Process: csrss.exe)
08:15:21 Wade Wilson MESSAGE Protection started successfully
08:15:25 Wade Wilson MESSAGE IP Protection started successfully
08:17:00 Wade Wilson MESSAGE Scheduled update executed successfully
08:17:35 Wade Wilson MESSAGE IP Protection stopped
08:17:36 Wade Wilson MESSAGE Database updated successfully
08:17:37 Wade Wilson MESSAGE IP Protection started successfully
08:29:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49854, Process: csrss.exe)
08:45:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49984, Process: csrss.exe)
09:01:35 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50171, Process: csrss.exe)
09:17:36 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50341, Process: csrss.exe)
09:33:38 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50414, Process: csrss.exe)
09:49:39 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50605, Process: csrss.exe)
10:05:42 Wade Wilson IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50735, Process: csrss.exe)

Aber nochmal zu meiner gestellten Frage: Würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Ich glaube das wäre einfacher und vor allem schneller. Allein der letzte Scan hat 1,5h gedauert. Ich kanns mir im Moment nicht leisten so lang auf das Gerät zu verzichten, da ich mitten in meiner Prüfungsphase stecke und meine Bachelor-Arbeit schreiben muss.

Zitat:

08:09:25.602 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen

Oh, den hier seh ich gerade. Müsste das tolle 64-Bit-Rootkit ZeroAccess sein :balla:
Hast du eine Ubuntu-CD zur Hand?

Nope, habe ich nicht. Was ist das?

Bin mal deinem Link gefolgt...da steht, auf ein nicht verseuchtes System runterladen. Habe aber leider keinen Alternativrechner. Kann ich das dann direkt vergessen?

Und nochmal die Frage:
Würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Ich glaube das wäre einfacher und vor allem schneller.

Zitat:

Bin mal deinem Link gefolgt...da steht, auf ein nicht verseuchtes System runterladen. Habe aber leider keinen Alternativrechner. Kann ich das dann direkt vergessen?

Nach Möglichkeit sollte man natürlich einen sauberen Rechner nehmen, aber im Notfall kann man die CD auch unter diesem Windows brennen. Ich glaub kaum, dass Windows-Schädlinge sich in das ISO von Ubuntu einnisten.

Zitat:

Und nochmal die Frage:
Würde es reichen die Systempartition zu formatieren und Windows neu aufzuspielen? Ich glaube das wäre einfacher und vor allem schneller.

Ja, wenn du das hier beenden willst ja.

Wie geht es denn weiter wenn ich die Ubuntu cd hab?

Ich würde vorschlagen, du sicherst damit erstmal alle relevanten noch ungesicherten Daten auf eine externe Platte. Sichern unter Ubuntu, weil Windows infiziert ist und die Schädlinge den Vorgang beeinflussen können.

Danach dachte ich mir, du benennst unter Ubuntu die Datei consrv.dll im Ordner Windows\System32 um in consrv.dll.vir, bootest den Rechner anschließend direkt von der Windows-DVD um den MBR neu zu schreiben - ich weiß aber noch nicht, ob das gegen den ZeroAccess hilft, der ist nämlich hier erst ein oder zweimal vorgekommen.

Hier die Anleitung für das Neuerstellen des MBR:

Hast Du noch andere Betriebssysteme außer Win7 (64-Bit) installiert?
Wenn nicht: Schau mal hier => RescueDisc-Win7-64-Bit

Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Erstell danach wieder neue Logs mit MBRCheck und wenn es geht GMER.