Trojaner-Board - Windowssystem blockiert 50 euro virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windowssystem blockiert 50 euro virus (https://www.trojaner-board.de/109505-windowssystem-blockiert-50-euro-virus.html)

Piccolina

09.02.2012 20:33

Windowssystem blockiert 50 euro virus

Hallo,

Auch mein pc wurde leider von dem 50euro virus befallen. Das problem ist, dass sich das fenster meist direkt nach dem start öffnet, wenn wlan eingeschaltet ist und ich dann nichts mehr machen kann. Habe einen scan mit meinem virenprogramm pc tools durchgeführt, er hat auch einen trojaner gefunden und ihn auch angeblich entfernt, es kommt trotzdem immer wieder und bei einem erneuten scan findet er auch den gleichen wieder...
Nun habe ich bei den anderen usern mit dem gleichen problem gelesen, sie sollen sich ein programm runterladen. Nur wie soll das funktionieren wenn beim einschalten gleich das fenster kommt....
Ich bin am verzweifeln und es wäre total lieb wenn ihr mir helfen könntet.

Lg Meike

Larusso

11.02.2012 05:21

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows

Starte den Rechner neu auf.
Sobald du den Rechner das erste mal piepen hörst, drücke die F8 Taste. ( Dies kann von System zu System variieren )
Windows wird dir ein Auswahlmenu geben anstatt sich normal zu starten.
Wähle hier Abgesicherter Modus mit Netzwerktreibern und drücke Enter.

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr

Schließe alle laufenden Programme.
Starte DDS mit Doppelklick.
Es wird 2 Logfiles erstellen.
- dds.txt
- attach.txt
Speichere beide Logfiles auf deinem Desktop
Poste beide Logfiles hier.

Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt

Piccolina

11.02.2012 17:22

Hallo Daniel,

danke für deine schnelle Antwort und vor allem deine Hilfe!
Ich habe die ersten Anweisungen jetzt ausgeführt und poste jetzt die beiden Logfiles:

dds.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK
Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_24
Run by Meike at 17:16:38 on 2012-02-11
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.2693 [GMT 1:00]
.
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uInternet Settings,ProxyOverride = *.local
mSearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395
uURLSearchHooks: H - No File
uURLSearchHooks: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
uWinlogon: shell=c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe,Explorer.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: PC Tools Browser Guard BHO: {2a0f3d1b-0909-4ff4-b272-609cce6054e7} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
BHO: CescrtHlpr Object: {2eecd738-5844-4a99-b4b6-146bf802613b} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\bh\BabylonToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Babylon Toolbar: {98889811-442d-49dd-99d7-dc866be87dbc} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarTlbr.dll
TB: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
TB: toolplugin: {dfefcdee-cf1a-4fc8-89af-189327213627} - c:\users\meike\appdata\roaming\toolplugin\toolbar.dll
uRun: [ICQ] "c:\program files\icq7.4\ICQ.exe" silent loginmode=4
uRun: [utilopen] c:\programdata\utilopen.exe
uRun: [paintgraf] c:\users\meike\appdata\roaming\paintgraf.exe
uRun: [Firefox helper] c:\users\meike\appdata\local\mozilla\firefox\firefox.exe
uRun: [InetAccelerator] c:\users\meike\appdata\roaming\inetaccelerator\InetAccelerator.exe
uRun: [{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5}] c:\users\meike\appdata\roaming\keyf\wuilo.exe
mRun: [PCTools FGuard] c:\program files\pc tools security\bdt\FGuard.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [BabylonToolbar] "c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun
mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [ISTray] "c:\program files\pc tools security\pctsGui.exe" /hideGUI
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [PDFPrint] c:\program files\pdf24\pdf24.exe
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
StartupFolder: c:\users\meike\appdata\roaming\microsoft\windows\start menu\programs\startup\dxdiag.exe
StartupFolder: c:\users\meike\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: c:\program files\common files\pc tools\lsp\PCTLsp.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{7612030D-1ABD-490D-90D4-EA366DCBEDFC} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{79598063-2EC6-4A2F-B9B5-6657F933947F} : DhcpNameServer = 192.168.2.1
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - component: c:\program files\pc tools security\bdt\firefox\platform\winnt_x86-msvc\components\libheuristic.dll
FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components\XPATLCOM.dll
FF - component: c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\extensions\ffxtlbr@babylon.com\components\FFHst.dll
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2011-3-8 239168]
R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2011-3-8 338880]
R0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2011-3-8 656320]
R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2011-3-8 251560]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
R3 pctNdisMP;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2007-8-3 9344]
R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-13 311296]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2011-3-8 51984]
S0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2011-3-8 69392]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\pc tools security\bdt\BDTUpdateService.exe [2011-3-8 247760]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2011-3-8 160448]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\pc tools security\pctsAuxs.exe [2011-3-8 366840]
S2 sdCoreService;PC Tools Security Service;c:\program files\pc tools security\pctsSvc.exe [2011-3-8 1150936]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-9-19 245760]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\drivers\KMWDFILTER.sys [2009-4-29 25088]
S3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-3-8 89472]
S3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
S3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2011-3-8 125248]
S3 pctplsg;pctplsg;c:\windows\system32\drivers\pctplsg.sys [2011-3-8 70536]
S3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2011-3-8 33552]
S3 ThreatFire;ThreatFire;c:\program files\pc tools security\tfengine\tfservice.exe service --> c:\program files\pc tools security\tfengine\TFService.exe service [?]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920]
.
=============== Created Last 30 ================
.
2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Keyf
2012-02-07 16:55:45 -------- d-----w- c:\users\meike\appdata\roaming\Bici
2012-02-07 16:55:45 -------- d-----w- c:\programdata\F4D55F3B00016B33000B3823A60145BE
2012-02-04 22:18:00 -------- d-----w- c:\users\meike\appdata\roaming\InetAccelerator
2012-02-04 22:18:00 -------- d-----w- c:\programdata\InetAccelerator
2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Quryg
2012-02-04 21:57:13 -------- d-----w- c:\users\meike\appdata\roaming\Ofsya
2012-02-04 21:57:11 103432 ----a-w- c:\users\meike\appdata\roaming\paintgraf.exe
2012-02-04 21:57:11 103432 ----a-w- c:\programdata\utilopen.exe
2012-01-31 15:32:52 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2012-01-31 15:32:50 224768 ----a-w- c:\windows\system32\schannel.dll
2012-01-31 15:32:45 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32:43 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-01-31 15:32:37 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32:33 314368 ----a-w- c:\windows\system32\webio.dll
2012-01-31 15:32:30 99840 ----a-w- c:\windows\system32\sspicli.dll
2012-01-31 15:32:30 22528 ----a-w- c:\windows\system32\lsass.exe
2012-01-31 15:32:29 22016 ----a-w- c:\windows\system32\secur32.dll
2012-01-31 15:32:29 15360 ----a-w- c:\windows\system32\sspisrv.dll
.
==================== Find3M ====================
.
2012-02-04 22:08:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23:31 2340352 ----a-w- c:\windows\system32\win32k.sys
2011-11-19 14:06:13 67072 ----a-w- c:\windows\system32\packager.dll
2011-11-17 05:41:38 1288984 ----a-w- c:\windows\system32\ntdll.dll
.
============= FINISH: 17:17:53,29 ===============

attach.txt:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 08.03.2011 18:34:28
System Uptime: 11.02.2012 17:09:13 (0 hours ago)
.
Motherboard: Sony Corporation | | VAIO
Processor: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz | N/A | 2094/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 229,836 GiB free.
D: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: TfSysMon
Device ID: ROOT\LEGACY_TFSYSMON\0000
Manufacturer:
Name: TfSysMon
PNP Device ID: ROOT\LEGACY_TFSYSMON\0000
Service: TFSysMon
.
Class GUID:
Description: Basissystemgerät
Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Manufacturer:
Name: Basissystemgerät
PNP Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Service:
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: Security Processor Loader Driver
Device ID: ROOT\LEGACY_SPLDR\0000
Manufacturer:
Name: Security Processor Loader Driver
PNP Device ID: ROOT\LEGACY_SPLDR\0000
Service: spldr
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: TfFsMon
Device ID: ROOT\LEGACY_TFFSMON\0000
Manufacturer:
Name: TfFsMon
PNP Device ID: ROOT\LEGACY_TFFSMON\0000
Service: TfFsMon
.
==== System Restore Points ===================
.
RP91: 02.09.2011 11:37:41 - Windows Update
RP92: 09.09.2011 16:39:55 - Windows Update
RP93: 09.09.2011 19:29:21 - Windows Update
RP94: 19.09.2011 19:14:42 - Windows Update
RP95: 12.10.2011 21:26:40 - Windows Update
RP96: 18.10.2011 19:43:15 - Installed iTunes
RP97: 27.10.2011 14:58:41 - Windows Update
RP98: 02.11.2011 19:15:13 - Windows Update
RP99: 14.11.2011 20:13:19 - Windows Update
RP100: 15.11.2011 19:40:57 - Windows Update
RP101: 19.12.2011 20:11:47 - Windows Update
RP102: 19.12.2011 20:28:53 - Windows Update
RP103: 11.01.2012 19:20:55 - Windows Update
RP104: 16.01.2012 18:49:02 - Windows Update
RP105: 16.01.2012 19:03:18 - Windows Update
RP106: 02.02.2012 11:33:04 - Windows Update
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
7-Zip 9.20
Adobe Flash Player 10 Plugin
Adobe Flash Player 11 ActiveX
Adobe Reader X (10.1.1) - Deutsch
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Babylon toolbar
Bonjour
Brother MFL-Pro Suite DCP-J315W
Browser Defender 3.0
Google Earth Plug-in
Google Update Helper
ICQ7.5
iTunes
Java Auto Updater
Java(TM) 6 Update 24
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 8.0.1 (x86 de)
PC Tools Internet Security 8.0
PDF24 Creator 3.7.0
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2553089)
Security Update for 2007 Microsoft Office System (KB2553090)
Security Update for 2007 Microsoft Office System (KB2584063)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
Surf & E-Mail-Stick
toolplugin
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 System (KB2539530)
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
Update for Microsoft Office OneNote 2007 (KB980729)
VLC media player 1.1.7
Windows Movie Maker 2.6
WinFunktion Mathematik plus 18
.
==== End Of File ===========================

Viele Grüße
Meike

Larusso

11.02.2012 20:25

Da ist ein bisschen mehr zu tun.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

@echo off

for %%G in (

c:\users\meike\appdata\local\mozilla\firefox\firefox.exe

c:\users\meike\appdata\roaming\keyf\wuilo.exe

) do (

del /a /f /q %%g

)

echo Erledigt, Rechner neu starten.

del %0

Wähle Datei --> Speichern unter
Dateiname: file.bat
Dateityp: Wähle Alle Dateien (*.*)
Speichere die Datei auf deinem Desktop.

Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
Starte die file.bat.

Vista und Win7 User: Mit Rechtsklick "als Administrator starten"

Dauert nur ein paar Sekunden. Solltest dann den Rechner wieder normal starten können.

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste in deiner nächsten Antwort
gmer.txt

Piccolina

12.02.2012 10:32

Hallo Daniel,

Habe ein kleines Problem bei den Anweisungen. Ich habe wieder in diesem abgesicherten modus mit netzwerk gestartet und dann windows +r gedrückt, alles eingegeben und gespeichert. Wenn ich die datei dann als administrator ausgeführt habe, ist sie vom desktop verschwunden und es ist auch nichts passiert. Naja ich dachte vielleicht muss es so und habe dann wie du geschrieben hast den rechner neu und normal gestartet, um mir das angegebene programm zu laden. Allerdings kam dann direkt wieder dieses 50 euro bild.
Hast du eine idee was ich falsch gemacht haben könnte mit dieser datei,woran es liegt und wie ich es nochmal versuchen sollte?
Danke :)

Larusso

12.02.2012 17:08

Okay, dann hat die Batch zu wenig Power.

Starte bitte erneut in den abgesicherten Modus und lass Gmer laufen.

Piccolina

12.02.2012 19:00

Hallo,
habe es soweit alles durchgeführt, jetzt hat es auch geklappt mit dem abgesichertem modus. ich poste jetzt gmer.txt:

GMER Logfile:

Code:

GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover

Rootkit scan 2012-02-12 18:57:03

Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK3255GSX rev.FG010A

Running: 4w78dub4.exe; Driver: C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateProcess [0x8A828F68]

SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateProcessEx [0x8A829230]

SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwCreateUserProcess [0x8A82952C]

SSDT            \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                     ZwTerminateProcess [0x8A8289D8]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                  820855D9 1 Byte  [06]

.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                           820AA092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

.text           ntkrnlpa.exe!RtlSidHashLookup + 35C                                                              820B199C 8 Bytes  [68, 8F, 82, 8A, 30, 92, 82, ...]

.text           ntkrnlpa.exe!RtlSidHashLookup + 394                                                              820B19D4 4 Bytes  [2C, 95, 82, 8A]

.text           ntkrnlpa.exe!RtlSidHashLookup + 7E8                                                              820B1E28 4 Bytes  [D8, 89, 82, 8A]

?               \Device\Harddisk0\Partition2\Windows\system32\drivers\PctWfpFilter.sys                           Das System kann den angegebenen Pfad nicht finden. !

?               C:\Users\Meike\AppData\Local\Temp\ugloypoc.sys                                                   Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

Device          \Driver\ACPI_HAL \Device\00000051                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 

AttachedDevice  \Driver\tdx \Device\Tcp                                                                          pctgntdi.sys

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

AttachedDevice  \Driver\tdx \Device\Udp                                                                          pctgntdi.sys

AttachedDevice  \Driver\tdx \Device\RawIp                                                                        pctgntdi.sys
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde                      

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9         0x64 0x81 0x94 0x30 ...

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb         0x99 0xBC 0x60 0xB8 ...

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@74a722d0e8d9             0x64 0x81 0x94 0x30 ...

Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0024338aebde@0025478a81bb             0x99 0xBC 0x60 0xB8 ...
 

---- EOF - GMER 1.0.15 ----

--- --- ---

lg meike

Larusso

12.02.2012 20:22

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste in deiner nächsten Antwort
Combofix.txt

Piccolina

13.02.2012 19:52

Einmal die Auswertung von Combofix:

Combofix Logfile:

Code:

ComboFix 12-02-13.01 - Meike 13.02.2012  19:29:55.1.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2469 [GMT 1:00]

ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe

AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}

FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}

SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\InetAccelerator

c:\programdata\InetAccelerator\InetAccelerator.exe

c:\programdata\utilopen.exe

c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe

c:\users\Meike\AppData\Roaming\Keyf

c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe

c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe

c:\users\Meike\AppData\Roaming\paintgraf.exe

c:\users\Meike\AppData\Roaming\Quryg

c:\users\Meike\AppData\Roaming\Quryg\evyce.iln

c:\users\Meike\AppData\Roaming\toolplugin\toOLbar.dll

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-13 bis 2012-02-13  ))))))))))))))))))))))))))))))

.

.

2012-02-13 18:38 . 2012-02-13 18:38        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-02-07 16:55 . 2012-02-12 20:32        --------        d-----w-        c:\users\Meike\AppData\Roaming\Bici

2012-02-07 16:55 . 2012-02-07 16:55        --------        d-----w-        c:\programdata\F4D55F3B00016B33000B3823A60145BE

2012-02-04 22:18 . 2012-02-07 15:27        --------        d-----w-        c:\users\Meike\AppData\Roaming\InetAccelerator

2012-02-04 21:57 . 2012-02-04 21:57        --------        d-----w-        c:\users\Meike\AppData\Roaming\Ofsya

2012-01-31 15:32 . 2011-11-17 05:38        1037312        ----a-w-        c:\windows\system32\lsasrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        224768        ----a-w-        c:\windows\system32\schannel.dll

2012-01-31 15:32 . 2011-11-17 05:48        134000        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2012-01-31 15:32 . 2011-11-17 05:42        369352        ----a-w-        c:\windows\system32\drivers\cng.sys

2012-01-31 15:32 . 2011-11-17 05:48        67440        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2012-01-31 15:32 . 2011-11-17 05:39        314368        ----a-w-        c:\windows\system32\webio.dll

2012-01-31 15:32 . 2011-11-17 05:39        99840        ----a-w-        c:\windows\system32\sspicli.dll

2012-01-31 15:32 . 2011-11-17 05:36        22528        ----a-w-        c:\windows\system32\lsass.exe

2012-01-31 15:32 . 2011-11-17 05:39        15360        ----a-w-        c:\windows\system32\sspisrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        22016        ----a-w-        c:\windows\system32\secur32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-04 22:08 . 2011-06-05 15:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-11-24 04:23 . 2011-12-19 19:19        2340352        ----a-w-        c:\windows\system32\win32k.sys

2011-11-19 14:06 . 2012-01-11 18:20        67072        ----a-w-        c:\windows\system32\packager.dll

2011-11-17 05:41 . 2012-01-11 18:19        1288984        ----a-w-        c:\windows\system32\ntdll.dll

2011-12-12 18:04 . 2011-09-10 08:38        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

"BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]

"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]

.

c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService"

.

R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]

R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]

R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]

R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]

R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]

R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]

R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]

R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]

S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]

S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]

S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]

S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]

S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]

S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe

LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\

FF - prefs.js: browser.search.selectedEngine - Search the web

FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-utilopen - c:\programdata\utilopen.exe

HKCU-Run-paintgraf - c:\users\Meike\AppData\Roaming\paintgraf.exe

HKCU-Run-Firefox helper - c:\users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe

HKCU-Run-InetAccelerator - c:\users\Meike\AppData\Roaming\InetAccelerator\InetAccelerator.exe

HKCU-Run-{9F2A7E01-4CDB-2501-0C13-FCD563D42DC5} - c:\users\Meike\AppData\Roaming\Keyf\wuilo.exe

AddRemove-toolplugin - c:\users\Meike\AppData\Local\Temp\WZSE0.TMP\setup.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-02-13  19:44:30

ComboFix-quarantined-files.txt  2012-02-13 18:44

.

Vor Suchlauf: 5 Verzeichnis(se), 247.031.480.320 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 247.052.132.352 Bytes frei

.

- - End Of File - - CA123E37F6A3757B98F8BD5F353ED60E

--- --- ---

LG

Larusso

13.02.2012 21:13

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

DirLook::

c:\users\Meike\AppData\Roaming\Bici

Folder::

c:\users\Meike\AppData\Roaming\Ofsya

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BabylonToolbar"=-

DDS::

uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395

FireFox::

FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\

FF - prefs.js: browser.search.selectedEngine - Search the web

FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Bitte poste in deiner nächsten Antwort
Combofix.txt

Piccolina

15.02.2012 18:28

So einmal den Logfile:

Combofix Logfile:

Code:

ComboFix 12-02-15.01 - Meike 15.02.2012  18:14:10.2.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2671 [GMT 1:00]

ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe

AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}

FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}

SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-15 bis 2012-02-15  ))))))))))))))))))))))))))))))

.

.

2012-02-15 17:22 . 2012-02-15 17:22        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-02-07 16:55 . 2012-02-12 20:32        --------        d-----w-        c:\users\Meike\AppData\Roaming\Bici

2012-02-07 16:55 . 2012-02-07 16:55        --------        d-----w-        c:\programdata\F4D55F3B00016B33000B3823A60145BE

2012-02-04 22:18 . 2012-02-07 15:27        --------        d-----w-        c:\users\Meike\AppData\Roaming\InetAccelerator

2012-02-04 21:57 . 2012-02-04 21:57        --------        d-----w-        c:\users\Meike\AppData\Roaming\Ofsya

2012-01-31 15:32 . 2011-11-17 05:38        1037312        ----a-w-        c:\windows\system32\lsasrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        224768        ----a-w-        c:\windows\system32\schannel.dll

2012-01-31 15:32 . 2011-11-17 05:48        134000        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2012-01-31 15:32 . 2011-11-17 05:42        369352        ----a-w-        c:\windows\system32\drivers\cng.sys

2012-01-31 15:32 . 2011-11-17 05:48        67440        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2012-01-31 15:32 . 2011-11-17 05:39        314368        ----a-w-        c:\windows\system32\webio.dll

2012-01-31 15:32 . 2011-11-17 05:39        99840        ----a-w-        c:\windows\system32\sspicli.dll

2012-01-31 15:32 . 2011-11-17 05:36        22528        ----a-w-        c:\windows\system32\lsass.exe

2012-01-31 15:32 . 2011-11-17 05:39        15360        ----a-w-        c:\windows\system32\sspisrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        22016        ----a-w-        c:\windows\system32\secur32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-04 22:08 . 2011-06-05 15:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-11-24 04:23 . 2011-12-19 19:19        2340352        ----a-w-        c:\windows\system32\win32k.sys

2011-11-19 14:06 . 2012-01-11 18:20        67072        ----a-w-        c:\windows\system32\packager.dll

2011-12-12 18:04 . 2011-09-10 08:38        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((((((   SnapShot@2012-02-13_18.38.57   )))))))))))))))))))))))))))))))))))))))))

.

+ 2012-02-15 17:01 . 2012-02-15 17:01        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-15 17:01 . 2012-02-15 17:01        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

"BabylonToolbar"="c:\program files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]

"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]

.

c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService"

.

R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]

R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]

R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]

R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]

R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]

R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]

R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]

R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]

S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]

S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]

S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]

S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]

S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=7e4518ae0000000000000024338aebde&tlver=1.4.19.19&ss=1&affID=17395

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe

LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\

FF - prefs.js: browser.search.selectedEngine - Search the web

FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-02-15  18:26:48

ComboFix-quarantined-files.txt  2012-02-15 17:26

ComboFix2.txt  2012-02-13 18:44

.

Vor Suchlauf: 9 Verzeichnis(se), 247.137.132.544 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 247.073.230.848 Bytes frei

.

- - End Of File - - 73AF8DC83813671F96E9E3BE0DD983A3

--- --- ---

lg

Larusso

16.02.2012 01:32

Du hast CF nicht mit dem Script gestartet. Bitte wiederholen.

Piccolina

16.02.2012 21:54

Wie starte ich cf denn mit dem skript? Durch doppelklick auf das skript öffnet es sich nur .... Ich bin jetzt "leider" bis montag im urlaub und könnte dir erst dienstag wieder antworten (ich weiß es überschreitet deine drei tage regel), ich hoffe du löscht mich deswegen nicht :(
Lg

Larusso

17.02.2012 08:10

Zieh das Script einfach auf die Combofix.exe. Wie wenn du eine Datei in einen Ordner schieben willst.

Mehr als eine .gif Animation kann ich nun wirklich nicht mehr posten.

Piccolina

21.02.2012 17:07

Soo, nun endlich die Auswertung geöffnet mit dem Skript:

Combofix Logfile:

Code:

ComboFix 12-02-15.01 - Meike 21.02.2012  17:02:49.4.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2535 [GMT 1:00]

ausgeführt von:: c:\users\Meike\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Meike\Desktop\CFScript.txt

AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}

FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}

SP: Internet Security Anti-Spyware *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

- REDUZIERTER FUNKTIONALITÄTSMODUS -

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Vorheriger Suchlauf -------

.

c:\users\Meike\AppData\Roaming\Ofsya

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-21 bis 2012-02-21  ))))))))))))))))))))))))))))))

.

.

2012-02-21 16:03 . 2012-02-21 16:03        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-02-07 16:55 . 2012-02-12 20:32        --------        d-----w-        c:\users\Meike\AppData\Roaming\Bici

2012-02-07 16:55 . 2012-02-07 16:55        --------        d-----w-        c:\programdata\F4D55F3B00016B33000B3823A60145BE

2012-02-04 22:18 . 2012-02-07 15:27        --------        d-----w-        c:\users\Meike\AppData\Roaming\InetAccelerator

2012-01-31 15:32 . 2011-11-17 05:38        1037312        ----a-w-        c:\windows\system32\lsasrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        224768        ----a-w-        c:\windows\system32\schannel.dll

2012-01-31 15:32 . 2011-11-17 05:48        134000        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2012-01-31 15:32 . 2011-11-17 05:42        369352        ----a-w-        c:\windows\system32\drivers\cng.sys

2012-01-31 15:32 . 2011-11-17 05:48        67440        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2012-01-31 15:32 . 2011-11-17 05:39        314368        ----a-w-        c:\windows\system32\webio.dll

2012-01-31 15:32 . 2011-11-17 05:39        99840        ----a-w-        c:\windows\system32\sspicli.dll

2012-01-31 15:32 . 2011-11-17 05:36        22528        ----a-w-        c:\windows\system32\lsass.exe

2012-01-31 15:32 . 2011-11-17 05:39        15360        ----a-w-        c:\windows\system32\sspisrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        22016        ----a-w-        c:\windows\system32\secur32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-04 22:08 . 2011-06-05 15:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-11-24 04:23 . 2011-12-19 19:19        2340352        ----a-w-        c:\windows\system32\win32k.sys

2011-12-12 18:04 . 2011-09-10 08:38        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of c:\users\Meike\AppData\Roaming\Bici ----

.

2012-02-12 20:31 . 2012-02-12 20:31        2718        ----a-w-        c:\users\Meike\AppData\Roaming\Bici\atywx.tmp

.

.

(((((((((((((((((((((((((((((   SnapShot@2012-02-13_18.38.57   )))))))))))))))))))))))))))))))))))))))))

.

- 2011-03-08 17:28 . 2012-02-13 18:36        16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2011-03-08 17:28 . 2012-02-16 20:48        16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:28 . 2012-02-13 18:36        32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:28 . 2012-02-16 20:48        32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2009-07-14 04:41 . 2012-02-13 18:36        16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2009-07-14 04:41 . 2012-02-16 20:48        16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:34        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:34        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-09 08:55 . 2012-02-16 20:47        2190              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-21 15:45 . 2012-02-21 15:45        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-21 15:45 . 2012-02-21 15:45        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]

"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]

.

c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]

R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]

R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]

R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]

R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]

R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]

R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]

R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]

S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]

S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]

S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]

S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]

S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe

LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-02-21  17:06:48

ComboFix-quarantined-files.txt  2012-02-21 16:06

ComboFix2.txt  2012-02-15 17:26

ComboFix3.txt  2012-02-13 18:44

.

Vor Suchlauf: 9 Verzeichnis(se), 247.087.915.008 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 247.057.924.096 Bytes frei

.

- - End Of File - - 7AD6DA226BC020311C3D4A395B105438

--- --- ---

lg

Larusso

21.02.2012 17:32

BleepingComputer.com - ForoSpyware.com

Code:

Folder::

c:\users\Meike\AppData\Roaming\Bici

c:\programdata\F4D55F3B00016B33000B3823A60145BE

ClearJavaCache::

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort
Combofix.txt
ESET Log
Berichte wie der Rechner läuft.

Piccolina

23.02.2012 18:01

Hallo Daniel,
zunächst einmal Combofix:

Combofix Logfile:

Code:

ComboFix 12-02-22.01 - Meike 23.02.2012  17:04:06.5.2 - x86 NETWORK

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3069.2654 [GMT 1:00]

ausgeführt von:: c:\users\Meike\Downloads\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Meike\Desktop\CFScript.txt

AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}

FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}

SP: Internet Security Anti-Spyware *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\F4D55F3B00016B33000B3823A60145BE

c:\programdata\F4D55F3B00016B33000B3823A60145BE\F4D55F3B00016B33000B3823A60145BE

c:\programdata\F4D55F3B00016B33000B3823A60145BE\F4D55F3B00016B33000B3823A60145BE.exe

c:\users\Meike\AppData\Roaming\Bici

c:\users\Meike\AppData\Roaming\Bici\atywx.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-01-23 bis 2012-02-23  ))))))))))))))))))))))))))))))

.

.

2012-02-23 16:12 . 2012-02-23 16:12        --------        d-----w-        c:\users\Meike\AppData\Local\temp

2012-02-23 16:12 . 2012-02-23 16:12        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-02-04 22:18 . 2012-02-07 15:27        --------        d-----w-        c:\users\Meike\AppData\Roaming\InetAccelerator

2012-01-31 15:32 . 2011-11-17 05:38        1037312        ----a-w-        c:\windows\system32\lsasrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        224768        ----a-w-        c:\windows\system32\schannel.dll

2012-01-31 15:32 . 2011-11-17 05:48        134000        ----a-w-        c:\windows\system32\drivers\ksecpkg.sys

2012-01-31 15:32 . 2011-11-17 05:42        369352        ----a-w-        c:\windows\system32\drivers\cng.sys

2012-01-31 15:32 . 2011-11-17 05:48        67440        ----a-w-        c:\windows\system32\drivers\ksecdd.sys

2012-01-31 15:32 . 2011-11-17 05:39        314368        ----a-w-        c:\windows\system32\webio.dll

2012-01-31 15:32 . 2011-11-17 05:39        99840        ----a-w-        c:\windows\system32\sspicli.dll

2012-01-31 15:32 . 2011-11-17 05:36        22528        ----a-w-        c:\windows\system32\lsass.exe

2012-01-31 15:32 . 2011-11-17 05:39        15360        ----a-w-        c:\windows\system32\sspisrv.dll

2012-01-31 15:32 . 2011-11-17 05:39        22016        ----a-w-        c:\windows\system32\secur32.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-02-04 22:08 . 2011-06-05 15:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-12-12 18:04 . 2011-09-10 08:38        134104        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

(((((((((((((((((((((((((((((   SnapShot@2012-02-13_18.38.57   )))))))))))))))))))))))))))))))))))))))))

.

- 2011-03-08 17:28 . 2012-02-13 18:36        16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2011-03-08 17:28 . 2012-02-16 20:48        16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:28 . 2012-02-13 18:36        32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:28 . 2012-02-16 20:48        32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2009-07-14 04:41 . 2012-02-13 18:36        16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2009-07-14 04:41 . 2012-02-16 20:48        16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:33        16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:34        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2011-03-08 17:39 . 2012-02-12 20:34        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-08 17:39 . 2012-02-16 20:47        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-03-09 08:55 . 2012-02-16 20:47        2190              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-23 15:45 . 2012-02-23 15:45        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2012-02-23 15:45 . 2012-02-23 15:45        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2012-02-13 18:20 . 2012-02-13 18:20        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ICQ"="c:\program files\ICQ7.4\ICQ.exe" [2011-03-08 119608]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTools FGuard"="c:\program files\PC Tools Security\BDT\FGuard.exe" [2011-01-07 108496]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"BrStsMon00"="c:\program files\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]

"ISTray"="c:\program files\PC Tools Security\pctsGui.exe" [2011-01-13 1589208]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"PDFPrint"="c:\program files\PDF24\pdf24.exe" [2011-10-11 220744]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-11-12 421736]

.

c:\users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdAuxService]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdCoreService"

.

R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-12-31 51984]

R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-12-31 69392]

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\PC Tools Security\BDT\BDTUpdateService.exe [2011-01-07 247760]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-12-10 160448]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\PC Tools Security\pctsAuxs.exe [2010-03-15 366840]

R3 BrYNSvc;BrYNSvc;c:\program files\Browny02\BrYNSvc.exe [2010-01-25 245760]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 136176]

R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088]

R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-01-12 89472]

R3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [2011-01-17 125248]

R3 pctplsg;pctplsg;c:\windows\System32\drivers\pctplsg.sys [2010-12-16 70536]

R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-12-31 33552]

R3 ThreatFire;ThreatFire;c:\program files\PC Tools Security\TFEngine\TFService.exe service [x]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]

S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-12-10 239168]

S0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-07-16 338880]

S0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-07-16 656320]

S1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [2011-01-17 251560]

S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]

S3 pctNdisMP;PC Tools Driver;c:\windows\system32\DRIVERS\pctNdis.sys [2010-08-10 56536]

S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]

S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296]

.

.

Inhalt des "geplante Tasks" Ordners

.

2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-30 15:23]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe

LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Meike\AppData\Roaming\Mozilla\Firefox\Profiles\wnz3shs7.default\

FF - prefs.js: browser.search.selectedEngine - ICQ Search

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2012-02-23  17:16:36

ComboFix-quarantined-files.txt  2012-02-23 16:16

ComboFix2.txt  2012-02-21 16:06

ComboFix3.txt  2012-02-15 17:26

ComboFix4.txt  2012-02-13 18:44

.

Vor Suchlauf: 9 Verzeichnis(se), 247.145.119.744 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 247.077.453.824 Bytes frei

.

- - End Of File - - 8287349BD0A11C2A52D65A7F8AFD58D2

--- --- ---

Jetzt ESET Log

C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarApp.dll a variant of Win32/Toolbar.Babylon application
C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe probably a variant of Win32/Toolbar.Babylon application
C:\Qoobox\Quarantine\C\ProgramData\utilopen.exe.vir a variant of Win32/Kryptik.AAFT trojan
C:\Qoobox\Quarantine\C\ProgramData\F4D55F3B00016B33000B3823A60145BE\F4D55F3B00016B33000B3823A60145BE.exe.vir a variant of Win32/Kryptik.AAEU trojan
C:\Qoobox\Quarantine\C\ProgramData\InetAccelerator\InetAccelerator.exe.vir a variant of Win32/LockScreen.AJW trojan
C:\Qoobox\Quarantine\C\Users\Meike\AppData\Local\Mozilla\Firefox\firefox.exe.vir a variant of Win32/Kryptik.AADM trojan
C:\Qoobox\Quarantine\C\Users\Meike\AppData\Roaming\paintgraf.exe.vir a variant of Win32/Kryptik.AAFT trojan
C:\Qoobox\Quarantine\C\Users\Meike\AppData\Roaming\Keyf\wuilo.exe.vir probably a variant of Win32/Obfuscated.HRJPYSI trojan
C:\Qoobox\Quarantine\C\Users\Meike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe.vir a variant of Win32/Kryptik.AAFY trojan
C:\Qoobox\Quarantine\C\Users\Meike\AppData\Roaming\toolplugin\toOLbar.dll.vir Win32/Adware.ToolPlugin application
C:\Users\Meike\Downloads\DivXInstaller813.exe Win32/Adware.ToolPlugin application

Um sagen zu können wie der Rechner läuft müsste ich ihn wieder normal starten, also nicht mehr im abgesicherten Modus. Darf ich das schon wieder machen?

lg und danke für deine hilfe ;)

Larusso

23.02.2012 21:07

ja :rolleyes:

Piccolina

23.02.2012 22:23

Also innerhalb von 20 min kam jetzt nichts, also macht einen guten eindruck :)

Larusso

24.02.2012 07:32

Starte bitte DDS

Wenn der Scan fertig ist, wird es 2 Logfiles erstellen. :
1. DDS.txt
2. Attach.txt
Speichere beide auf deinem Desktop und poste diese bitte hier

Piccolina

26.02.2012 19:45

soo, einmal dds:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_24
Run by Meike at 19:36:45 on 2012-02-26
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3069.1878 [GMT 1:00]
.
AV: Internet Security Anti-Virus *Enabled/Updated* {2F668A56-D5E0-2DF1-A0AE-CB1284F42AB2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Internet Security Anti-Spyware *Enabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
FW: Internet Security Firewall *Enabled* {175D0B73-9F8F-2CA9-8BF1-62277A276DC9}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\PC Tools Security\BDT\BDTUpdateService.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\PC Tools Security\pctsAuxs.exe
C:\Program Files\PC Tools Security\pctsSvc.exe
C:\Program Files\PC Tools Security\BDT\FGuard.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Browny02\Brother\BrStMonW.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\PC Tools Security\pctsGui.exe
C:\Program Files\PDF24\pdf24.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ICQ7.4\ICQ.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Browny02\BrYNSvc.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files\PC Tools Security\TFEngine\TFService.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
uURLSearchHooks: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: PC Tools Browser Guard BHO: {2a0f3d1b-0909-4ff4-b272-609cce6054e7} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
BHO: CescrtHlpr Object: {2eecd738-5844-4a99-b4b6-146bf802613b} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\bh\BabylonToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Babylon Toolbar: {98889811-442d-49dd-99d7-dc866be87dbc} - c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\BabylonToolbarTlbr.dll
TB: PC Tools Browser Guard: {472734ea-242a-422b-adf8-83d1e48cc825} - c:\program files\pc tools security\bdt\PCTBrowserDefender.dll
uRun: [ICQ] "c:\program files\icq7.4\ICQ.exe" silent loginmode=4
mRun: [PCTools FGuard] c:\program files\pc tools security\bdt\FGuard.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun
mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [ISTray] "c:\program files\pc tools security\pctsGui.exe" /hideGUI
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [PDFPrint] c:\program files\pdf24\pdf24.exe
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
StartupFolder: c:\users\meike\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: c:\program files\common files\pc tools\lsp\PCTLsp.dll
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{7612030D-1ABD-490D-90D4-EA366DCBEDFC} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{79598063-2EC6-4A2F-B9B5-6657F933947F} : DhcpNameServer = 192.168.2.1
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\meike\appdata\roaming\mozilla\firefox\profiles\wnz3shs7.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2011-3-8 239168]
R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2011-3-8 338880]
R0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2011-3-8 656320]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2011-3-8 51984]
R0 TFSysMon;TFSysMon;c:\windows\system32\drivers\TfSysMon.sys [2011-3-8 69392]
R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2011-3-8 251560]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\pc tools security\bdt\BDTUpdateService.exe [2011-3-8 247760]
R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2011-3-8 160448]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\pc tools security\pctsAuxs.exe [2011-3-8 366840]
R2 sdCoreService;PC Tools Security Service;c:\program files\pc tools security\pctsSvc.exe [2011-3-8 1150936]
R3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-9-19 245760]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2011-3-8 89472]
R3 pctNdisMP;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2011-3-8 125248]
R3 pctplsg;pctplsg;c:\windows\system32\drivers\pctplsg.sys [2011-3-8 70536]
R3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\drivers\SFEP.sys [2007-8-3 9344]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2011-3-8 33552]
R3 ThreatFire;ThreatFire;c:\program files\pc tools security\tfengine\tfservice.exe service --> c:\program files\pc tools security\tfengine\TFService.exe service [?]
R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-13 311296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-30 136176]
S3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\drivers\KMWDFILTER.sys [2009-4-29 25088]
S3 pctNdis;PC Tools Firewall Intermediate Filter Service;c:\windows\system32\drivers\pctNdis.sys [2011-3-8 56536]
S3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920]
.
=============== Created Last 30 ================
.
2012-02-23 16:22:21 -------- d-----w- c:\program files\ESET
2012-02-23 16:16:44 -------- d-sh--w- C:\$RECYCLE.BIN
2012-02-23 16:16:41 -------- d-----w- c:\users\meike\appdata\local\temp
2012-02-13 18:27:26 98816 ----a-w- c:\windows\sed.exe
2012-02-13 18:27:26 518144 ----a-w- c:\windows\SWREG.exe
2012-02-13 18:27:26 256000 ----a-w- c:\windows\PEV.exe
2012-02-13 18:27:26 208896 ----a-w- c:\windows\MBR.exe
2012-02-04 22:18:00 -------- d-----w- c:\users\meike\appdata\roaming\InetAccelerator
2012-01-31 15:32:52 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2012-01-31 15:32:50 224768 ----a-w- c:\windows\system32\schannel.dll
2012-01-31 15:32:45 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-01-31 15:32:43 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-01-31 15:32:37 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-01-31 15:32:33 314368 ----a-w- c:\windows\system32\webio.dll
2012-01-31 15:32:30 99840 ----a-w- c:\windows\system32\sspicli.dll
2012-01-31 15:32:30 22528 ----a-w- c:\windows\system32\lsass.exe
2012-01-31 15:32:29 22016 ----a-w- c:\windows\system32\secur32.dll
2012-01-31 15:32:29 15360 ----a-w- c:\windows\system32\sspisrv.dll
.
==================== Find3M ====================
.
2012-02-04 22:08:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
============= FINISH: 19:42:41,60 ===============

Attach:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 08.03.2011 18:34:28
System Uptime: 26.02.2012 19:30:52 (0 hours ago)
.
Motherboard: Sony Corporation | | VAIO
Processor: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz | N/A | 2100/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 229,72 GiB free.
D: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{00005557-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{00005557-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
Class GUID:
Description: Basissystemgerät
Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Manufacturer:
Name: Basissystemgerät
PNP Device ID: PCI\VEN_1180&DEV_0592&SUBSYS_903F104D&REV_12\4&A71563&0&12F0
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{0000110E-0000-1000-8000-00805F9B34FB}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{0000110E-0000-1000-8000-00805F9B34FB}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{00005601-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{00005601-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{0000111B-0000-1000-8000-00805F9B34FB}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{0000111B-0000-1000-8000-00805F9B34FB}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{00004C48-0000-1000-8000-00805F9B34FB}_VID&0001000F_PID&0000\7&1F1E3A44&0&74A722D0E8D9_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{00004C48-0000-1000-8000-00805F9B34FB}_VID&0001000F_PID&0000\7&1F1E3A44&0&74A722D0E8D9_C00000000
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{00000002-0000-1000-8000-0002EE000002}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{00000002-0000-1000-8000-0002EE000002}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
Class GUID:
Description: Bluetooth-Peripheriegerät
Device ID: BTHENUM\{00005005-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Manufacturer:
Name: Bluetooth-Peripheriegerät
PNP Device ID: BTHENUM\{00005005-0000-1000-8000-0002EE000001}_VID&00010001_PID&006E\7&1F1E3A44&0&0025478A81BB_C00000000
Service:
.
==== System Restore Points ===================
.
RP91: 02.09.2011 11:37:41 - Windows Update
RP92: 09.09.2011 16:39:55 - Windows Update
RP93: 09.09.2011 19:29:21 - Windows Update
RP94: 19.09.2011 19:14:42 - Windows Update
RP95: 12.10.2011 21:26:40 - Windows Update
RP96: 18.10.2011 19:43:15 - Installed iTunes
RP97: 27.10.2011 14:58:41 - Windows Update
RP98: 02.11.2011 19:15:13 - Windows Update
RP99: 14.11.2011 20:13:19 - Windows Update
RP100: 15.11.2011 19:40:57 - Windows Update
RP101: 19.12.2011 20:11:47 - Windows Update
RP102: 19.12.2011 20:28:53 - Windows Update
RP103: 11.01.2012 19:20:55 - Windows Update
RP104: 16.01.2012 18:49:02 - Windows Update
RP105: 16.01.2012 19:03:18 - Windows Update
RP106: 02.02.2012 11:33:04 - Windows Update
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
7-Zip 9.20
Adobe Flash Player 10 Plugin
Adobe Flash Player 11 ActiveX
Adobe Reader X (10.1.1) - Deutsch
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Babylon toolbar
Bonjour
Brother MFL-Pro Suite DCP-J315W
Browser Defender 3.0
ESET Online Scanner v3
Google Earth Plug-in
Google Update Helper
ICQ7.5
iTunes
Java Auto Updater
Java(TM) 6 Update 24
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (German) 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 8.0.1 (x86 de)
PC Tools Internet Security 8.0
PDF24 Creator 3.7.0
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2553089)
Security Update for 2007 Microsoft Office System (KB2553090)
Security Update for 2007 Microsoft Office System (KB2584063)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
Surf & E-Mail-Stick
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 System (KB2539530)
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
Update for Microsoft Office OneNote 2007 (KB980729)
VLC media player 1.1.7
Windows Movie Maker 2.6
WinFunktion Mathematik plus 18
.
==== End Of File ===========================

lg

Larusso

27.02.2012 14:07

Deinstalliere bitte
Babylon Toolbar

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 6 Update 30 ) herunter laden.
Wenn die installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Wenn sonst keine Probleme mehr vorhanden sind, sind wir hier fertig.

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Downloade dir bitte OTC
Starte das Tool mit Doppelklick. Dies wird die meisten Logfiles, Tools usw die wir benötigt haben, entfernen. Sollte etwas bestehen bleiben, bitte manuell löschen.

Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Piccolina

28.02.2012 20:32

Hallo Daniel,

Habe alles durchgeführt und es kam auch nicht wieder.
Danke für die vielen tipps noch :)

Und vor allem vielen dank dass du mir geholfen hast!
Lg meike

Larusso

29.02.2012 15:11

Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20