Trojaner-Board - TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? (https://www.trojaner-board.de/110677-tr-ransom-rj-37-torrent-exe-los.html)

TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los?

Hallo zusammen!

Erst mal Vorab-Lorbeeren, ich finde es Toll, das es so engagierte Foren wie das eure gibt!

Nun zum Problem:

Es geht um den Rechner meines Freundes, WinXP. Am montag bekam er immer wieder von Avira den Hinweis, das eine torrent.exe auf das Netz zugreifen will. Dies hat er nicht zugelassen. Gestern hat Avira in genau dieser exe den Trojaner TR/Ransom.RJ.37 gefunden. Die Datei lies sich nicht löschen oder in Quarantäne verschieben sondern nur umbenennen. Das hat er erst einmal gemacht. Sie heißt nun torrent.nnn und liegt unter c:/dokumente und Einstellungen/***/Anwendungsdaten/Microsoft, ist aber noch am selben Platz. Der PC verhält sich bis jetzt unauffällig. Gott sei dank wird über den PC kein Onlinebanking oder ähnlich sensibles genutzt.

Was müssen wir nun tun, damit ihr uns helfen könnt, dieses Mistding wieder zu beseitigen?

LG und danke schon mal

Hi,

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo Chris,

danke für die schnelle Antwort. Mache das jetzt mal und melde mich dann mit den Ergebnissen. Kann allerdings etwas dauern, die Kiste ist schon 10 Jahre alt und vollgestopft bis oben hin.

LG
Barbara

Im Anhang die Log Dateien von OTL

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Temp\aaudstum.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:OTL

SRV - (HidServ) --  File not found

SRV - (AppMgmt) --  File not found

O4 - HKCU..\Run: [{4E3CF522-09F8-11DB-AB3F-806D6172696F}] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe File not found
 

:reg

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring" = dword:0x00

 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Poste auch noch das Log von MAM...

chris

Anbei das Log von MAM

Hat 2 Meldungen gemacht, 2 Trojaner ein Registry Key und ein File, aber das sieht man ja auch in der Logdatei denke ich oder?

Hier nun die Auswertung von Virustotal:

SHA256: 741c958671872cfb8ec50dbf8c4ddb13fbdae9330f39471752d2f6e3e3441c21
File name: aaudstum.sys
Detection ratio: 2 / 43
Analysis date: 2012-03-01 13:27:06 UTC ( 0 Minuten ago )

Antivirus Result Update
AhnLab-V3 - 20120228
AntiVir - 20120229
Antiy-AVL - 20120229
Avast - 20120301
AVG - 20120301
BitDefender - 20120301
ByteHero - None
CAT-QuickHeal - 20120301
ClamAV - 20120229
Commtouch - 20120301
Comodo - 20120301
DrWeb - 20120301
Emsisoft - 20120301
eSafe - 20120229
eTrust-Vet - 20120301
F-Prot - 20120301
F-Secure - 20120301
Fortinet - 20120229
GData - 20120301
Ikarus - 20120301
Jiangmin - 20120229
K7AntiVirus - 20120229
Kaspersky - 20120301
McAfee - 20120301
McAfee-GW-Edition - 20120229
Microsoft - 20120301
NOD32 - 20120301
Norman - 20120229
nProtect - 20120301
Panda - 20120229
PCTools - 20120228
Prevx - 20120301
Rising - 20120301
Sophos - 20120301
SUPERAntiSpyware - 20120301
Symantec - 20120229
TheHacker - 20120301
TrendMicro RTKT_AGENTT.CU 20120301
TrendMicro-HouseCall RTKT_AGENTT.CU 20120229
VBA32 - 20120301
VIPRE - 20120301
ViRobot - 20120301
VirusBuster - 20120229

ssdeep
384:1zqzge4vDVOmUdDXOkbHTf5uKr1RW8kOQ/Uv0Q5Cv1XyNZZHlEPyw:1vEmUdDXOAHTxe/6K1iZHlWd
TrID
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ExifTool

MIMEType.................: application/octet-stream
Subsystem................: Native
MachineType..............: Intel 386 or later, and compatibles
TimeStamp................: 2003:12:01 21:57:55+01:00
FileType.................: Win32 EXE
PEType...................: PE32
CodeSize.................: 26112
LinkerVersion............: 6.0
EntryPoint...............: 0x1b04
InitializedDataSize......: 5120
SubsystemVersion.........: 5.0
ImageVersion.............: 0.0
OSVersion................: 4.0
UninitializedDataSize....: 0

Portable Executable structural information

Compilation timedatestamp.....: 2003-12-01 20:57:55
Target machine................: 332
Entry point address...........: 0x00001B04

PE Sections...................:

Name Virtual Address Virtual Size Raw Size Entropy MD5
.text 4096 23878 24064 5.95 6a0a1ae93ad5051faaf16d908edd5de9
.rdata 28672 804 1024 3.10 dd76d3d6512c2a01631c743d5456edd8
.data 32768 2800 512 0.02 9475a59226943a3ad422e18169989f66
INIT 36864 1824 2048 5.00 ac85a9030d1c9fa5ec102f9416c305ed
.reloc 40960 950 1024 5.63 608ecd1052a15080f856af23cf478240

PE Imports....................:

HAL.dll
KfReleaseSpinLock, KeQueryPerformanceCounter, KfAcquireSpinLock

ntoskrnl.exe
RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ZwClose, ZwReadFile, ZwQueryInformationFile, ZwCreateFile, IoRegisterDriverReinitialization, IofCompleteRequest, IoRegisterShutdownNotification, IoCreateDevice, IoDeleteDevice, IoDeleteSymbolicLink, KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, RtlInitAnsiString, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, ZwWriteFile, KeQuerySystemTime, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, MmMapLockedPagesSpecifyCache, memcpy, IoBuildDeviceIoControlRequest, RtlAnsiStringToUnicodeString, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlCopyUnicodeString, RtlEqualUnicodeString, RtlAppendUnicodeStringToString, RtlUnicodeStringToInteger, RtlIntegerToUnicodeString, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, IoGetRelatedDeviceObject, ObReferenceObjectByHandle, IoSetThreadHardErrorMode, PsGetCurrentProcessId, ZwQuerySystemInformation, InterlockedIncrement, IoFreeIrp, KeSetEvent, KeGetCurrentThread, IoAllocateIrp, IoFreeMdl, MmUnlockPages, MmMapLockedPages, MmProbeAndLockPages, IoAllocateMdl, _except_handler3, MmUnmapLockedPages, KeInitializeSpinLock, ExFreePool, ExAllocatePoolWithTag, RtlCompareMemory, memset

Symantec Reputation
Suspicious.Insight
First seen by VirusTotal
2007-05-24 15:23:07 UTC ( 4 Jahre, 9 Monate ago )
Last seen by VirusTotal
2012-03-01 13:27:06 UTC ( 3 Minuten ago )
File names (max. 25)

aaudstum.sys
22FABDC07B4DE09773A92D49201C9F94
22fabdc07b4de09773a92d49201c9f94
JNV4_MIB.SYS._A50AC59146D207147CD5A0CC9D0A83ADEBDD6C96
adxapie.sys
bad.bad
cportclm.sys
cusbohcn.sys
efipsk.sys
file-3237704_sys
gAGP440p.sys
gagp.sys
gel90xne.sys
jnv4_mib.sys
krdpdre.sys.(0)
lac97inf.sys
lredbooo.sys
mdxgthkn.sys
mdxgthkn_sys
nsysaudm.sys
pnicml.sys_

Hier die Results vom OTL Fix, hat einen Reboot erfordert:

All processes killed
========== OTL ==========
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File File not found not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{4E3CF522-09F8-11DB-AB3F-806D6172696F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E3CF522-09F8-11DB-AB3F-806D6172696F}\ not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall\\"DisableMonitoring" |dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 553173243 bytes
->Temporary Internet Files folder emptied: 7633061 bytes
->Java cache emptied: 15863871 bytes
->FireFox cache emptied: 169537018 bytes
->Google Chrome cache emptied: 37053018 bytes
->Flash cache emptied: 4501398 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1829576 bytes
%systemroot%\System32 .tmp files removed: 1601799 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3737135 bytes
RecycleBin emptied: 3980332723 bytes

Total Files Cleaned = 4.554,00 mb

OTL by OldTimer - Version 3.2.33.2 log created on 03012012_143401

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT07d36.TMP not found!

Registry entries deleted on Reboot...

Hi,

von MAM alles löschen lassen....
Würde die anderes sys-Datei ebenfalls löschen lassen (Treiber in Temp ist immer verdächtig), wenn TrendMicro recht hat ist das ein RootKit...

Killen wir Ihn:

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:OTL

DRV - (aaudstum) -- C:\Temp\aaudstum.sys ()
 
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Danach MAM updaten und neuen Komplettscan, falls es ein Rookit war und sich was unter seinem Mantel versteckt hatte...

chris

Hi Chris,

da der Rechner ja einen Reboot gemacht hat, ist der MAM nun natürllich zu. Muss ich den Scan nun noch mal neu machen, damit ich die Dateien löschen kann, oder komm ich da irgendwie anders dran? Hat ja ziemlich gedauert.

Zu den sys dateien, was genau meinst du damit? Klar lösch ich die, wenn es besser ist, aber wie mach ich das?

Barbara

So habe nun die beiden Dateien über den MAM gelöscht und das Fix über OTL laufen lassen, hier die Logdatei. mache nun noch einen Scan mit MAM... Allerdings ist die torrent.nnn, die das ganze auslöste, immernoch da, sagt Avira zwischendurch immer wieder.

All processes killed
Error: Unable to interpret <DRV - (aaudstum) -- C:\Temp\aaudstum.sys ()> in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1187012 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 23235764 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 920 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 23,00 mb

OTL by OldTimer - Version 3.2.33.2 log created on 03012012_161933

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT06c22.TMP not found!

Registry entries deleted on Reboot...

Hi,

die sys-Datei wird mit dem vorangegangen Post gelöscht (OTL-Script abfahren)...

MAM musst Du nochmal komplett durchlaufen lassen, alles Bereinigen und dann das Log posten (da gibt es einen Reiter dazu, schau Dir das Fenster von MAM mal genau an ;o)...

chris

Hallo!

So ich habe nun MAM noch mal komplett durchlaufen lassen, findet nichts mehr. Allerdings ist währen der Suche Avira immer wieder mal angesprungen, in C:/Temp waren einige Dateien, die verdächtig waren (aber ein anderer Trojaner) diese konnte ich löschen. Die torrent.nnn die alles ausgelöst hatte ist noch auf dem PC ich konnte sie nun aber manuell löschen, das ging vorher nicht. War es das nun oder muss ich jetzt noch andere Scans machen?

Hier die Logdatei von MAM

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.01.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Besitzer :: PC-JONAS [Administrator]

01.03.2012 16:27:09
mbam-log-2012-03-01 (16-27-09).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 332212
Laufzeit: 1 Stunde(n), 58 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,

der Otl-Fix hat nicht funktioniert, Du musst den Inhalt der Codebox komplet in OTL kopieren, auch das :OTL!.

Bitte nochmal ausführen und ein neues OTL-Log erstellen und posten...

chris

Hi Chris,

hier nun das neue Log vom OTL:

All processes killed
========== OTL ==========
Service aaudstum stopped successfully!
Service aaudstum deleted successfully!
C:\Temp\aaudstum.sys moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1098831 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40375481 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 703 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 920 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 40,00 mb

OTL by OldTimer - Version 3.2.33.2 log created on 03022012_103610

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\ZLT0338a.TMP not found!

Registry entries deleted on Reboot...

Hi,

poste bitte noch zu Kontrolle ein neues OTL-Logfile.
Wie verhält sich der Rechner?

chris

Hi!

Anbei die beiden Dateien OTL und Extras.
Ich hatte gestern noch mal einen Scan mit MAM und Avira gemacht, beide ohne befund. Der Rechner verhält sich bis jetzt normal. Habe gestern auch CC Clean drüberlaufen lassen, das hat sich auch gelohnt.

Kann ich eigentlich den Inhalt des C:/ Temp Ordners löschen (also nciht den ordner selbst, aber alles was dort drin ist? Dort hatten sich noch Viren versteckt, dei Avira gestern fand und löschte.

VG Barbara

Die Torrent.exe ist wieder da. Hier das Log vom MAM nach scannen dieser einen Datei:

Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.03.01.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Besitzer :: PC-JONAS [Administrator]

02.03.2012 17:29:45
mbam-log-2012-03-02 (17-29-45).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 1
Laufzeit: 9 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe (Backdoor.Messa) -> 1916 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{4E3CF522-09F8-11DB-AB3F-806D6172696F} (Backdoor.Messa) -> Daten: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe (Backdoor.Messa) -> Löschen bei Neustart.

(Ende)

Hi,

warst Du zwischenzeitlich im Internet unterwegs?

Du solltest unbedingt auf Servicepack 3 updaten...

Anhand des OTL-Logs folgendes Script abfahren:
OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
 

:Commands

[purity]

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Ja war im Internet unterwegs.

So Servicepack 3 ist nun drauf ( und auch alle anderen Updates von Microsoft, mein Freund hatte das wohl mal abgestellt ?!).

Hier die Results vom Fix des OTL:

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.
Starting removal of ActiveX control DirectAnimation Java Classes
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3769161 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 191422885 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1636 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 34456 bytes
RecycleBin emptied: 161503 bytes

Total Files Cleaned = 186,00 mb

OTL by OldTimer - Version 3.2.33.2 log created on 03032012_164101

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast_\Webshlock.txt not found!
File\Folder C:\WINDOWS\temp\ZLT01218.TMP not found!

Registry entries deleted on Reboot...

Hier das Log von Combofix.

Was nun?

Combofix Logfile:

Code:

ComboFix 12-03-02.01 - Besitzer 03.03.2012  17:44:10.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1279.670 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe

c:\dokumente und einstellungen\Besitzer\WINDOWS

c:\windows\daemon.dll

c:\windows\IsUn0407.exe

c:\windows\iun6002.exe

c:\windows\system32\dllcache\wmpvis.dll

c:\windows\system32\oobe\msoobe.exe

c:\windows\system32\oobe\oobebaln.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-03 bis 2012-03-03  ))))))))))))))))))))))))))))))

.

.

2012-03-03 14:27 . 2012-03-03 14:27        --------        d-----w-        c:\windows\l2schemas

2012-03-03 14:27 . 2012-03-03 14:27        --------        d-----w-        c:\windows\system32\de

2012-03-03 14:09 . 2008-04-14 02:22        69120        ------w-        c:\windows\system32\wlanapi.dll

2012-03-03 14:09 . 2008-04-14 02:22        53248        ------w-        c:\windows\system32\tsgqec.dll

2012-03-03 14:09 . 2008-04-14 02:22        50688        ------w-        c:\windows\system32\tspkg.dll

2012-03-03 14:09 . 2008-04-14 02:23        32768        ------w-        c:\windows\system32\setupn.exe

2012-03-03 14:09 . 2008-04-13 18:40        10240        ------w-        c:\windows\system32\drivers\sffp_mmc.sys

2012-03-03 14:07 . 2008-04-14 02:22        9216        ------w-        c:\windows\system32\dot3dlg.dll

2012-03-03 14:00 . 2012-02-23 16:12        337112        ----a-w-        c:\windows\system32\drivers\aswSP.sys

2012-03-03 14:00 . 2012-02-23 16:10        20696        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys

2012-03-03 14:00 . 2012-02-23 16:10        35672        ----a-w-        c:\windows\system32\drivers\aswRdr.sys

2012-03-03 14:00 . 2012-02-23 16:10        53848        ----a-w-        c:\windows\system32\drivers\aswTdi.sys

2012-03-03 14:00 . 2012-02-23 16:12        610648        ----a-w-        c:\windows\system32\drivers\aswSnx.sys

2012-03-03 14:00 . 2012-02-23 16:10        95704        ----a-w-        c:\windows\system32\drivers\aswmon2.sys

2012-03-03 14:00 . 2012-02-23 16:10        89048        ----a-w-        c:\windows\system32\drivers\aswmon.sys

2012-03-03 14:00 . 2012-02-23 16:07        24920        ----a-w-        c:\windows\system32\drivers\aavmker4.sys

2012-03-03 13:59 . 2012-02-23 16:23        41184        ----a-w-        c:\windows\avastSS.scr

2012-03-03 13:59 . 2012-02-23 16:23        201352        ----a-w-        c:\windows\system32\aswBoot.exe

2012-03-03 13:58 . 2012-03-03 13:58        --------        d-----w-        c:\programme\AVAST Software

2012-03-03 13:58 . 2012-03-03 13:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software

2012-03-03 12:37 . 2010-06-14 14:31        744448        -c----w-        c:\windows\system32\dllcache\helpsvc.exe

2012-03-03 12:35 . 2010-02-12 10:03        293376        ------w-        c:\windows\system32\browserchoice.exe

2012-03-03 12:33 . 2010-02-24 13:11        455680        -c----w-        c:\windows\system32\dllcache\mrxsmb.sys

2012-03-03 12:33 . 2009-10-23 15:28        3558912        -c----w-        c:\windows\system32\dllcache\moviemk.exe

2012-03-03 12:33 . 2009-12-31 16:50        353792        -c----w-        c:\windows\system32\dllcache\srv.sys

2012-03-03 12:32 . 2009-10-15 16:28        81920        -c----w-        c:\windows\system32\dllcache\fontsub.dll

2012-03-03 12:32 . 2009-10-15 16:28        119808        -c----w-        c:\windows\system32\dllcache\t2embed.dll

2012-03-03 12:32 . 2009-11-21 15:54        471552        -c----w-        c:\windows\system32\dllcache\aclayers.dll

2012-03-03 12:30 . 2009-06-21 21:45        153088        -c----w-        c:\windows\system32\dllcache\triedit.dll

2012-03-03 12:29 . 2009-06-05 07:42        655872        -c----w-        c:\windows\system32\dllcache\mstscax.dll

2012-03-03 12:27 . 2009-07-31 04:32        1172480        -c----w-        c:\windows\system32\dllcache\msxml3.dll

2012-03-03 12:27 . 2008-10-15 16:35        337408        -c----w-        c:\windows\system32\dllcache\netapi32.dll

2012-03-03 12:26 . 2008-05-01 14:34        331776        -c----w-        c:\windows\system32\dllcache\msadce.dll

2012-03-03 12:26 . 2008-06-14 17:32        273024        -c----w-        c:\windows\system32\dllcache\bthport.sys

2012-03-03 12:26 . 2008-05-08 14:02        203136        -c----w-        c:\windows\system32\dllcache\rmcast.sys

2012-03-03 12:20 . 2009-08-06 18:24        18144        ----a-w-        c:\windows\system32\wuaueng.dll.mui

2012-03-03 12:20 . 2009-08-06 18:24        23264        ----a-w-        c:\windows\system32\wucltui.dll.mui

2012-03-03 12:20 . 2009-08-06 18:24        15584        ----a-w-        c:\windows\system32\wuapi.dll.mui

2012-03-03 12:20 . 2009-08-06 18:24        15584        ----a-w-        c:\windows\system32\wuaucpl.cpl.mui

2012-03-01 17:38 . 2012-03-01 17:38        --------        d-----w-        c:\programme\CCleaner

2012-03-01 13:33 . 2012-03-01 13:33        --------        d-----w-        C:\_OTL

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-10 14:24 . 2010-09-09 19:31        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-16 10:50 . 2010-12-08 19:28        3056008        ----a-w-        c:\programme\Gemeinsame Dateien\AskToolbarInstaller.exe

2012-02-17 18:56 . 2011-05-10 15:54        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-02-23 16:23        123536        ----a-w-        c:\programme\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 139264]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]

"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]

"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]

"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2012-02-23 4031368]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk

backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]

2006-07-12 20:02        61440        ----a-w-        c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis*True*Image Monitor]

2006-07-12 20:02        435312        ----a-w-        c:\programme\Acronis\TrueImage\TrueImageMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-01-03 07:37        843712        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-09-23 03:47        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

2004-09-02 21:57        57344        ----a-w-        c:\programme\CloneCD\CloneCDTray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Net Agent]

2010-07-29 11:20        431424        ----a-w-        c:\programme\DAEMON Tools Net\DTAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2010-09-16 20:04        1164584        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]

2003-09-20 19:23        45056        ----a-w-        c:\programme\SlySoft\AnyDVD\ElbyCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 15:40        155648        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-06-01 15:22        1519616        ----a-w-        c:\windows\system32\nwiz.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Seagate Dashboard]

2010-07-06 19:32        79112        ----a-w-        c:\programme\Seagate\Seagate Dashboard\MemeoLauncher.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2011-10-13 08:27        17351304        ----a-r-        c:\programme\Skype\Phone\Skype.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

2005-11-11 12:07        90112        ----a-w-        c:\windows\soundman.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2011-08-02 06:41        1242448        ----a-w-        c:\valve\Steam\steam.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Thunderbird]

2012-02-29 08:11        399512        ----a-w-        c:\programme\Mozilla Thunderbird\thunderbird.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=

"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=

"c:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=

"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=

"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

"c:\\Programme\\Winamp\\SHOUTcast\\sc_serv.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9090:TCP"= 9090:TCP:pnp

.

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [10.07.2007 16:48 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [10.07.2007 16:48 5248]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [03.03.2012 15:00 610648]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03.03.2012 15:00 337112]

R1 dtcdrom;dtcdrom;c:\windows\system32\drivers\dtcdrom.sys [18.09.2010 22:55 201280]

R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [26.05.2009 22:58 53760]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03.03.2012 15:00 20696]

R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27.01.2010 03:09 50704]

R2 SeagateDashboardService;Seagate Dashboard Service;c:\programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe [06.07.2010 20:32 14088]

S2 DTNetService;DTNetService;c:\programme\DAEMON Tools Net\DTNetSrv.exe [29.07.2010 12:19 394560]

S2 gupdate1ca827a176e7e7e;Google Update Service (gupdate1ca827a176e7e7e);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]

.

2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.ask.com/?o=14772&l=dis

mLocal Page = 

IE: &SHOUTcast Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\SHOUTcast Radio Toolbar\ieToolbar\resources\en-US\local\search.html

IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: Interfaces\{3157C916-988A-40B8-8905-F1E296B644F7}: NameServer = 195.202.33.68,192.168.100.10,194.25.2.129

TCP: Interfaces\{6B67EC3A-DEBC-4984-9F1D-FBE0D63541CA}: NameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aytyzkuh.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - Google

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

FF - user.js: browser.sessionstore.resume_from_crash - false

.

.

------- Dateityp-Verknüpfung -------

.

.scr=AutoCADScriptFile

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

MSConfigStartUp-{4E3CF522-09F8-11DB-AB3F-806D6172696F} - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe

AddRemove-Heroes of Might and Magic® III - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-03 18:25

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

.

C:\avast! sandbox

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 1

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]

"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,

   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

.

[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:cd,82,f7,96,84,a1,c3,ce,ae,18,69,55,50,85,4a,a0,f7,12,71,84,6a,16,ed,

   82,d9,6b,ac,8b,15,82,d0,84,6e,b7,3c,7c,b7,a7,72,f1,89,3c,56,54,04,f8,a8,98,\

"??"=hex:cc,fb,59,2f,ca,d0,ac,01,31,4a,78,2f,35,d7,43,b6

.

[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\License information*]

"datasecu"=hex:19,3f,08,eb,83,6b,ca,fd,7b,2b,7f,78,f2,6a,b7,3d,65,21,93,e4,1d,

   bc,6a,08,72,52,d8,d2,da,78,69,c2,7b,a9,70,c0,3d,19,e5,61,03,d2,a1,0c,14,8f,\

"rkeysecu"=hex:47,0d,d1,31,38,1b,3d,6b,51,be,cd,8b,c6,24,8a,c1

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(3456)

c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\AVAST Software\Avast\AvastSvc.exe

c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\RunDLL32.exe

c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-03  18:37:16 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-03 17:37

.

Vor Suchlauf: 25 Verzeichnis(se), 24.153.313.280 Bytes frei

Nach Suchlauf: 27 Verzeichnis(se), 24.757.157.888 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

.

- - End Of File - - 57582D0FA01A47B2A1F004B5803A0067

--- --- ---

Hi,

Avast, Zonelab und Avast ist ein bisschen viel auf einem Rechner...
Du solltest Dich für eine Lösung entscheiden...

Was treibt der Rechner?

chris

Hi Chris,
du meintest sicherlich Avira, zonealarm und Avast,oder ? ;0) Avira ist runter, der war vor dem angriff drauf. Stattdessen habe ich Avast installiert. Zonealarm ist wegen der abgeschalteten Windows Firewall drauf. Ist das mit Avast über, obwohl die Windows Firewall aus ist!? Wie ist das nun mit dem Internet, soll ich das nutzen odr nicht? Ich frage so doof wegen deiner Frage einige Posts zuvor, die ich nicht einordnen konnte, ob das nur ne frage ist oder ein "Nein, geh doch nicht ins Internet!!" ;0)

Recner testen wir morgen weiter,waren heute den ganzen Tag unterwegs und der war aus.

Gute Nacht
Barbara

Hi,

ich meinte schon McAfee...

PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)

Daher mal den Uninstaller laufen lassen:
Uinstaller

Du kannst jetzt wieder ins Netzwerk...

chris

Hi Chris!

Macaffee ist Runter. Rechner verhält sich normal, lasse gerade noch mal einen Scan mit MAM und aktuellem Update laufen. Ist Zonealarm über, wenn ich Avast drauf habe? Windows Firewall ist zur zt. deaktiviert.

Grüße aus dem Münsterland
Barbara

Hi,

Avast kenne ich nicht besonderst gut, aber normalerweise sollte eine Firewall dabei sein... und Zonealarm ist nun nicht gerade der Renner ... ;o)...

Am Besten hilft halt immer noch die Brain.exe...

Gruß aus dem Schwarzwald,
chris

Brain exe? Ist das nen Scherz? :-)))
Habe ich noch nie was von gehört. Dem Namen nach würde ich mich da erst mal vereimert fühlen...

Okay das war ein Scherz :-) Ja das liebe ultimative Programm. Schön wäre es.
MAM ist nun durch, nix drauf. ich glaube mit deiner umfangreichen Hilfe haben wir es geschafft!

Dafür ein dickes D A N K E!!

Hi,

nicht ganz falsch... Damit meinte ich eigentlich: Gehirn beim Surfen einschalten... Es gibt so Leute die laden sich alles runter, führen es aus und wundern sich anschließend... ;o)

Damit sollten wir durch sein...

chris