Trojaner-Board - Deutschlandflagge-Trojaner in ganz neuer Form

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Deutschlandflagge-Trojaner in ganz neuer Form (https://www.trojaner-board.de/112880-deutschlandflagge-trojaner-ganz-neuer-form.html)

Deutschlandflagge-Trojaner in ganz neuer Form

Hallo Miteinander,
Meine Frau hat den oben genannten Trojaner auch gekriegt, jedoch in einer anderen Form.
Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der deutschen Flagge auf unseren Notebook gekriegt. Ich war auch zuhause und habe gleich mit dem Task Manager den Rechner neugestartet. Nachdem erfolgte bei jedem Neustart ein Fenster "Öffne mit..." für eine Datei genant genau so, wie auch unserer Notebook heißt. Beim Auswahl von Abbrechen, kommt den gleichen Fenster nochmal und wenn man wieder auf Abbrechen klickt verschwindet das Ganze und kommt während laufenden Betrieb nicht mehr. Erst beim nächsten Neustart wiederholt sich das Ganze.
Soo, ich habe das Verhalten nicht als kritisch gedacht und habe es so gelassen. Erst gestern habe ich endlich nach diese Datei gesucht und habe sie unter "C:\Users\***" gefunden und natürlich auch im Papierkorb gelöscht.
Seitdem ich das gemacht habe startete der Rechner nicht mehr, wenn auch Internetverbindung auch vorhanden war - gleich nach dem Start kommt diese Sicherheitswarnung mit der deutschen Flagge und die Aufforderung 50 Euro zu bezahlen.
Deshalb habe ich den Rechner ohne Internetverbindung gestartet und die gelöschte Datei wiederhergestellt (in dieser Datei sind meine MAC Adressen gespeichert - LAN, WLAN Karte etc.). Seitdem kommt wieder am Anfang der bekannte Fenster "Öffne mit" für die gleiche Datei.
Ich habe versucht der Trojaner zu entfernen (meiner Meinung nach erfolgreich aber bin nicht sicher).
Jetzt kommt aber meine wichtigste Frage. In dieser Zeit, als der Rechner verseucht war, habe ich Online Banking benutzt, sowie ein Paar Kreditkartenbezahlungen ausgeführt. Kann es sein das der Virus meine Daten abgefangen hat? Was kann ich tun? Wie kann ich sicher werden, dass ich das Ding gelöscht habe?
Ich danke an alle, die sich bemühen werden, mir zu helfen!

Freundliche Grüße
Jan

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Arne,

Erstmal danke für die Hilfe.
Mit Malwarebytes habe ich die letzten Tagen mehrmals gescant. Hier ist der erste log, nachdem ich OTL ausgeführt habe und auch das SkypePM.exe gefixt habe:

Code:

 

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.31.13
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: ***-PC [Administrator]
 

Schutz: Aktiviert
 

01.04.2012 08:33:56

mbam-log-2012-04-01 (08-33-56).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 461452

Laufzeit: 2 Stunde(n), 3 Minute(n), 37 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\_OTL\MovedFiles\03312012_234617\C_Users\Kitty i Jori\AppData\Local\Skype\SkypePM.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Danach habe ich auch Windows Defender gestartet, der hat aus was gefunden und gelöscht und dann auch einen Scan mit dem Sophos Antivirusprogramm - hat nichts gezeigt.
In den nächsten Tagen habe ich wieder Malwarebytes ausgeführt. Das Ergebnis war immer:

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.04.02.03
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: ***-PC [Administrator]
 

Schutz: Aktiviert
 

02.04.2012 10:01:27

mbam-log-2012-04-02 (10-01-27).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 462144

Laufzeit: 2 Stunde(n), 4 Minute(n), 6 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Ich habe gestern nochmal mit Windows Defender und Sophos gescant - beide haben nichts gezeigt.
Nach deiner Anweisung habe ich gestern Abend auch mit ESET einen Scan durchgeführt. Hier das Ergebnis:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner64.ocx - registred OK

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-04-02 06:45:05

# local_time=2012-04-02 08:45:05 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 29948 85021999 0 0

# compatibility_mode=8192 67108863 100 0 147 147 0 0

# compatibility_mode=8449 16775165 100 94 45178069 146658383 0 0

# scanned=388

# found=0

# cleaned=0

# scan_time=156

esets_scanner_update returned -1 esets_gle=53251

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-04-02 10:15:27

# local_time=2012-04-03 12:15:27 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776573 100 94 30169 85022220 0 0

# compatibility_mode=8192 67108863 100 0 368 368 0 0

# compatibility_mode=8449 16775165 100 94 45178290 146658604 0 0

# scanned=258737

# found=2

# cleaned=0

# scan_time=12557

C:\ProgramData\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi        Win32/Packed.Autoit.E.Gen application (unable to clean)        00000000000000000000000000000000        I

C:\Users\All Users\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi        Win32/Packed.Autoit.E.Gen application (unable to clean)        00000000000000000000000000000000        I

Scheint, das er was gefunden hat, obwohl ich diese Codecs seit lange habe.
Die wichtigste für mich Frage aber bleibt: soll ich meine Konto- und Kreditdaten sperren?

Freundliche Grüße,
Jan

Zitat:

Die wichtigste für mich Frage aber bleibt: soll ich meine Konto- und Kreditdaten sperren?

Wenn du kein Risiko eingehen musst du das machen. Dann müsstest du aber auch konsquenterweise gleich dein System neu aufsetzen

Zitat:

Zitat von cosinus (Beitrag 807494)

Wenn du kein Risiko eingehen musst du das machen. Dann müsstest du aber auch konsquenterweise gleich dein System neu aufsetzen

Hallo Arne,

Meinst du, dass das Ding noch auf den Rechner ist?

Gruß,
Jan

Das hab ich nicht gesagt. Nur wenn du jedes Risiko ausschließen willst weil du so wichtige Sachen machst, dann führt an der Neuinstallation nichts vorbei

Zitat:

Zitat von cosinus (Beitrag 807763)

Das hab ich nicht gesagt. Nur wenn du jedes Risiko ausschließen willst weil du so wichtige Sachen machst, dann führt an der Neuinstallation nichts vorbei

Hallo Arne,

Tja jedes Risiko kann man sowieso nicht ausschließen. Die Frage ist aber, das Risiko in bestimmten akzeptablen Grenzen zu halten. Meinst du, wenn ich mein Rechner weiter für Online-Banking benutzen will, dass ich das System neu installieren soll? Findest du, dass mein System noch infiziert ist?

Freundliche Grüße,
Jan

Dazu müsste man noch genauer analysieren bevor ich hier eine Aussage mache. Ich hab vorher nur eingelenkt weil du wohl doch erhebliche Zweifel bzw. doch etwas beängstigst warst wegen deiner Bankkonten. Wenn ich sowas lese, dann frag ich erst Recht zuerst danach ob du nicht lieber neu aufsetzen willst

Du musst doch halt entscheiden:
Garantiert jeder Schädling weg => neuinstallation
mit sehr hoher Wahrscheinlichkeit alle Schädlinge weg => Bereinigung

Beide Wege sind unangenehm, such dir den am wenigsten unangehmen aus :pfeiff:

Hallo Arne,

Also Neuinstallation klingt für mich zu aufwendig.
Was meinst du unter Bereinigung. Ich habe nämlich das System mit so vielen Virenscanner überprüft, mit OTL und Combofix auch. Was soll ich noch tun?
Und meinst du, dass der Trojaner überhaupt meine Daten gesnifft hat? Wie gesagt, da kam immer 2-mal ein Fenster "Öffnen mit" bei jedem Neustart. War das Ding überhaupt in dieser Zeit aktiv?

Grüße,
Jan

Zitat:

mit OTL und Combofix auch. Was soll ich noch tun?

Wieso mit Combofix? :balla:
Wieso erwähnst du das jetzt erst und warum hast du nicht gleich alle Logs gepostet
Warum willst du hier Hilfe wenn du hier so intransparent handelst und man sowas wie das mit CF nebenbei erst zufällig nebenbei erfährt?

http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

Und meinst du, dass der Trojaner überhaupt meine Daten gesnifft hat?

Wahrscheinlich nicht aber sowas lässt sich nie zu 100% Genauigkeit sagen! Erst recht nicht, wenn man hier nicht alle Logs von dir sieht. Das Fixscript von OTL wäre übrigens auch zu posten

Hallo Arne,
Die Benutzung von Combofix habe ich auf eigene Gefahr übernommen, tut mir leid. Zu den logs:
1. OTL habe ich mit folgenden Script ausgeführt:

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

2. Für den Fix habe ich dann das benutzt:

Code:

:OTL

O4 - HKCU..\Run: [SkypePM] C:\Users\***\AppData\Local\Skype\SkypePM.exe ()

 :Files

C:\Users\***\AppData\Local\Skype

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

3. Der Log im Ordner _OTL war:

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.

C:\Users\***\AppData\Local\Skype\SkypePM.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

 

User: All Users

 

User: Default

 

User: Default User

 

User: ***

->Flash cache emptied: 46086 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 55399 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 12118713 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: ***

->Temp folder emptied: 2016 bytes

->Temporary Internet Files folder emptied: 155801206 bytes

->Java cache emptied: 3370199 bytes

->FireFox cache emptied: 1052707245 bytes

->Google Chrome cache emptied: 410112761 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 104605910 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67563 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1.658,00 mb

 

 

OTL by OldTimer - Version 3.2.39.2 log created on 03312012_234617
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

4. Danach habe ich Combofix ausgeführt. Der Inhalt der Datei "ComboFix-quarantined-files.txt":

Code:

2012-03-31 22:31:29 . 2012-03-31 22:31:29            3,904 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1}.reg.dat

2012-03-31 22:31:18 . 2012-03-31 22:31:18               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-SynTPEnh.reg.dat

2012-03-31 22:31:18 . 2012-03-31 22:31:18              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat

2012-03-31 22:31:17 . 2012-03-31 22:31:17               78 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-10.reg.dat

2012-03-31 22:30:56 . 2012-03-31 22:30:56               90 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-10.reg.dat

2012-03-31 22:22:26 . 2009-07-14 01:39:54           83,456 ----a-w-  C:\Qoobox\Quarantine\C\Windows\System32\winver.exe.vir

2012-03-31 22:20:06 . 2012-03-31 22:20:06           21,439 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2012-03-31 22:13:50 . 2012-03-31 22:22:27              170 ----a-w-  C:\Qoobox\Quarantine\catchme.log

2011-03-12 20:50:28 . 2010-11-20 12:18:02          197,632 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\42CC28.exe.vir

2011-01-24 16:33:51 . 2011-01-24 22:34:19              127 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi.vir

2011-01-24 16:33:51 . 2011-01-24 22:34:19            1,488 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi.vir

2011-01-24 16:33:34 . 2011-01-24 22:34:29              106 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr.vir

2011-01-24 16:33:34 . 2011-01-24 22:34:29        1,507,328 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp.vir

2011-01-12 21:42:01 . 2011-01-17 23:02:26               33 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr.vir

2011-01-12 21:42:01 . 2011-01-12 21:42:03        4,310,930 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx.vir

Der Inhalt der Datei "Add-Remove Programs.txt" ist:

Code:

4500_G510af_Help

4500G510af

4500G510af_Software_Min

ActiveCheck component for HP Active Support Library

Adobe Flash Player 10 ActiveX

Adobe Reader 9.5.0 - Deutsch

AMD USB Filter Driver

ArcSoft Print Creations

ArcSoft Print Creations - Album Page

ArcSoft Print Creations - Funhouse

ArcSoft Print Creations - Greeting Card

ArcSoft Print Creations - Photo Book

ArcSoft Print Creations - Photo Calendar

ArcSoft Print Creations - Scrapbook

ArcSoft Print Creations - Slimline Card

µTorrent

BufferChm

Catalyst Control Center - Branding

Catalyst Control Center Core Implementation

Catalyst Control Center Graphics Full Existing

Catalyst Control Center Graphics Full New

Catalyst Control Center Graphics Light

Catalyst Control Center Graphics Previews Common

Catalyst Control Center Graphics Previews Vista

Catalyst Control Center InstallProxy

Catalyst Control Center Localization All

ccc-core-static

CCC Help Chinese Standard

CCC Help Chinese Traditional

CCC Help Czech

CCC Help Danish

CCC Help Dutch

CCC Help English

CCC Help Finnish

CCC Help French

CCC Help German

CCC Help Greek

CCC Help Hungarian

CCC Help Italian

CCC Help Japanese

CCC Help Korean

CCC Help Norwegian

CCC Help Polish

CCC Help Portuguese

CCC Help Russian

CCC Help Spanish

CCC Help Swedish

CCC Help Thai

CCC Help Turkish

CCScore

CDex - Open Source Digital Audio CD Extractor

DAEMON Tools Lite

Destinations

DeviceDiscovery

Directory Compare

DivX-Setup

DivX Plus DirectShow Filters

DocMgr

DocProc

ESSBrwr

ESSCDBK

ESScore

ESSgui

ESSini

ESSPCD

ESSPDock

ESSTOOLS

essvatgt

FastStone Image Viewer 4.2

Fax

FlashGet 1.9.6.1073

FreePDF (Remove only)

Google Chrome

Google Earth Plug-in

Google Update Helper

GPBaseService2

GPL Ghostscript 8.71

HP Customer Experience Enhancements

HP MediaSmart DVD

HP MediaSmart Webcam

HP Quick Launch Buttons

HP Support Assistant

HP Update

HPAsset component for HP Active Support Library

HPProductAssistant

IDT Audio

IrfanView (remove only)

Java Auto Updater

Java(TM) 6 Update 26

JMicron JMB38X Flash Media Controller Driver

Juniper Networks Host Checker

Juniper Networks Network Connect 6.3.0

Juniper Networks Setup Client

Juniper Networks Setup Client Activex Control

K-Lite Mega Codec Pack 5.4.4

Kodak EasyShare Software

LightScribe System Software

LightScribe Template Labeler

Microsoft Silverlight

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

Mozilla Firefox 11.0 (x86 de)

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

netbrdg

Notepad++

OfotoXMI

pdfsam

QLBCASL

Realtek 8136 8168 8169 Ethernet Driver

Scan

Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)

Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)

SFR

SHASTA

skin0001

SKINXSDK

Skype™ 5.8

SmartTools Office DDE-Fix

SmartWebPrinting

SolutionCenter

Sophos Anti-Virus

Sophos AutoUpdate

SpeedFan (remove only)

staticcr

Status

The KMPlayer (remove only)

Toolbox

tooltips

TrayApp

Update for Microsoft .NET Framework 4 Client Profile (KB2468871)

Update for Microsoft .NET Framework 4 Client Profile (KB2533523)

Update for Microsoft .NET Framework 4 Client Profile (KB2600217)

VC80CRTRedist - 8.0.50727.6195

VLC media player 1.0.3

VoipCheapCom

VoipRaider

VPRINTOL

WebReg

Windows Media Player Firefox Plugin

WIRELESS

5. Nach Combofix habe ich Java und Adobe Reader deinstalliert und wieder neu draufgesetzt und danach mit Mallwarebytes gescant. Die Ergebnisse sind in meinen vorherigen Posts. Danach habe ich mit diverser Virenscanner auch gecheckt und nach deiner Anweisung auch mit ESET.

Habe ich ein Mist gebaut?
Besten Dank für die Unterstützung!

Freundliche Grüße,
Jan

Was ist sehen wollte ist das richtige Combofix-Log => C:\combofix.txt!

Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Arne,

Anbei der Combofix Log:

Combofix Logfile:

Code:

ComboFix 12-03-31.03 - *** 01.04.2012   0:15.1.2 - x64

Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1033.18.4094.2765 [GMT 2:00]

ausgeführt von:: c:\users\***\Desktop\ComboFix.exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files (x86)\JMHL Loader

c:\users\***\AppData\Roaming\42CC28.exe

c:\users\***\AppData\Roaming\Local

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp

c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-31  ))))))))))))))))))))))))))))))

.

.

2012-03-31 22:22 . 2012-03-31 22:22        --------        d-----w-        c:\users\Default\AppData\Local\temp

2012-03-31 22:22 . 2012-03-31 22:22        --------        d-----w-        c:\users\Administrator\AppData\Local\temp

2012-03-31 21:46 . 2012-03-31 21:46        --------        d-----w-        C:\_OTL

2012-03-30 06:43 . 2012-03-14 03:27        8669240        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{6ACC1D5D-A2E1-4358-873E-EB510D6DB756}\mpengine.dll

2012-03-18 08:27 . 2012-03-18 08:27        592824        ----a-w-        c:\program files (x86)\Mozilla Firefox\gkmedias.dll

2012-03-18 08:27 . 2012-03-18 08:27        44472        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozglue.dll

2012-03-16 14:24 . 2012-03-16 14:24        --------        d-----w-        c:\program files (x86)\Common Files\Skype

2012-03-14 23:09 . 2011-11-19 15:20        5559152        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-03-14 23:09 . 2011-11-19 14:50        3968368        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe

2012-03-14 23:09 . 2011-11-19 14:50        3913584        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe

2012-03-14 17:16 . 2012-02-03 04:34        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-03-14 17:16 . 2012-02-10 06:36        1544192        ----a-w-        c:\windows\system32\DWrite.dll

2012-03-14 17:16 . 2012-02-10 05:38        1077248        ----a-w-        c:\windows\SysWow64\DWrite.dll

2012-03-14 08:08 . 2012-01-25 06:38        77312        ----a-w-        c:\windows\system32\rdpwsx.dll

2012-03-14 08:08 . 2012-01-25 06:38        149504        ----a-w-        c:\windows\system32\rdpcorekmts.dll

2012-03-14 08:08 . 2012-01-25 06:33        9216        ----a-w-        c:\windows\system32\rdrmemptylst.exe

2012-03-14 08:08 . 2012-02-17 06:38        1112064        ----a-w-        c:\windows\system32\rdpcorets.dll

2012-03-14 08:08 . 2012-02-17 06:38        1031680        ----a-w-        c:\windows\system32\rdpcore.dll

2012-03-14 08:08 . 2012-02-17 05:34        826880        ----a-w-        c:\windows\SysWow64\rdpcore.dll

2012-03-14 08:08 . 2012-02-17 04:58        210944        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-03-14 08:08 . 2012-02-17 04:57        23552        ----a-w-        c:\windows\system32\drivers\tdtcp.sys

2012-03-12 09:35 . 2012-03-12 10:45        --------        d-----w-        c:\users\***\AppData\Roaming\Juan M. Aguirregabiria

2012-03-12 09:35 . 2012-03-12 09:35        --------        d-----w-        c:\program files (x86)\Juan M. Aguirregabiria

2012-03-12 07:54 . 2012-03-12 07:54        --------        d-----w-        c:\windows\system32\Macromed

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-12 07:54 . 2011-06-08 05:59        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-02-23 08:18 . 2009-10-14 12:52        279656        ------w-        c:\windows\system32\MpSigStub.exe

2012-01-04 10:44 . 2012-02-15 07:52        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-01-04 08:58 . 2012-02-15 07:52        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2011-04-30 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7601.17514] .. c:\windows\system32\user32.dll

.

[-] 2011-04-30 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7601.17514] .. c:\windows\SysWOW64\user32.dll

[7] 2010-11-20 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll

[7] 2009-07-14 . E8B0FFC209E504CB7E79FC24E6C085F0 . 833024 . . [6.1.7600.16385] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PeerBlock"="c:\program files\PeerBlock\peerblock.exe" [2010-11-06 2646128]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]

Sophos AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]

@="service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]

"DisableMonitoring"=dword:00000001

.

R1 ntiomin;ntiomin; [x]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-02-29 158856]

R3 ALSysIO;ALSysIO;c:\users\KITTYI~1\AppData\Local\Temp\ALSysIO64.sys [x]

R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]

R3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]

R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]

R3 jrdusbser;Mobile Connector Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\jrdusbser.sys [x]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]

R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]

R3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [x]

R3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [x]

R3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [x]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 tsusbhub;tsusbhub; [x]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]

S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [x]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-10-14 92216]

S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]

S2 regi;regi;c:\windows\system32\drivers\regi.sys [x]

S2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SAVAdminService.exe [2010-10-27 69632]

S2 SAVService;Sophos Anti-Virus;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SavService.exe [2010-10-27 98304]

S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [x]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - PBFILTER

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2010-01-22 10:06        451872        ----a-w-        c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]

.

2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-07-21 610872]

"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424]

"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360]

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x1

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://search.imesh.com

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: &Alles mit FlashGet laden - c:\progra~2\FlashGet\jc_all.htm

IE: &Mit FlashGet laden - c:\progra~2\FlashGet\jc_link.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 195.234.128.7 195.234.128.16 85.233.58.60

DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} - hxxp://g80fw.dyndns.org:2015/nvEPLMedia.cab

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nlipcmtr.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17708

FF - prefs.js: browser.search.selectedEngine - Search Results

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=1083&systemid=1&sr=0&q=

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-10 - (no file)

Toolbar-10 - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files (x86)\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services]

"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,

   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

c:\program files (x86)\Juniper Networks\Common Files\dsNcService.exe

c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe

c:\program files (x86)\Sophos_FW\AutoUpdate\ALsvc.exe

c:\program files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-04-01  00:32:55 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-31 22:32

.

Vor Suchlauf: 13 Verzeichnis(se), 109.589.585.920 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 109.423.591.424 Bytes frei

.

- - End Of File - - 769E084043696F60AE79053AE394596D

Also bis jetzt habe ich gar nicht über leere Ordner geschaut. Jetzt habe ich gesucht - es gibt 2 solche leere Ordner:
1. Resco / Unterordner Defender (leer)
2. VCW VicMan's Photo Editor (leer)

Ich habe nach der Combofix Ausführung mehrere unnötige Programme deinstalliert, kann es daran liegen? Aber eigentlich waren solche Programme nicht installiert, :wtf:

Gruß,
Jan

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Arne,

Zitat:

Zitat von cosinus (Beitrag 808937)

1.) Geht der normale Modus wieder uneingeschränkt?

Ja, ich habe den Rechner eigentlich gar nicht im abgesicherten Modus bis jetzt gestartet.

Zitat:

Zitat von Mistfall (Beitrag 805719)

Hallo Miteinander,
Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der deutschen Flagge auf unseren Notebook gekriegt. Ich war auch zuhause und habe gleich mit dem Task Manager den Rechner neugestartet. Nachdem erfolgte bei jedem Neustart ein Fenster "Öffne mit..." für eine Datei genant genau so, wie auch unserer Notebook heißt. Beim Auswahl von Abbrechen, kommt den gleichen Fenster nochmal und wenn man wieder auf Abbrechen klickt verschwindet das Ganze und kommt während laufenden Betrieb nicht mehr. Erst beim nächsten Neustart wiederholt sich das Ganze.
Jan

Zitat:

Zitat von cosinus (Beitrag 808937)

2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ja, es gibt 2 solche Ordner, die leer sind:
1. "Resco" / Unterordner "Defender" (leer)
2. "VCW VicMan's Photo Editor" (leer)

Ich bin mir aber gar nicht sicher, ob die Programme überhaupt auf dem Rechner installiert waren - der Rechner wird hauptsächlich von meiner Frau benutzt. Nach dem Combofix habe ich ein Paar unnötige Programme deinstalliert, solche Namen klingen mir aber gar nicht bekannt vor.

Grüße,
Jan