Trojaner-Board - Google Umleitungen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google Umleitungen (https://www.trojaner-board.de/125965-google-umleitungen.html)

Google Umleitungen

Hallo,

leider hat das hier schon oft behandelte Thema, dass Suchergebnise von Google auf verschiedenste Werbeseiten umgeleitet werden, nun auch meine Frau erwischt.
Ich habe die 3 Schritte dieser Anleitung http://www.trojaner-board.de/69886-a...-beachten.html gemacht. Im Anhang meine Ergebnisse.
Danke für Eure Hilfe.

Code:

OTL logfile created on: 21.10.2012 14:17:13 - Run 3

OTL by OldTimer - Version 3.2.69.0     Folder = C:\TrojanerBoard

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy

 

1,50 Gb Total Physical Memory | 0,74 Gb Available Physical Memory | 49,51% Memory free

2,85 Gb Paging File | 2,25 Gb Available in Paging File | 78,76% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 149,04 Gb Total Space | 121,94 Gb Free Space | 81,81% Space Free | Partition Type: NTFS

 

Computer Name: PC-CHRISTINE | User Name: Christine | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2012.10.21 13:36:27 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\TrojanerBoard\OTL.exe

PRC - [2012.10.20 16:56:55 | 000,917,984 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe

PRC - [2012.05.24 20:39:22 | 027,112,840 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Dropbox\bin\Dropbox.exe

PRC - [2012.04.23 15:44:01 | 000,014,848 | ---- | M] (AxoNet Software GmbH) -- C:\Programme\Windows Home Server\LightsOutClientService.exe

PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2011.06.17 19:33:04 | 000,272,528 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\3.0.207\SSScheduler.exe

PRC - [2010.03.25 20:07:00 | 000,147,472 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe

PRC - [2010.03.25 20:07:00 | 000,124,224 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\shstat.exe

PRC - [2010.03.25 20:07:00 | 000,070,728 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe

PRC - [2010.03.25 20:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe

PRC - [2010.03.25 20:07:00 | 000,027,960 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\mfeann.exe

PRC - [2010.03.25 20:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe

PRC - [2009.08.25 16:00:00 | 000,226,624 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe

PRC - [2009.08.25 16:00:00 | 000,136,512 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\UdaterUI.exe

PRC - [2009.08.25 16:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe

PRC - [2009.08.25 16:00:00 | 000,091,456 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\McTray.exe

PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2005.08.06 02:07:30 | 000,061,440 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

PRC - [2002.07.12 18:33:12 | 001,581,056 | R--- | M] (C-Media Electronic Inc. (www.cmedia.com.tw)) -- C:\WINDOWS\mixer.exe

 

 
 ========== Modules (No Company Name) ==========

 

MOD - [2012.10.20 16:56:54 | 002,294,240 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll

MOD - [2012.08.17 12:11:22 | 001,840,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Services\e70343406253e43964f9fe1f42cfbd7c\System.Web.Services.ni.dll

MOD - [2012.08.17 12:10:51 | 000,212,992 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\8b84bb74d7724e147a642a1d5358feb7\System.ServiceProcess.ni.dll

MOD - [2012.08.17 12:09:15 | 000,971,264 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\3d5b7368bde0f65aa15d9f46b498cc89\System.Configuration.ni.dll

MOD - [2012.08.17 12:03:47 | 005,450,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\3bba1b8b0b5ef0be238b011cc7a0575e\System.Xml.ni.dll

MOD - [2012.08.17 12:03:41 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\01abbadafaf265d9f4ac9bbb247acb98\System.Windows.Forms.ni.dll

MOD - [2012.08.17 12:03:24 | 001,592,320 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\d86f2038209a4cf0d0f5b30f6375c9b2\System.Drawing.ni.dll

MOD - [2012.08.17 12:03:05 | 006,616,576 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Data\12c6fe8d4dd78f9bddf847d3b2821c03\System.Data.ni.dll

MOD - [2012.08.17 12:01:55 | 007,953,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll

MOD - [2012.08.17 12:01:48 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll

MOD - [2012.08.17 11:19:28 | 000,315,392 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll

MOD - [2012.08.17 11:19:22 | 000,040,960 | ---- | M] () -- C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll

MOD - [2012.06.13 15:05:56 | 002,933,248 | ---- | M] () -- C:\WINDOWS\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll

MOD - [2012.06.13 15:00:47 | 000,843,776 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_cd51b3a8\system.drawing.dll

MOD - [2012.06.13 15:00:18 | 003,035,136 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_d85893cf\system.windows.forms.dll

MOD - [2012.06.13 14:59:43 | 000,471,040 | ---- | M] () -- c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll

MOD - [2012.01.11 16:42:28 | 003,391,488 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_6dd7c4e4\mscorlib.dll

MOD - [2012.01.11 16:41:59 | 002,088,960 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_39bb9269\system.xml.dll

MOD - [2012.01.11 16:41:35 | 001,966,080 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_003a04d1\system.dll

MOD - [2012.01.11 16:41:16 | 001,232,896 | ---- | M] () -- c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll

MOD - [2012.01.11 16:41:15 | 001,269,760 | ---- | M] () -- c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll

MOD - [2012.01.11 16:41:13 | 002,064,384 | ---- | M] () -- c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll

MOD - [2010.10.23 01:02:58 | 001,339,392 | ---- | M] () -- c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll

MOD - [2010.10.23 01:02:58 | 000,372,736 | ---- | M] () -- c:\windows\assembly\gac\system.management\1.0.5000.0__b03f5f7f11d50a3a\system.management.dll

MOD - [2010.10.23 01:02:58 | 000,323,584 | ---- | M] () -- c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll

MOD - [2010.03.25 20:07:00 | 000,148,800 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\VsEvntUI.DLL

MOD - [2009.08.25 16:00:00 | 000,057,344 | ---- | M] () -- C:\Programme\McAfee\Common Framework\boost_thread-vc71-mt-1_32.dll

MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU

MOD - [2005.08.22 16:38:16 | 003,264,512 | ---- | M] () -- C:\Programme\McAfee\Common Framework\cryptocme2.dll

 

 
 ========== Services (SafeList) ==========

 

SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)

SRV - [2012.10.14 11:09:34 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)

SRV - [2012.10.10 17:42:10 | 000,250,808 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)

SRV - [2012.04.23 15:44:01 | 000,014,848 | ---- | M] (AxoNet Software GmbH) [Auto | Running] -- C:\Programme\Windows Home Server\LightsOutClientService.exe -- (LoClntService)

SRV - [2011.06.17 19:33:04 | 000,237,008 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\3.0.207\McCHSvc.exe -- (McComponentHostService)

SRV - [2010.03.25 20:07:00 | 000,147,472 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield)

SRV - [2010.03.25 20:07:00 | 000,070,728 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)

SRV - [2010.03.25 20:07:00 | 000,066,880 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager)

SRV - [2010.03.25 20:07:00 | 000,022,816 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe -- (McAfeeEngineService)

SRV - [2009.08.25 16:00:00 | 000,103,744 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)

SRV - [2006.03.03 21:03:10 | 000,069,632 | ---- | M] (HP) [Auto | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

DRV - [2010.03.25 20:07:00 | 000,343,920 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)

DRV - [2010.03.25 20:07:00 | 000,091,832 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)

DRV - [2010.03.25 20:07:00 | 000,075,704 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)

DRV - [2010.03.25 20:07:00 | 000,066,600 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)

DRV - [2010.03.25 20:07:00 | 000,064,208 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)

DRV - [2010.03.25 20:07:00 | 000,043,288 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)

DRV - [2009.05.01 01:01:34 | 000,265,496 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)

DRV - [2009.05.01 00:55:56 | 002,687,512 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LV302V32.SYS -- (PID_PEPI)

DRV - [2009.05.01 00:55:32 | 000,013,976 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lv302af.sys -- (pepifilter)

DRV - [2008.04.14 01:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)

DRV - [2007.12.06 09:51:00 | 000,285,952 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)

DRV - [2007.04.16 21:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)

DRV - [2006.02.20 18:59:36 | 000,083,344 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w810obex.sys -- (w810obex)

DRV - [2006.02.20 18:59:34 | 000,085,408 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w810mgmt.sys -- (w810mgmt)

DRV - [2006.02.20 18:59:33 | 000,094,064 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w810mdm.sys -- (w810mdm)

DRV - [2006.02.20 18:59:31 | 000,008,336 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w810mdfl.sys -- (w810mdfl)

DRV - [2006.02.20 18:59:27 | 000,058,288 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w810bus.sys -- (w810bus)

DRV - [2005.08.04 05:10:18 | 001,273,344 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2005.01.19 10:18:17 | 000,077,312 | R--- | M] (VIA Technologies inc,.ltd) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\viasraid.sys -- (viasraid)

DRV - [2005.01.19 10:18:12 | 000,159,744 | R--- | M] (Promise Technology, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\Fasttx2k.sys -- (fasttx2k)

DRV - [2003.07.02 05:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1)

DRV - [2002.07.16 12:58:12 | 000,379,726 | R--- | M] (C-Media Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmaudio.sys -- (cmpci)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-515967899-651377827-1417001333-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKU\S-1-5-21-515967899-651377827-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKU\S-1-5-21-515967899-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "hxxp://www.orf.at/"

FF - prefs.js..extensions.enabledAddons: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20120926

FF - prefs.js..extensions.enabledAddons: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:2.2.2

FF - prefs.js..extensions.enabledAddons: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}:6.0.33

FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20110704

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..network.proxy.type: 0

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_35: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.10.20 16:56:56 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 16.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.10.20 16:56:35 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.18 17:23:01 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 16.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

 

[2010.10.23 01:48:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Extensions

[2010.10.23 01:48:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

[2012.10.09 17:19:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\extensions

[2012.10.09 17:19:16 | 000,000,000 | ---D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}

[2012.10.05 19:32:34 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}

[2012.08.02 09:01:05 | 000,741,958 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi

[2012.10.20 16:56:23 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2012.10.20 16:56:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}

[2012.10.20 16:56:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

[2012.10.20 16:56:55 | 000,261,600 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2010.03.25 20:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\mozilla firefox\components\Scriptff.dll

[2012.03.04 14:23:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012.09.13 20:04:21 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012.03.04 14:23:11 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012.03.04 14:23:11 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012.03.04 14:23:11 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012.03.04 14:23:11 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2012.08.17 10:27:50 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))

O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\udaterui.exe (McAfee, Inc.)

O4 - HKLM..\Run: [Ptipbmf] C:\WINDOWS\System32\ptipbmf.dll (Promise Technology, Inc.)

O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)

O4 - HKLM..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found

O4 - HKU\.DEFAULT..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe ()

O4 - HKU\S-1-5-18..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe ()

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\3.0.207\SSScheduler.exe (McAfee, Inc.)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\Christine\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-515967899-651377827-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1345192310984 (MUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A19689A2-9BAE-4829-BF38-778300B05951}: NameServer = 10.0.0.138

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Christine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Christine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2002.01.01 01:33:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2012.10.21 14:03:54 | 000,000,000 | ---D | C] -- C:\TrojanerBoard

[2012.10.21 13:22:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christine\Desktop\tdsskiller_2.5.5.0

[2012.10.20 17:22:31 | 000,000,000 | ---D | C] -- C:\QUARANTINE

[2012.10.20 16:56:11 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox

[2012.10.10 17:42:07 | 010,220,472 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[17 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2012.10.21 14:08:09 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Christine\defogger_reenable

[2012.10.21 14:06:34 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Christine\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.URL

[2012.10.21 14:05:09 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2012.10.21 13:57:30 | 000,000,111 | ---- | M] () -- C:\Dokumente und Einstellungen\Christine\Desktop\Google-Verlinkungen falsch - kaum noch nutzbar - Trojaner-Board.URL

[2012.10.21 13:42:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2012.10.21 13:22:25 | 001,309,375 | ---- | M] () -- C:\Dokumente und Einstellungen\Christine\Desktop\tdsskiller_2.5.5.0.zip

[2012.10.18 18:09:05 | 000,000,310 | ---- | M] () -- C:\WINDOWS\tasks\iquail.job

[2012.10.18 18:09:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2012.10.18 18:09:00 | 1609,879,552 | -HS- | M] () -- C:\hiberfil.sys

[2012.10.18 11:14:09 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat

[2012.10.12 17:19:22 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Christine\Desktop\Microsoft Word.lnk

[2012.10.11 11:03:59 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2012.10.10 17:42:10 | 000,696,760 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe

[2012.10.10 17:42:09 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2012.10.10 17:42:07 | 010,220,472 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[17 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2012.10.21 14:08:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\defogger_reenable

[2012.10.21 14:06:34 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Desktop\Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten - Trojaner-Board.URL

[2012.10.21 13:57:30 | 000,000,111 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Desktop\Google-Verlinkungen falsch - kaum noch nutzbar - Trojaner-Board.URL

[2012.10.21 13:22:24 | 001,309,375 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Desktop\tdsskiller_2.5.5.0.zip

[2012.08.16 15:51:45 | 000,110,592 | RHS- | C] () -- C:\WINDOWS\System32\tspkg4.dll

[2012.02.15 17:14:43 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2011.09.04 07:29:12 | 000,082,289 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini

[2010.11.23 18:12:24 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.11.07 18:26:01 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.10.24 21:47:11 | 000,526,249 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Anwendungsdaten\mdbu.bin

[2010.10.23 22:18:46 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

[2010.10.23 22:17:10 | 000,000,171 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini

[2010.10.23 22:16:21 | 000,000,740 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini

[2010.10.23 22:14:09 | 000,121,158 | ---- | C] () -- C:\WINDOWS\hpoins11.dat

[2010.10.23 22:13:49 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll

[2010.10.23 22:13:28 | 000,006,947 | ---- | C] () -- C:\WINDOWS\hpomdl11.dat

[2002.01.01 01:22:03 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\Christine\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

 
 ========== ZeroAccess Check ==========

 

[2002.01.01 02:15:08 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shdocvw.dll -- [2012.06.28 23:32:24 | 001,510,400 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both
 

< End of report >

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

[2012.10.18 18:09:05 | 000,000,310 | ---- | M] () -- C:\WINDOWS\tasks\iquail.job

[2012.08.16 15:51:45 | 000,110,592 | RHS- | C] () -- C:\WINDOWS\System32\tspkg4.dll

 :Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

downloade get info:
File-Upload.net - GetInfo.exe
doppelklicke die .exe
im selben ordner wird nun eine .txt erstellt:
summary-info.txt
diese doppelklicken und deren inhalt posten.

Code:

All processes killed

========== OTL ==========

C:\WINDOWS\tasks\iquail.job moved successfully.

C:\WINDOWS\system32\tspkg4.dll moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Christine

->Flash cache emptied: 12156 bytes

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Christine

->Temp folder emptied: 584304773 bytes

->Temporary Internet Files folder emptied: 82227355 bytes

->Java cache emptied: 9604460 bytes

->FireFox cache emptied: 974150599 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352202 bytes

%systemroot%\System32 .tmp files removed: 17436871 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 20153538 bytes

RecycleBin emptied: 4293661701 bytes

 

Total Files Cleaned = 5.707,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 10212012_191825
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Upload der MovedFiles.zip erfolgreich durchgeführt.

das getinfo log fehlt noch, wie das zu erstellen ist, steht unter der anleitung für den upload :-)
danach:

lade und instaliere 7zip:
7-Zip
gehe dann auf start, ausführen, tippe:
regedit
enter
dort klappe auf der linken seite alles zu.
Gehe dann auf datei, speichern unter, suche einen ort, den du leicht wiederfindest, und vergib einen dateinamen, den du leicht wieder erkennst.
schließe den registrierungseditor nach dem speichern, navigiere zu der datei die du soeben erstellt hast, rechtsklick, 7zip menü aufklappen, zu einem archiv hinzufügen wählen.
folgene einstellungen vornemen:
archivtyp, 7zip
kompressionsstärke: ultra
kompress.verfahren: lzma2
wörterbuchgröße: 64 mb
wortgröße: 273
größe solider blöcke: solide
klicke nun auf ok, archiv wird erstellt.
dieses lädst du bei:
File-Upload.net - Ihr kostenloser File Hoster!
hoch und sendest mir den download link bitte als private nachicht.

Frage:
hast du zum infektionszeitpunkt, bzw evtl. einen tag davor, etwas runtergeladen und instaliert bzw ausgeführt?
wurdest du beim besuch einer seite aufgefordert etwas zu instalieren bzw runterzuladen? diese infos hätte ich auch gern als private nachicht.

Zitat:

Zitat von markusg (Beitrag 942576)

das getinfo log fehlt noch, wie das zu erstellen ist, steht unter der anleitung für den upload :-)

Sorry hier:

Code:

System volume information:         dwHighDateTime = 0x1c19251,dwLowDateTime = 0x958b6492

System32:                         dwHighDateTime = 0x1c19258,dwLowDateTime = 0x5f4c9e9e

dwSerialNumber = 0xc05a9d6c

Rest folgt ...

danke!

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So jetzt hab ich etwas falsch gemacht.

Habe Combofix heruntergeladen aber nicht am Desktop. Nach einem Lauf hebe ich es bemerkt, die Datei am Desktop kopiert und noch einmal laufen lassen, damit ist aber die LOG vom ersten mal wohl weg (ich finde nur die C:\ComboFix.txt) ???

Hier die Log vom 2. Lauf:

Code:

ComboFix 12-10-21.02 - Christine 21.10.2012  21:03:38.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1058 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Christine\Desktop\ComboFix.exe

AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-21 bis 2012-10-21  ))))))))))))))))))))))))))))))

.

.

2012-10-21 17:50 . 2012-10-21 17:50        --------        d-----w-        c:\programme\7-Zip

2012-10-21 17:18 . 2012-10-21 17:32        --------        d-----w-        C:\_OTL

2012-10-20 15:22 . 2012-10-20 15:22        --------        d-----w-        C:\QUARANTINE

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-10 15:42 . 2012-06-01 16:13        696760        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-10-10 15:42 . 2011-07-28 15:25        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-08-28 18:24 . 2012-07-30 06:42        477168        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-08-28 18:24 . 2010-10-24 19:33        473072        ----a-w-        c:\windows\system32\deployJava1.dll

2012-08-28 16:39 . 2012-07-30 06:42        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2012-08-28 15:05 . 2008-04-14 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-08-28 15:05 . 2008-04-14 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-08-28 15:05 . 2008-04-14 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-08-28 12:07 . 2008-04-14 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-08-24 13:53 . 2008-04-14 12:00        177664        ----a-w-        c:\windows\system32\wintrust.dll

2012-08-23 06:26 . 2008-04-14 12:00        2195200        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-08-23 06:26 . 2008-04-14 07:30        2071936        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-10-20 14:56 . 2012-10-20 14:56        261600        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

2010-03-25 18:07 . 2012-10-20 14:56        23864        ----a-w-        c:\programme\mozilla firefox\components\Scriptff.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ptipbmf"="ptipbmf.dll" [2005-01-19 118784]

"C-Media Mixer"="Mixer.exe" [2002-07-12 1581056]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 61440]

"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-08-25 136512]

"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-03-25 124224]

"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2009-04-30 460048]

.

c:\dokumente und einstellungen\Christine\Startmenü\Programme\Autostart\

Dropbox.lnk - c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]

McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.207\SSScheduler.exe [2011-6-17 272528]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Dokumente und Einstellungen\\Christine\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

.

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [01.01.2002 01:45 77312]

R2 LoClntService;LightsOut Client Dienst;c:\programme\Windows Home Server\LightsOutClientService.exe [23.04.2012 15:44 14848]

R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [25.03.2010 20:07 22816]

R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [23.10.2010 00:40 70728]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [01.06.2012 18:13 250808]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.207\McCHSvc.exe [17.06.2011 19:33 237008]

S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [23.10.2010 00:40 66600]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [01.06.2012 18:15 115168]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-10-21 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-01 15:42]

.

.

------- Zusätzlicher Suchlauf -------

.

TCP: Interfaces\{A19689A2-9BAE-4829-BF38-778300B05951}: NameServer = 10.0.0.138

FF - ProfilePath - c:\dokumente und einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.orf.at/

FF - prefs.js: network.proxy.type - 0

FF - ExtSQL: 2012-09-10 20:40; {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-21 21:07

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(2604)

c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

c:\windows\system32\webcheck.dll

c:\programme\McAfee\VirusScan Enterprise\scriptsn.dll

c:\programme\McAfee\VirusScan Enterprise\mytilus3.dll

c:\programme\McAfee\VirusScan Enterprise\mytilus3_worker.dll

c:\programme\McAfee\VirusScan Enterprise\RES0700\McShield.dll

c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU

.

Zeit der Fertigstellung: 2012-10-21  21:08:22

ComboFix-quarantined-files.txt  2012-10-21 19:08

ComboFix2.txt  2012-10-21 18:48

.

Vor Suchlauf: 13 Verzeichnis(se), 137.144.532.992 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 137.136.513.024 Bytes frei

.

- - End Of File - - 6117530749C19A51F429D26F0C47E26B

die combofix.txt sollte auf c: liegen

Ja das ist die oben gepostete, allerdings ist das die log nach dem ComboFix bereits das 2. mal gelaufen ist.

ja und auf c: liegt dann noch eine combofix.txt und combofix2.txt

Ok, bin auf die Suche gegangen, da gibt es C:\Qoobox in der war jetzt eine ComboFix2.txt die aber nach Zeitstempel in der ersten Zeile wohl die des ersten Durchgangs war:

Code:

ComboFix 12-10-21.02 - Christine 21.10.2012  20:42:53.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1535.1124 [GMT 2:00]

ausgeführt von:: c:\dropbox\Familie\TrojanerBoard\ComboFix.exe

AV: McAfee VirusScan Enterprise *Disabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Christine\WINDOWS

c:\programme\Bat

c:\programme\Bat\Backup_Christine.bat

c:\programme\Bat\Klasse1-3.xls

c:\programme\Bat\wol.exe

c:\windows\system32\FlashPlayerInstaller.exe

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-09-21 bis 2012-10-21  ))))))))))))))))))))))))))))))

.

.

2012-10-21 17:50 . 2012-10-21 17:50        --------        d-----w-        c:\programme\7-Zip

2012-10-21 17:18 . 2012-10-21 17:32        --------        d-----w-        C:\_OTL

2012-10-20 15:22 . 2012-10-20 15:22        --------        d-----w-        C:\QUARANTINE

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-10 15:42 . 2012-06-01 16:13        696760        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-10-10 15:42 . 2011-07-28 15:25        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-08-28 18:24 . 2012-07-30 06:42        477168        ----a-w-        c:\windows\system32\npdeployJava1.dll

2012-08-28 18:24 . 2010-10-24 19:33        473072        ----a-w-        c:\windows\system32\deployJava1.dll

2012-08-28 16:39 . 2012-07-30 06:42        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2012-08-28 15:05 . 2008-04-14 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-08-28 15:05 . 2008-04-14 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-08-28 15:05 . 2008-04-14 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-08-28 12:07 . 2008-04-14 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-08-24 13:53 . 2008-04-14 12:00        177664        ----a-w-        c:\windows\system32\wintrust.dll

2012-08-23 06:26 . 2008-04-14 12:00        2195200        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-08-23 06:26 . 2008-04-14 07:30        2071936        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-10-20 14:56 . 2012-10-20 14:56        261600        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

2010-03-25 18:07 . 2012-10-20 14:56        23864        ----a-w-        c:\programme\mozilla firefox\components\Scriptff.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-10-31 21:02        94208        ----a-w-        c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ptipbmf"="ptipbmf.dll" [2005-01-19 118784]

"C-Media Mixer"="Mixer.exe" [2002-07-12 1581056]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 61440]

"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2009-08-25 136512]

"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-03-25 124224]

"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"WUAppSetup"="c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe" [2009-04-30 460048]

.

c:\dokumente und einstellungen\Christine\Startmenü\Programme\Autostart\

Dropbox.lnk - c:\dokumente und einstellungen\Christine\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]

McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.207\SSScheduler.exe [2011-6-17 272528]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Dokumente und Einstellungen\\Christine\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=

.

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [01.01.2002 01:45 77312]

R2 LoClntService;LightsOut Client Dienst;c:\programme\Windows Home Server\LightsOutClientService.exe [23.04.2012 15:44 14848]

R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [25.03.2010 20:07 22816]

R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [23.10.2010 00:40 70728]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [01.06.2012 18:13 250808]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.207\McCHSvc.exe [17.06.2011 19:33 237008]

S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [23.10.2010 00:40 66600]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [01.06.2012 18:15 115168]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-10-21 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-01 15:42]

.

.

------- Zusätzlicher Suchlauf -------

.

TCP: Interfaces\{A19689A2-9BAE-4829-BF38-778300B05951}: NameServer = 10.0.0.138

FF - ProfilePath - c:\dokumente und einstellungen\Christine\Anwendungsdaten\Mozilla\Firefox\Profiles\j1fe7p8p.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.orf.at/

FF - prefs.js: network.proxy.type - 0

FF - ExtSQL: 2012-09-10 20:40; {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-10-21 20:47

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2012-10-21  20:48:48

ComboFix-quarantined-files.txt  2012-10-21 18:48

.

Vor Suchlauf: 12 Verzeichnis(se), 137.022.541.824 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 137.152.126.976 Bytes frei

.

- - End Of File - - 2C8E6604E3C2BC982E14ADF7A69C9E75

Dort gibt es auch noch
Add-Remove Programs.txt und
ComboFix-quarantined-files.txt
sowie 2 Ordner
BackEnv
Quarantine

ok, passt
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

"Leider" nichts ...

Code:

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.10.21.05
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Christine :: PC-CHRISTINE [Administrator]
 

21.10.2012 21:43:27

mbam-log-2012-10-21 (21-43-27).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 235372

Laufzeit: 1 Stunde(n), 18 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Hmm, bin nicht ganz sicher was das nun bedeutet.

Ich habe ja nur deine Schritte nachvollzogen. Wurden da jetzt Probleme vorher beseitigt und Malwarebytes findet nichts mehr oder sind die Probleme noch da?

Momentan sehen die links nach Google Suche wieder vernünftig aus.

Hmm, bin nicht ganz sicher was das nun bedeutet.

Ich habe ja nur deine Schritte nachvollzogen. Wurden da jetzt Probleme vorher beseitigt und Malwarebytes findet nichts mehr oder sind die Probleme noch da?

Momentan sehen die links nach Google Suche wieder vernünftig aus.

hi
pc ist soweit ok
lade den CCleaner standard:
CCleaner Download - CCleaner 3.23.1823
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo, zuerst auch hier noch einmal vielen Dank.

Zitat:

... liste der instalierten programme, als txt speichern.

Nur zur Info, was angeboten wird ist eine zu speichernde Liste unter "Programme deinstallieren"

Die ist eigentlich recht sauber.
Ob ich die ganzen .Net benötige bezweifle ich einmal

Code:

Microsoft .NET Framework 1.1                13.06.2012                

Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        13.06.2012        184,00MB        2.2.30729

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        17.08.2012        6,30MB        2.2.30729

Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        09.05.2012        239,00MB        3.2.30729

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        17.08.2012        37,22MB        3.2.30729

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU        Microsoft Corporation        17.08.2012                

Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        09.05.2012                

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        17.08.2012                4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        17.08.2012                4.0.30319

aber die benötigen ja vermutlich das eine oder andere Programm, ich glaub ich lass das jetzt einmal.

2 Sachen würden mich aber noch brennend interessieren.

1) In welchem Schritt wurde der PC nun eigentlich gereinigt :crazy:
2) Warum hat McAfee nicht vor dem Befall geschützt?