Trojaner-Board - Weißer Bildschirm nach Start von Windows 7

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Weißer Bildschirm nach Start von Windows 7 (https://www.trojaner-board.de/131587-weisser-bildschirm-start-windows-7-a.html)

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Der Scanvorgang ist noch im Gang.

Folgendes Fenster hat sich aber geöffnet: siehe Anhang 'Foto.jpg'

Und es wird folgende Frage gestellt: 'Do you want the file removed also?'

Do I?

sorry, kann leider schlecht sehen, deswegen mal als text bitte

Folgende Meldung:

Location of startup: FILE
C:\32788R22FWJFW\EN-US\IEXPLORE.EXE

This trojan horse program was found on your machine.
It has been shut down, but the FILE from which it
started still remains and can be started up again.

Do you want the file removed also?

Ja/Nein

Erledigt.

Folgendes Fenster hat sich jetzt noch (zweimal) geöffnet:

BOCLEAN SHUTDOWN ORDERED!!!

BOClean has been told to shut down.

You have NO protection if BOClean is shut down.

Should BOClean be shut down?

Ja/Nein

(Hinter diesen beiden Fenstern hat sich in der Zwischenzeit schon die log-Datei geöffnet)

ok dann poste mal das log und starte neu.

Hab den Computer neu gestartet (hat funktioniert).

Anbei die log-Datei:

Code:

ComboFix 13-02-26.01 - Thomas 27.02.2013  20:07:48.1.2 - x86

Microsoft Windows 7 Professional   6.1.7600.0.1252.43.1031.18.3067.1962 [GMT 1:00]

ausgeführt von:: c:\users\Thomas\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\Roaming

c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini

c:\windows\IsUn0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-27 bis 2013-02-27  ))))))))))))))))))))))))))))))

.

.

2013-02-28 00:02 . 2013-02-28 00:02        --------        d-----w-        C:\_OTL

2013-02-27 19:18 . 2013-02-27 19:18        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-02-27 03:40 . 2013-02-27 03:40        --------        d-----w-        C:\FRST

2013-02-27 02:38 . 2013-02-27 02:38        --------        d-----w-        c:\windows\WinClon

2013-02-26 16:10 . 2013-02-08 00:45        6954968        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{4950A564-A42F-4FA3-AC1A-E8245A1C70BD}\mpengine.dll

2013-02-13 11:37 . 2013-01-04 03:00        2345984        ----a-w-        c:\windows\system32\win32k.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-27 18:32 . 2012-04-13 10:25        691568        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-02-27 18:32 . 2011-05-20 15:09        71024        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-17 00:28 . 2010-01-05 15:03        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-01-10 17:11 . 2003-03-19 04:14        499712        ----a-w-        c:\windows\system32\msvcp71.dll

2013-01-10 17:11 . 2003-02-21 12:42        348160        ----a-w-        c:\windows\system32\msvcr71.dll

2012-12-16 14:25 . 2012-12-22 14:57        295424        ----a-w-        c:\windows\system32\atmfd.dll

2012-12-16 14:25 . 2012-12-22 14:57        34304        ----a-w-        c:\windows\system32\atmlib.dll

2012-12-07 05:04 . 2013-01-09 10:19        308736        ----a-w-        c:\windows\system32\Wpc.dll

2012-12-07 04:57 . 2013-01-09 10:19        2576384        ----a-w-        c:\windows\system32\gameux.dll

2012-12-07 03:21 . 2013-01-09 10:19        45568        ----a-w-        c:\windows\system32\oflc-nz.rs

2012-12-07 03:21 . 2013-01-09 10:19        44544        ----a-w-        c:\windows\system32\pegibbfc.rs

2012-12-07 03:21 . 2013-01-09 10:19        43520        ----a-w-        c:\windows\system32\csrr.rs

2012-12-07 03:21 . 2013-01-09 10:19        30720        ----a-w-        c:\windows\system32\usk.rs

2012-12-07 03:21 . 2013-01-09 10:19        23552        ----a-w-        c:\windows\system32\oflc.rs

2012-12-07 03:21 . 2013-01-09 10:19        20480        ----a-w-        c:\windows\system32\pegi-pt.rs

2012-12-07 03:21 . 2013-01-09 10:19        20480        ----a-w-        c:\windows\system32\pegi.rs

2012-12-07 03:21 . 2013-01-09 10:19        20480        ----a-w-        c:\windows\system32\pegi-fi.rs

2012-12-07 03:21 . 2013-01-09 10:19        46592        ----a-w-        c:\windows\system32\fpb.rs

2012-12-07 03:21 . 2013-01-09 10:19        21504        ----a-w-        c:\windows\system32\grb.rs

2012-12-07 03:21 . 2013-01-09 10:19        55296        ----a-w-        c:\windows\system32\cero.rs

2012-12-07 03:21 . 2013-01-09 10:19        51712        ----a-w-        c:\windows\system32\esrb.rs

2012-12-07 03:21 . 2013-01-09 10:19        40960        ----a-w-        c:\windows\system32\cob-au.rs

2012-12-07 03:21 . 2013-01-09 10:19        15360        ----a-w-        c:\windows\system32\djctq.rs

2008-08-16 15:42 . 2013-02-08 17:28        13112        ----a-w-        c:\program files\mozilla firefox\plugins\cgpcfg.dll

2008-08-16 15:42 . 2013-02-08 17:28        70456        ----a-w-        c:\program files\mozilla firefox\plugins\CgpCore.dll

2008-08-16 15:42 . 2013-02-08 17:28        91448        ----a-w-        c:\program files\mozilla firefox\plugins\confmgr.dll

2008-08-16 15:42 . 2013-02-08 17:28        20800        ----a-w-        c:\program files\mozilla firefox\plugins\ctxlogging.dll

2008-08-16 15:43 . 2013-02-08 17:28        206136        ----a-w-        c:\program files\mozilla firefox\plugins\ctxmui.dll

2008-08-16 15:42 . 2013-02-08 17:28        31032        ----a-w-        c:\program files\mozilla firefox\plugins\icafile.dll

2008-08-16 15:42 . 2013-02-08 17:28        40248        ----a-w-        c:\program files\mozilla firefox\plugins\icalogon.dll

2008-05-21 06:41 . 2013-02-08 17:28        479232        ----a-w-        c:\program files\mozilla firefox\plugins\msvcm80.dll

2008-05-21 06:41 . 2013-02-08 17:28        548864        ----a-w-        c:\program files\mozilla firefox\plugins\msvcp80.dll

2008-05-21 06:41 . 2013-02-08 17:28        626688        ----a-w-        c:\program files\mozilla firefox\plugins\msvcr80.dll

2008-06-05 11:58 . 2013-02-08 17:28        648504        ----a-w-        c:\program files\mozilla firefox\plugins\sslsdk_b.dll

2008-08-16 15:42 . 2013-02-08 17:28        23864        ----a-w-        c:\program files\mozilla firefox\plugins\TcpPServ.dll

2013-02-08 17:29 . 2013-02-08 17:28        262552        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]

"BOC-427"="c:\progra~1\Comodo\CBOClean\BOC427.exe" [2008-07-14 351480]

"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2011-02-23 371200]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-11-28 151952]

"Adobe Version Cue CS2"="c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2013-01-10 295072]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux3"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk

backup=c:\windows\pss\BTTray.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk]

path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnk.Startup

backupExtension=.Startup

.

[HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]

path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk

backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]

NA [X]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-12-03 07:35        946352        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2012-01-03 21:51        37296        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]

2010-09-21 22:28        47904        ----a-w-        c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]

2012-11-28 13:13        59280        ----a-w-        c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2010-04-01 09:16        357696        ----a-w-        c:\program files\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2011-07-28 23:08        1259376        ----a-w-        c:\program files\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]

2011-02-23 20:19        371200        ----a-w-        c:\program files\FreePDF_XP\fpassist.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2009-02-26 17:36        30040        ----a-w-        c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2012-11-28 23:49        151952        ----a-w-        c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

2007-01-08 21:17        52256        ----a-w-        c:\program files\CyberLink\PowerDVD\Language\Language.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

2008-03-17 16:59        2289664        ----a-w-        c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PureSync]

2010-10-23 22:24        800832        ----a-w-        c:\program files\PureSync\PureSyncTray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2012-04-18 18:56        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2007-03-14 20:01        71216        ------w-        c:\program files\CyberLink\PowerDVD\PDVDServ.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2013-01-10 17:11        295072        ----a-w-        c:\program files\Real\RealPlayer\Update\realsched.exe

.

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [x]

R3 netw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]

R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]

S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]

S2 BOCore;BOCore;c:\program files\Comodo\CBOClean\BOCORE.exe [x]

S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [x]

S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]

S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [x]

S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [x]

S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]

S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]

S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [x]

S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 46364508

*Deregistered* - 46364508

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

HPService        REG_MULTI_SZ           HPSLPSVC

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-03-17 16:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-27 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-13 18:32]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.orf.at/

uInternet Settings,ProxyOverride = *.local

IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Free YouTube Download - c:\users\Thomas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\users\Thomas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 10.0.0.138

FF - ProfilePath - c:\users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\zqu00hmt.default\

FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)

FF - prefs.js: browser.startup.homepage - hxxp://diepresse.com/

FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=f6298d3200000000000000216b057bbf&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=

FF - ExtSQL: 2013-01-10 18:12; {34712C68-7391-4c47-94F3-8F88D49AD632}; c:\programdata\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-S4Uninst - c:\windows\IsUn0407.exe

AddRemove-Siedler3Deinstall - c:\windows\IsUn0407.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-2222114163-3763952628-3265587354-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

"??"=hex:6b,dd,49,50,fa,dc,bb,40,1e,3d,93,d1,38,bd,52,b6,fb,25,e8,b1,fc,ce,9d,

   1c,89,05,8f,bb,8e,57,61,ec,71,d8,09,90,25,7c,65,37,2e,e1,cf,4a,45,2c,72,b1,\

"??"=hex:7f,0f,46,d7,b4,e1,be,eb,43,0d,ea,94,03,e2,70,30

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Zeit der Fertigstellung: 2013-02-27  20:23:29

ComboFix-quarantined-files.txt  2013-02-27 19:23

.

Vor Suchlauf: 16 Verzeichnis(se), 62.291.603.456 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 67.338.248.192 Bytes frei

.

- - End Of File - - 8460DB84C3FA1614E153DD9EA526D5BD

Hi
http://www.trojaner-board.de/125889-...en-posten.html
poste alle bisher erstellten malwarebytes logs mit funden.
Dann updaten, vollständiger Scan und neues Log posten

Hallo,

von Malewarebytes habe ich keine aktuellen log-Dateien mit Funden. Allerdings folgende log-Datei von Avira Antivir:

Code:

Exportierte Ereignisse:
 

30.01.2013 17:45 [System Scanner] Malware gefunden

      Die Datei 'C:\Users\Thomas\AppData\Local\Microsoft\Windows\Temporary Internet 

      Files\Content.IE5\TI1QQQ6T\regular[1].htm'

      enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B' 

      [exploit].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5413e3a4.qua' 

      verschoben!
 

30.01.2013 17:44 [Echtzeit Scanner] Malware gefunden

      In der Datei 'C:\Users\Thomas\AppData\Local\Microsoft\Windows\Temporary 

      Internet Files\Content.IE5\TI1QQQ6T\regular[1].htm'

      wurde ein Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B' [exploit] 

      gefunden.

      Ausgeführte Aktion: Übergeben an Scanner

Danach hab ich wie von dir beschrieben, Malwarebytes aktualisiert und einen vollständigen Scan durchgeführt. Anbei die log-Datei:

Code:

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.02.27.11
 

Windows 7 x86 NTFS

Internet Explorer 9.0.8112.16421

Thomas :: LAPTOPTHOMAS [Administrator]
 

28.02.2013 07:31:23

MBAM-log-2013-02-28 (09-51-24).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 451925

Laufzeit: 2 Stunde(n), 18 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\_OTL\MovedFiles\02272013_190238\C_Users\Thomas\AppData\Roaming\skype.dat (Trojan.Winlock) -> Keine Aktion durchgeführt.
 

(Ende)

Jetzt wird mir die infizierte Datei im Malwarebytes-Fenster angezeigt (siehe Anhang 'Malwarebytes.jgp').

Soll ich auf 'Entferne Auswahl' klicken?

Kannst du, aber wir löschen die eh, wenn wir später otl löschen.

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Anbei die Liste:

Code:

Adobe Creative Suite 2                09.01.2013                (notwendig)

Adobe Flash Player 11 ActiveX        Adobe Systems Incorporated        27.02.2013        6,00MB        11.6.602.171 (notwendig)

Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        27.02.2013        6,00MB        11.6.602.171 (notwendig)

Adobe Reader 9.5.0 - Deutsch        Adobe Systems Incorporated        12.01.2012        118MB        9.5.0 (notwendig)

Adobe SVG Viewer 3.0        Adobe Systems, Inc.        09.01.2013                 3.0 (notwendig)

Apple Application Support        Apple Inc.        29.11.2012        65,0MB        2.3.2 (notwendig)

Apple Mobile Device Support        Apple Inc.        29.11.2012        24,5MB        6.0.1.3 (notwendig)

Apple Software Update        Apple Inc.        13.10.2011        2,38MB        2.1.3.127 (notwendig)

Avira Free Antivirus        Avira        14.11.2012        108MB        12.1.9.1236 (notwendig)

BOClean                16.01.2012                (unbekannt)

Bonjour        Apple Inc.        13.10.2011        934KB        3.0.0.10 (notwendig)

Canon MP250 series MP Drivers                02.01.2012                (notwendig)

CCleaner        Piriform        25.02.2013                3.28 (notwendig)

Citrix XenApp Web Plugin        Citrix Systems, Inc.        02.04.2010        25,3MB        11.0.0.5357 (unbekannt)

CyberLink DVD Suite        CyberLink Corp.        06.01.2010                5.0.2403 (notwendig)

CyberLink Power2Go        CyberLink Corp.        06.01.2010                5.0.3825 (notwendig)

DER ERSTE KAISER: Aufstieg des Reichs der Mitte 1.0.1.0                08.08.2011                (notwendig)

Die Siedler 7        Ubisoft        26.04.2010                1.11.1371 (notwendig)

Die Siedler II - Die nächste Generation                12.02.2010                (unnötig)

DivX-Setup        DivX, LLC        28.12.2011                2.6.1.3 (notwendig)

DVD Decrypter (Remove Only)                17.07.2010                (notwendig)

DVD Shrink 3.2 deutsch (DeCSS-frei)        DVD Shrink        20.11.2011        (notwendig)        

Easy Battery Manager                05.01.2010                3.2.1.7 (notwendig)

Easy Display Manager        Samsung        31.10.2010                2.0.0.0 (notwendig)

Easy Network Manager 3.0        Ihr Firmenname        05.01.2010        37,3MB        3.0.0.0 (notwendig)

Easy SpeedUp Manager                05.01.2010                2.0.1.0 (notwendig)

Free Audio CD Burner version 1.4.7        DVDVideoSoft Limited.        26.03.2011        10,6MB        (unnötig)

Free YouTube Download version 3.0.22.221        DVDVideoSoft Ltd.        10.03.2012        70,2MB        3.0.22.221 (unnötig)

Free YouTube to MP3 Converter version 3.11.32.918        DVDVideoSoft Ltd.        21.09.2012        60,8MB        3.11.32.918 (notwendig)

FreePDF (Remove only)                24.01.2010                (notwendig)

GPL Ghostscript        Artifex Software Inc.        26.03.2012                9.04 (notwendig)

GPL Ghostscript 8.70                24.01.2010                (notwendig)

HappyFoto-Designer 4.4                05.12.2011                (unnötig)

HP Photosmart Plus B209a-m All-in-One Driver 14.0 Rel. 6        HP        03.09.2010                14.0 (notwendig)

imagine digital freedom - Samsung        Samsung Electronics Co., LTD        05.01.2010        7,50MB        1.0.2.0 (unbekannt)

Intel(R) PROSet/Wireless WiFi-Software        Intel Corporation        21.07.2010        77,1MB        13.01.1000 (notwendig)

iTunes        Apple Inc.        29.11.2012        187MB        11.0.0.163 (notwendig)

Java 7 Update 9        Oracle        06.10.2012        128MB        7.0.90 (notwendig)

Java(TM) 6 Update 29        Sun Microsystems, Inc.        24.05.2010        94,5MB        6.0.290 (unnötig)

JavaFX 2.1.1        Oracle Corporation        07.07.2012        20,8MB        2.1.1 (unbekannt)

LabelPrint        CyberLink Corp.        06.01.2010                .2406 (unnötig)

Leisure Suit Larry 7        Sierra        06.08.2010        86,8MB        1.0.59 (unnötig)

LightScribe System Software  1.12.37.1        LightScribe        06.01.2010        20,8MB        1.12.37.1 (unnötig)

Malwarebytes Anti-Malware Version 1.70.0.1100        Malwarebytes Corporation        27.02.2013        18,4MB        1.70.0.1100 (notwendig)

Mario Forever 5.05                05.08.2011                (unnötig)

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        11.03.2012        38,8MB        4.0.30319 (unbekannt)

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        11.03.2012        2,93MB        4.0.30319 (unbekannt)

Microsoft Office Enterprise 2007        Microsoft Corporation        10.03.2012                12.0.6612.1000 (notwendig)

Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        10.03.2012        1,69MB        3.1.0000 (unbekannt)

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        10.03.2012        298KB        8.0.61001 (unbekannt)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022        Microsoft Corporation        26.04.2010        1,42MB        9.0.21022 (unbekannt)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        05.01.2010        596KB        9.0.30729 (unbekannt)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        27.03.2010        596KB        9.0.30729.4148 (unbekannt)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        10.03.2012        600KB        9.0.30729.6161 (unbekannt)

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        02.05.2012        16,5MB        10.0.40219 (unbekannt)

MobileMe Control Panel        Apple Inc.        22.10.2010        11,8MB        3.1.3.0 (notwendig)

Mozilla Firefox 18.0.2 (x86 de)        Mozilla        10.02.2013        48,9MB        18.0.2 (notwendig)

Mozilla Maintenance Service        Mozilla        10.02.2013        330KB        18.0.2 (unbekannt)

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        04.09.2010        1,27MB        4.20.9870.0 (unbekannt)

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        05.09.2010        1,33MB        4.20.9876.0 (unbekannt)

NVIDIA Grafiktreiber 260.99        NVIDIA Corporation        31.10.2010                260.99 (notwendig)

NVIDIA PhysX-Systemsoftware 260.99        NVIDIA Corporation        31.10.2010                260.99 (notwendig)

PDF Blender                13.09.2010                (notwendig)

Play AVStation        Ihr Firmenname        05.01.2010        118MB        4.1.20.50 (notwendig)

Play Camera        Ihr Firmenname        05.01.2010        2,01MB        2.0.0.13 (notwendig)

PowerDirector        CyberLink Corp.        06.01.2010                5.0.3927 (notwendig)

PowerDVD        CyberLink Corp.        06.01.2010                7.0.3118.0 (notwendig)

PowerProducer        CyberLink Corp.        06.01.2010                085120(3.7)_Vista_SSPC (notwendig)

PureSync 2.7.3        Jumping Bytes        02.11.2010                2.7.3 (notwendig)

QuickTime        Apple Inc.        07.07.2012        73,2MB        7.72.80.56 (notwendig)

ratDVD 0.78.1444        ratDVD        06.01.2010                0.78.1444 (notwendig)

RealPlayer        RealNetworks        10.01.2013        91,7MB        16.0.0 (notwendig)

RedMon - Redirection Port Monitor                24.01.2010                (unbekannt)

Samsung Magic Doctor        Samsung Electronics Co., LTD        05.01.2010                5.00 (unnötig)

Samsung Update Plus        Samsung Electronics Co., Ltd.        05.01.2010                2.0 (unnötig)

Smart Cutter for DV and DVB        FameRing        10.03.2012        20,5MB        1.00.0000 (unnötig)

Stronghold 2        Firefly Studios        23.04.2011                1.40.1000 (notwendig)

Synaptics Pointing Device Driver        Synaptics        05.01.2010                10.1.2.0 (unbekannt)

TeamViewer 5        TeamViewer GmbH        03.08.2010                5.0.8703 (unnötig)

TeamViewer 7        TeamViewer        04.10.2012                7.0.14563 (notwendig)

Ubisoft Game Launcher        UBISOFT        26.04.2010                1.0.0.0 (notwendig)

Uninstall 1.0.0.1                13.08.2010        10,5MB        (unbekannt)

USB2.0 UVC 1.3M WebCam                11.03.2012                (unbekannt)

USB2.0 UVC WebCam        D-MAX        05.01.2010                6.11.706.012 (unbekannt)

Vuze        Vuze Inc.        11.02.2010                (notwendig)

WIDCOMM Bluetooth Software 6.0.1.6300        WIDCOMM, Inc.        05.01.2010        35,5MB        6.0.1.6300 (unbekannt)

Windows Live Essentials        Microsoft Corporation        10.03.2012                15.4.3538.0513 (unnötig)

Windows Media Player Firefox Plugin        Microsoft Corp        14.06.2011        296KB        1.0.0.8 (notwendig)

WinRAR                05.01.2010                (notwendig)

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
BOClean
Die Siedler II
Free : alle unnötigen.
HappyFoto
Java : alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
LabelPrint
Leisure
LightScribe
Mario
Samsung : beide
Smart
TeamViewer : würde ich allgemein nur instalieren wenn nötig, falls er drauf bleiben muss, beide weg, und Version 8 drauf.
Windows Live

Öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hi,

habe alle Programme wie beschrieben deinstalliert (bzw wieder neu installiert).

Dann den CCleaner ausgeführt.

Anschließend wie beschrieben den AdwCleaner ausgeführt.

Anbei die log-Datei

Code:

# AdwCleaner v2.113 - Datei am 28/02/2013 um 20:33:45 erstellt

# Aktualisiert am 23/02/2013 von Xplode

# Betriebssystem : Windows 7 Professional  (32 bits)

# Benutzer : Thomas - LAPTOPTHOMAS

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Thomas\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

Ordner Gelöscht : C:\Users\Thomas\AppData\LocalLow\BabylonToolbar

Ordner Gelöscht : C:\Users\Thomas\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : C:\Users\Thomas\AppData\Roaming\dvdvideosoftiehelpers
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schlüssel Gelöscht : HKCU\Software\Softonic

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASMANCS

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16464
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.2 (de)
 

Datei : C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\zqu00hmt.default\prefs.js
 

Gelöscht : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 30);

Gelöscht : user_pref("extensions.BabylonToolbar.cntry", "AT");

Gelöscht : user_pref("extensions.BabylonToolbar.firstRun", false);

Gelöscht : user_pref("extensions.BabylonToolbar.hdrMd5", "BE085D940DF651C7A56E76EAEFC5740D");

Gelöscht : user_pref("extensions.BabylonToolbar.lastActv", "30");

Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 30);

Gelöscht : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=f6298d3200000000000000216b0[...]
 

*************************
 

AdwCleaner[S1].txt - [3335 octets] - [28/02/2013 20:33:45]
 

########## EOF - C:\AdwCleaner[S1].txt - [3395 octets] ##########

Danke!

Hi,
is kein Ding.
HitmanPro - Download - Filepony
Lade hitmanpro, doppelklick, Lizenz, Testlizenz.
Auf Scan, nichts löschen.
auf weiter, Log als xml exportieren und posten, bzw packen und anhängen