Trojaner-Board - GVU Trojaner Windows Vista

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner Windows Vista (https://www.trojaner-board.de/131911-gvu-trojaner-windows-vista.html)

GVU Trojaner Windows Vista

Hallo Leute,

ein Unglück kommt selten alleine....so kam gerade mein Nachbar vorbei (älterer Herr) mit dem Anliegen, dass sein Laptop nicht mehr will.

Anzeige: GVU Trojaner.

Leider komme ich auch im abgesicherten Modus nicht weiter?

Kann mir jemand helfen? :killpc:

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
Starte den Rechner neu auf.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und starte von der CD

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hm...leider hab ich schon die erste Frage...

Über den Bootmanager:

--> die Option "Computer reparieren" hab ich nicht
oder ist damti die "Verzeichnisdienstwiederherstellung" gemeint?

Mit Windows CD/DVD

--> die hab ich nicht

Gibts noch ne andere Möglichkeit?

Es gibt schon noch Möglichkeiten. FRST ist eben die simpelste.

Schau mal ob du abgesichert mit Netzwerk oder nur Eingabeaufforderung booten kannst.

So funktioniert es:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

Der GVU-Sperrbildschirm kommt leider auch dort....

fein.

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

Batch-Datei vorbereiten
- Drücke Windowstaste + R > notepad (eintippen) > Enter
  Kopiere den folgenden Text vollständig in das Fenster:
  
  Code:
  
  @echo off copy %0\..\combofix.exe "%userprofile%"\desktop "%userprofile%"\desktop\combofix.exe
- Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
Combofix kopieren
- Lade dir Combofix von einem dieser Downloadlinks: Link
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
Laufwerksbuchstaben finden und Combofix starten
- Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
- Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
- Wenn du es gefunden hast tippe start.bat (Enter)
- Combofix sollte jetzt starten.
- Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
- Übergehe alle Warnungen mit OK.
Logfile posten
- Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
- Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
- Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
- Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-03-2013 01

Ran by Virgo at 07-03-2013 21:10:23

Running from F:\

  Service Pack 2 (X86) OS Language: German Standard 

Attention: Could not load system hive.

FEHLER: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
 

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.
 
 

==================== One Month Created Files and Folders ========
 

2013-03-06 21:36 - 2013-03-07 20:58 - 95023320 ___AT C:\ProgramData\5672342.pad

2013-03-06 21:36 - 2013-03-06 21:36 - 00102400 ____A C:\Users\Virgo\2432765.dll

2013-03-06 21:36 - 2013-03-06 21:36 - 00002733 ____A C:\ProgramData\5672342.js

2013-02-16 07:55 - 2013-02-16 07:55 - 00005566 ____A C:\Users\Virgo\Documents\kochs 16 2 13.eml

2013-02-13 02:19 - 2013-02-13 02:19 - 00138992 ____A C:\Windows\Minidump\Mini021313-01.dmp

2013-02-11 11:34 - 2013-02-13 02:19 - 264051687 ____A C:\Windows\MEMORY.DMP

2013-02-11 11:34 - 2013-02-13 02:19 - 00000000 ____D C:\Windows\Minidump

2013-02-11 11:34 - 2013-02-11 11:34 - 00138992 ____A C:\Windows\Minidump\Mini021113-01.dmp

2013-02-09 15:42 - 2013-02-13 02:29 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Irde

2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Zoso

2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Aqela
 
 

==================== One Month Modified Files and Folders ========
 

2013-03-07 21:10 - 2013-03-07 21:10 - 00000000 ____D C:\FRST

2013-03-07 20:58 - 2013-03-06 21:36 - 95023320 ___AT C:\ProgramData\5672342.pad

2013-03-07 20:56 - 2008-09-06 03:38 - 01411749 ____A C:\Windows\WindowsUpdate.log

2013-03-07 20:56 - 2007-12-29 01:44 - 00000012 ____A C:\Windows\bthservsdp.dat

2013-03-07 20:56 - 2006-11-02 14:01 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT

2013-03-07 20:56 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT

2013-03-07 20:53 - 2011-02-08 14:19 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job

2013-03-07 20:52 - 2010-11-24 14:43 - 00000000 ____D C:\ProgramData\Kodak

2013-03-07 18:27 - 2006-11-02 13:47 - 00003168 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

2013-03-07 18:27 - 2006-11-02 13:47 - 00003168 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0

2013-03-06 22:08 - 2011-02-08 14:19 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job

2013-03-06 22:07 - 2012-05-16 19:44 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job

2013-03-06 21:59 - 2012-10-09 14:05 - 00002735 ____A C:\Users\Virgo\Desktop\Microsoft Office Outlook 2003.lnk

2013-03-06 21:36 - 2013-03-06 21:36 - 00102400 ____A C:\Users\Virgo\2432765.dll

2013-03-06 21:36 - 2013-03-06 21:36 - 00002733 ____A C:\ProgramData\5672342.js

2013-03-06 21:36 - 2008-11-10 19:34 - 00000000 ____D C:\users\Virgo

2013-03-06 03:14 - 2006-11-02 11:33 - 00989346 ____A C:\Windows\System32\PerfStringBackup.INI

2013-03-05 20:57 - 2012-05-16 19:45 - 00001971 ____A C:\Users\Public\Desktop\Google Chrome.lnk

2013-03-01 00:44 - 2011-02-08 14:21 - 00000680 ____A C:\Users\Virgo\AppData\Local\d3d9caps.dat

2013-02-28 12:25 - 2008-11-10 20:40 - 00002637 ____A C:\Users\Virgo\Desktop\Microsoft Office Word 2003.lnk

2013-02-28 07:18 - 2012-05-16 19:44 - 00691568 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe

2013-02-28 07:18 - 2012-05-16 19:44 - 00071024 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl

2013-02-16 07:55 - 2013-02-16 07:55 - 00005566 ____A C:\Users\Virgo\Documents\kochs 16 2 13.eml

2013-02-13 02:29 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Irde

2013-02-13 02:19 - 2013-02-13 02:19 - 00138992 ____A C:\Windows\Minidump\Mini021313-01.dmp

2013-02-13 02:19 - 2013-02-11 11:34 - 264051687 ____A C:\Windows\MEMORY.DMP

2013-02-13 02:19 - 2013-02-11 11:34 - 00000000 ____D C:\Windows\Minidump

2013-02-11 11:34 - 2013-02-11 11:34 - 00138992 ____A C:\Windows\Minidump\Mini021113-01.dmp

2013-02-11 11:34 - 2008-01-02 19:27 - 00158806 ____A C:\Windows\PFRO.log

2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Zoso

2013-02-09 15:42 - 2013-02-09 15:42 - 00000000 ____D C:\Users\Virgo\AppData\Roaming\Aqela
 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
 

==================== Memory info =========================== 
 

Percentage of memory in use: 9%

Total physical RAM: 3069.69 MB

Available physical RAM: 2765.94 MB

Total Pagefile: 6339.79 MB

Available Pagefile: 6193.31 MB

Total Virtual: 2047.88 MB

Available Virtual: 1954.92 MB
 

==================== Partitions =============================
 

1 Drive c: () (Fixed) (Total:144.09 GB) (Free:94.18 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

2 Drive d: () (Fixed) (Total:144 GB) (Free:143.66 GB) NTFS

4 Drive f: (EBM) (Removable) (Total:1.83 GB) (Free:1.83 GB) FAT32
 

  Datentr ###  Status      Grî·e    Frei     Dyn  GPT

  --------  ----------  -------  -------  ---  ---

       0    Online       298 GB      0 B         

       1    Online      1877 MB      0 B         
 
 
 

Last Boot: 2013-03-07 18:54
 

==================== End Of Log ============================

Achso...hätte ich den Scan jetzt nicht mehr machen sollen??

Nein. Bitte Combofix ausführen.

ausserdem lesen:

Lesestoff:
Banking-Trojaner
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.

habs gleich....

Hab nen Fehler gemacht...Moment

Combofix läuft jetzt

Combofix Logfile:

Code:

ComboFix 13-03-07.02 - Virgo 07.03.2013  21:33:22.1.2 - x86 MINIMAL

ausgef¸hrt von:: c:\users\Virgo\desktop\ComboFix.exe

Benutzte Befehlsschalter :: \desktop\combofix.exe

.

.

((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\5672342.js

c:\programdata\5672342.pad

c:\users\Virgo\2432765.dll

c:\users\Virgo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

c:\users\Virgo\AppData\Roaming\Zoso

c:\users\Virgo\AppData\Roaming\Zoso\ixov.exe

c:\users\Virgo\Documents\~WRL2448.tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-07 bis 2013-03-07  ))))))))))))))))))))))))))))))

.

.

2013-03-07 20:39 . 2013-03-07 20:39        --------        d-----w-        c:\users\Maxi\AppData\Local\temp

2013-03-07 20:39 . 2013-03-07 20:40        --------        d-----w-        c:\users\Virgo\AppData\Local\temp

2013-03-07 20:39 . 2013-03-07 20:39        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-07 20:10 . 2013-03-07 20:10        --------        d-----w-        C:\FRST

2013-02-09 14:42 . 2013-02-13 01:29        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Irde

2013-02-09 14:42 . 2013-02-09 14:42        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Aqela

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-28 06:18 . 2012-05-16 18:44        71024        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-28 06:18 . 2012-05-16 18:44        691568        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]

"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]

"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]

"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]

"VideoDownloadConverter Search Scope Monitor"="c:\progra~1\VIDEOD~2\bar\1.bin\4zsrchmn.exe" [2012-09-05 42536]

"VideoDownloadConverter_4z Browser Plugin Loader"="c:\progra~1\VIDEOD~2\bar\1.bin\4zbrmon.exe" [2012-09-05 30096]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-07-18 08:53        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-03-05 19:52        1630672        ----a-w-        c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-06 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]

.

2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

2013-03-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

.

------- Zus‰tzlicher Suchlauf -------

.

uStart Page = hxxp://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm179YYde&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&si=162553561

uInternet Settings,ProxyOverride = *.local

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\

FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)

FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?babsrc=HP_Prot

FF - prefs.js: keyword.URL - hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&n=77ee3806&ind=2012100614&id=HJxdm179YYde&ptnrS=HJxdm179YYde&si=162553561&searchfor=

FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: VideoDownloadConverter: 4zffxtbr@VideoDownloadConverter_4z.com - %profile%\extensions\4zffxtbr@VideoDownloadConverter_4z.com

FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com

FF - Ext: VideoDownloadConverter: 4zffxtbr@VideoDownloadConverter_4z.com - c:\program files\VideoDownloadConverter_4z\bar\1.bin

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

.

HKCU-Run-Giyxo - c:\users\Virgo\AppData\Roaming\Zoso\ixov.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-07 21:40

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteintr‰ge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2013-03-07  21:42:27

ComboFix-quarantined-files.txt  2013-03-07 20:42

.

Vor Suchlauf: 11 Verzeichnis(se), 101.883.125.760 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 102.776.541.184 Bytes frei

.

- - End Of File - - B6FAA29497AC6647DFE20EE0EEFB8CF3

--- --- ---

Okay dann weiter:

Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Jetzt normal booten.

Schritt 2:
Deinstallation von Programmen

Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren

Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren

ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer,

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.

Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:

"Tracing" Schlüssel löschen
Winsock Einstellungen zurücksetzen
Proxy Einstellungen zurücksetzen
Internet Explorer Richtlinien zurücksetzen
Chrome Richtlinien zurücksetzen

Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind

Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 5:
Nochmal Combofix laufen lassen.

AdwCleaner Logfile:

Code:

# AdwCleaner v2.114 - Datei am 07/03/2013 um 22:02:01 erstellt

# Aktualisiert am 05/03/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : Virgo - VIRGO-PC

# Bootmodus : Normal

# Ausgef¸hrt unter : C:\Users\Virgo\Desktop\adwcleaner.exe

# Option [Lˆschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelˆscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

Datei Gelˆscht : C:\user.js

Datei Gelˆscht : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\searchplugins\my-web-search.xml

Datei Gelˆscht : C:\Users\Public\Desktop\Media Finder.lnk

Datei Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\searchplugins\Askcom.xml

Datei Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\searchplugins\my-web-search.xml

Ordner Gelˆscht : C:\Program Files\Media Finder

Ordner Gelˆscht : C:\ProgramData\Babylon

Ordner Gelˆscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder

Ordner Gelˆscht : C:\Users\Maxi\AppData\Local\AskToolbar

Ordner Gelˆscht : C:\Users\Maxi\AppData\Local\VideoDownloadConverter_4z

Ordner Gelˆscht : C:\Users\Maxi\AppData\LocalLow\BabylonToolbar

Ordner Gelˆscht : C:\Users\Maxi\AppData\LocalLow\VideoDownloadConverter_4z

Ordner Gelˆscht : C:\Users\Virgo\AppData\Local\APN

Ordner Gelˆscht : C:\Users\Virgo\AppData\Local\Babylon

Ordner Gelˆscht : C:\Users\Virgo\AppData\LocalLow\BabylonToolbar

Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Babylon

Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Media Finder

Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\@themediafinder.com

Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\gencrawler@some.com

Ordner Gelˆscht : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\extensions\ffxtlbr@babylon.com
 

***** [Registrierungsdatenbank] *****
 

Schl¸ssel Gelˆscht : HKCU\Software\MediaFinder

Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{414C790F-E24E-461B-983A-2AD84474DE4B}_is1

Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA4520F3-AE13-4FB1-A513-58E23991C86D}

Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schl¸ssel Gelˆscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA4520F3-AE13-4FB1-A513-58E23991C86D}

Schl¸ssel Gelˆscht : HKLM\Software\Babylon

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{3F39D17D-50C7-4AC4-A63A-CDF6CDBD0C61}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\AppID\IEPlugin.DLL

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{CA4520F3-AE13-4FB1-A513-58E23991C86D}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\gencrawler_gc.GenCrawler

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\Interface\{AE9908C1-3400-4B10-9061-C6C04D96E3D2}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\MF

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Classes\Prod.cap

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA4520F3-AE13-4FB1-A513-58E23991C86D}

Schl¸ssel Gelˆscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{414C790F-E24E-461B-983A-2AD84474DE4B}_is1
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=HJxdm179YYde&ptb=9871B035-F45D-4050-AF83-A93DFAF9DC75&si=162553561 --> hxxp://www.google.com
 

-\\ Mozilla Firefox v3.0.4 (de)
 

Datei : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\prefs.js
 

C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\user.js ... Gelˆscht !
 

Gelˆscht : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");

Gelˆscht : user_pref("browser.search.order.1", "Ask.com");

Gelˆscht : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");

Gelˆscht : user_pref("browser.startup.homepage", "hxxp://search.babylon.com/?babsrc=HP_Prot");

Gelˆscht : user_pref("extensions.BabylonToolbar.admin", false);

Gelˆscht : user_pref("extensions.BabylonToolbar.aflt", "babsst");

Gelˆscht : user_pref("extensions.BabylonToolbar.babExt", "");

Gelˆscht : user_pref("extensions.BabylonToolbar.babTrack", "affID=110482");

Gelˆscht : user_pref("extensions.BabylonToolbar.bbDpng", 3);

Gelˆscht : user_pref("extensions.BabylonToolbar.dfltLng", "en");

Gelˆscht : user_pref("extensions.BabylonToolbar.dfltSrch", true);

Gelˆscht : user_pref("extensions.BabylonToolbar.hmpg", true);

Gelˆscht : user_pref("extensions.BabylonToolbar.id", "ecebe61d000000000000001de044c889");

Gelˆscht : user_pref("extensions.BabylonToolbar.instlDay", "15382");

Gelˆscht : user_pref("extensions.BabylonToolbar.instlRef", "sst");

Gelˆscht : user_pref("extensions.BabylonToolbar.lastDP", 3);

Gelˆscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1714:54:27");

Gelˆscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.0");

Gelˆscht : user_pref("extensions.BabylonToolbar.newTab", true);

Gelˆscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");

Gelˆscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);

Gelˆscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");

Gelˆscht : user_pref("extensions.BabylonToolbar.propectorlck", 93121279);

Gelˆscht : user_pref("extensions.BabylonToolbar.prtkDS", 1);

Gelˆscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);

Gelˆscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");

Gelˆscht : user_pref("extensions.BabylonToolbar.ptch_0717", true);

Gelˆscht : user_pref("extensions.BabylonToolbar.smplGrp", "azb");

Gelˆscht : user_pref("extensions.BabylonToolbar.srcExt", "ss");

Gelˆscht : user_pref("extensions.BabylonToolbar.tlbrId", "base");

Gelˆscht : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");

Gelˆscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1714:54:27");

Gelˆscht : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.babExt", "");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110482");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.hardId", "ecebe61d000000000000001de044c889");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.id", "ecebe61d000000000000001de044c889");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15382");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.newTab", false);

Gelˆscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1714:54:27");

Gelˆscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

Gelˆscht : user_pref("extensions.mywebsearch.prevDefaultEngine", "Ask.com");

Gelˆscht : user_pref("extensions.mywebsearch.prevKwdEnabled", true);

Gelˆscht : user_pref("extensions.mywebsearch.prevSelectedEngine", "Ask.com");

Gelˆscht : user_pref("extensions.toolbar.mindspark._4zMembers_.homepage", "hxxp://home.mywebsearch.com/index.jh[...]

Gelˆscht : user_pref("keyword.URL", "hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=9871B035[...]
 

Datei : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\prefs.js
 

Gelˆscht : user_pref("browser.search.defaultengine", "Ask.com");

Gelˆscht : user_pref("browser.search.defaultenginename", "Ask.com");

Gelˆscht : user_pref("browser.search.order.1", "Ask.com");

Gelˆscht : user_pref("browser.search.selectedEngine", "Ask.com");

Gelˆscht : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale[...]

Gelˆscht : user_pref("extensions.asktb.ff-original-keyword-url", "");

Gelˆscht : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10395&loc[...]
 

-\\ Google Chrome v25.0.1364.152
 

Datei : C:\Users\Virgo\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gelˆscht [l.23] : icon_url = "hxxp://www.ask.com/favicon.ico",

Gelˆscht [l.26] : keyword = "ask.com",

Gelˆscht [l.29] : search_url = "hxxp://websearch.ask.com/redirect?client=cr&src=kw&tb=AVR-3&o=APN10395&locale=d[...]

Gelˆscht [l.30] : suggest_url = "hxxp://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms[...]

Gelˆscht [l.1673] : homepage = "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE",

Gelˆscht [l.1877] : urls_to_restore_on_startup = [ "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale[...]
 

Datei : C:\Users\Maxi\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [10138 octets] - [07/03/2013 22:02:01]
 

########## EOF - C:\AdwCleaner[S1].txt - [10199 octets] ##########

--- --- ---

AdwCleaner Logfile:

Code:

# AdwCleaner v2.114 - Datei am 07/03/2013 um 22:05:13 erstellt

# Aktualisiert am 05/03/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : Virgo - VIRGO-PC

# Bootmodus : Normal

# Ausgef¸hrt unter : C:\Users\Virgo\Desktop\adwcleaner.exe

# Option [Lˆschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16421
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v3.0.4 (de)
 

Datei : C:\Users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\prefs.js
 

[OK] Die Datei ist sauber.
 

Datei : C:\Users\Maxi\AppData\Roaming\Mozilla\Firefox\Profiles\84v8q031.default\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v25.0.1364.152
 

Datei : C:\Users\Virgo\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

Datei : C:\Users\Maxi\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [10269 octets] - [07/03/2013 22:02:01]

AdwCleaner[S2].txt - [1179 octets] - [07/03/2013 22:05:13]
 

########## EOF - C:\AdwCleaner[S2].txt - [1239 octets] ##########

--- --- ---

Combofix Logfile:

Code:

ComboFix 13-03-07.02 - Virgo 07.03.2013  22:15:41.1.2 - x86

MicrosoftÆ Windows Vistaô Home Premium   6.0.6002.2.1252.49.1031.18.3070.2221 [GMT 1:00]

ausgef¸hrt von:: c:\users\Virgo\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-07 bis 2013-03-07  ))))))))))))))))))))))))))))))

.

.

2013-03-07 21:21 . 2013-03-07 21:21        --------        d-----w-        c:\users\Virgo\AppData\Local\temp

2013-03-07 21:21 . 2013-03-07 21:21        --------        d-----w-        c:\users\Maxi\AppData\Local\temp

2013-03-07 21:21 . 2013-03-07 21:21        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-07 20:10 . 2013-03-07 20:10        --------        d-----w-        C:\FRST

2013-02-09 14:42 . 2013-02-13 01:29        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Irde

2013-02-09 14:42 . 2013-02-09 14:42        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Aqela

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-28 06:18 . 2012-05-16 18:44        71024        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-28 06:18 . 2012-05-16 18:44        691568        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]

"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]

"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]

"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-07-18 08:53        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-03-05 19:52        1630672        ----a-w-        c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-07 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]

.

2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

.

------- Zus‰tzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

uInternet Settings,ProxyOverride = *.local

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\

FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-07 22:21

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteintr‰ge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(3096)

c:\windows\system32\btmmhook.dll

.

Zeit der Fertigstellung: 2013-03-07  22:23:39

ComboFix-quarantined-files.txt  2013-03-07 21:23

ComboFix2.txt  2013-03-07 20:42

.

Vor Suchlauf: 13 Verzeichnis(se), 102.743.097.344 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 102.403.837.952 Bytes frei

.

- - End Of File - - FDD0DF1ED45710294C0B59460BD10D81

--- --- ---

Hoffe ich hab alles richtig gemacht?!

Zwei Reste noch, dann ist es geschafft :)

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

Folder:: c:\users\Virgo\AppData\Roaming\Irde c:\users\Virgo\AppData\Roaming\Aqela

Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Oh entschuldige. Ich dachte gestern du wärst offline, deswegen bin ich auch gegangen.
Ich werde mich nach der Arbeit (heute nachmittag) gleich wieder dran setzen und dir die Ergebnisse mitteilen.

Vielen Dank schon mal. :-)

Combofix Logfile:

Code:

ComboFix 13-03-07.03 - Virgo 08.03.2013  15:34:42.2.2 - x86

MicrosoftÆ Windows Vistaô Home Premium   6.0.6002.2.1252.49.1031.18.3070.2270 [GMT 1:00]

ausgef¸hrt von:: F:\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\Virgo\Desktop\CFScript - Verkn≥pfung.lnk

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-08 bis 2013-03-08  ))))))))))))))))))))))))))))))

.

.

2013-03-08 14:39 . 2013-03-08 14:39        --------        d-----w-        c:\users\Virgo\AppData\Local\temp

2013-03-08 14:39 . 2013-03-08 14:39        --------        d-----w-        c:\users\Maxi\AppData\Local\temp

2013-03-08 14:39 . 2013-03-08 14:39        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-07 20:10 . 2013-03-07 20:10        --------        d-----w-        C:\FRST

2013-02-09 14:42 . 2013-02-13 01:29        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Irde

2013-02-09 14:42 . 2013-02-09 14:42        --------        d-----w-        c:\users\Virgo\AppData\Roaming\Aqela

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-02-28 06:18 . 2012-05-16 18:44        71024        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-02-28 06:18 . 2012-05-16 18:44        691568        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-23 857648]

"RtHDVCpl"="RtHDVCpl.exe" [2008-08-11 4702208]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]

"Conime"="c:\windows\system32\conime.exe" [2009-04-10 69120]

"LexwareInfoService"="c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-9-5 727592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1003]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1842103253-3115329918-1742340798-1005]

"EnableNotificationsRef"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-07-18 08:53        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-03-05 19:52        1630672        ----a-w-        c:\program files\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-07 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-16 06:18]

.

2013-03-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

2013-03-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-08 13:19]

.

.

------- Zus‰tzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.com

uInternet Settings,ProxyOverride = *.local

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\users\Virgo\AppData\Roaming\Mozilla\Firefox\Profiles\hloqqzt6.default\

FF - Ext: Yahoo! Deutschland Toolbar und Extras: toolbar_extras@de.yahoo.com - c:\program files\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-08 15:39

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteintr‰ge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(3144)

c:\windows\system32\btmmhook.dll

.

Zeit der Fertigstellung: 2013-03-08  15:40:40

ComboFix-quarantined-files.txt  2013-03-08 14:40

ComboFix2.txt  2013-03-07 21:23

ComboFix3.txt  2013-03-07 20:42

.

Vor Suchlauf: 13 Verzeichnis(se), 102.433.849.344 Bytes frei

Nach Suchlauf: 14 Verzeichnis(se), 102.408.052.736 Bytes frei

.

- - End Of File - - 7D86026C75FBB364C245186F7BACF9C0

--- --- ---

Soweit ich das sehe kommen die Anweisungen nicht vor oder?