Trojaner-Board - TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe (https://www.trojaner-board.de/132590-tr-crypt-epack-gen8-c-users-appdata-roaming-45e4cc-45e4cc-exe.html)

TR/Crypt.EPACK.Gen8 in C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe

Hallo,

Heute Morgen habe ich, nachdem ich den Laptop eingeschaltet habe, eine Trojaner/Malware Meldung von Avira angezeigt bekommen. Das komische ist, dass ich einen Suchlauf am 20.3. gestartet und hat nichts gefunden (sollte ich davon noch die Logdatei hochladen bzw. weitere Angaben, die für euch brauchbar sind, habe hier leider nicht viel Ahnung).

Hier die Logdatei von Avira

Code:



Avira Internet Security 2012

Erstellungsdatum der Reportdatei: Freitag, 22. März 2013  08:41
 

Es wird nach 5108182 Virenstämmen gesucht.
 

Das Programm läuft als Vollversion.

Online-Dienste stehen zur Verfügung.
 

Lizenznehmer   : ***

Seriennummer   : 2216828710-ISECE-0000001

Plattform      : Windows Vista (TM) Home Premium

Windowsversion : (plain)  [6.0.6000]

Boot Modus     : Normal gebootet

Benutzername   : SYSTEM

Computername   : ***-PC
 

Versionsinformationen:

BUILD.DAT      : 12.1.9.1197    48681 Bytes  11.10.2012 15:22:00

AVSCAN.EXE     : 12.3.0.48     468256 Bytes  17.11.2012 09:59:45

AVSCAN.DLL     : 12.3.0.15      66256 Bytes  17.05.2012 18:08:34

LUKE.DLL       : 12.3.0.15      68304 Bytes  17.05.2012 18:08:35

AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 18:05:51

AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 18:05:59

VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52

VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:34:33

VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 20:43:58

VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 15:08:14

VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:00:25

VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 18:00:42

VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 15:57:55

VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 16:13:09

VBASE008.VDF   : 7.11.65.172  9122816 Bytes  21.03.2013 17:30:41

VBASE009.VDF   : 7.11.65.173     2048 Bytes  21.03.2013 17:30:41

VBASE010.VDF   : 7.11.65.174     2048 Bytes  21.03.2013 17:30:42

VBASE011.VDF   : 7.11.65.175     2048 Bytes  21.03.2013 17:30:42

VBASE012.VDF   : 7.11.65.176     2048 Bytes  21.03.2013 17:30:42

VBASE013.VDF   : 7.11.65.177     2048 Bytes  21.03.2013 17:30:43

VBASE014.VDF   : 7.11.65.178     2048 Bytes  21.03.2013 17:30:43

VBASE015.VDF   : 7.11.65.179     2048 Bytes  21.03.2013 17:30:44

VBASE016.VDF   : 7.11.65.180     2048 Bytes  21.03.2013 17:30:44

VBASE017.VDF   : 7.11.65.181     2048 Bytes  21.03.2013 17:30:44

VBASE018.VDF   : 7.11.65.182     2048 Bytes  21.03.2013 17:30:44

VBASE019.VDF   : 7.11.65.183     2048 Bytes  21.03.2013 17:30:45

VBASE020.VDF   : 7.11.65.184     2048 Bytes  21.03.2013 17:30:45

VBASE021.VDF   : 7.11.65.185     2048 Bytes  21.03.2013 17:30:46

VBASE022.VDF   : 7.11.65.186     2048 Bytes  21.03.2013 17:30:46

VBASE023.VDF   : 7.11.65.187     2048 Bytes  21.03.2013 17:30:46

VBASE024.VDF   : 7.11.65.188     2048 Bytes  21.03.2013 17:30:46

VBASE025.VDF   : 7.11.65.189     2048 Bytes  21.03.2013 17:30:46

VBASE026.VDF   : 7.11.65.190     2048 Bytes  21.03.2013 17:30:46

VBASE027.VDF   : 7.11.65.191     2048 Bytes  21.03.2013 17:30:46

VBASE028.VDF   : 7.11.65.192     2048 Bytes  21.03.2013 17:30:46

VBASE029.VDF   : 7.11.65.193     2048 Bytes  21.03.2013 17:30:46

VBASE030.VDF   : 7.11.65.194     2048 Bytes  21.03.2013 17:30:46

VBASE031.VDF   : 7.11.66.20     53760 Bytes  21.03.2013 17:30:46

Engineversion  : 8.2.12.18 

AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 18:02:20

AESCRIPT.DLL   : 8.1.4.100     475517 Bytes  21.03.2013 17:30:54

AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 13:48:32

AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 16:56:56

AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 17:37:27

AEPACK.DLL     : 8.3.2.2       827767 Bytes  14.03.2013 17:22:41

AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  08.03.2013 17:21:28

AEHEUR.DLL     : 8.1.4.258    5853561 Bytes  21.03.2013 17:30:53

AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 12:14:33

AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 16:17:21

AEEXP.DLL      : 8.4.0.14      192886 Bytes  21.03.2013 17:30:54

AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 18:02:18

AECORE.DLL     : 8.1.31.2      201080 Bytes  19.02.2013 17:14:14

AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 16:17:46

AVWINLL.DLL    : 12.3.0.15      27344 Bytes  17.05.2012 18:08:34

AVPREF.DLL     : 12.3.0.32      50720 Bytes  17.11.2012 09:59:44

AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 18:05:51

AVARKT.DLL     : 12.3.0.33     209696 Bytes  17.11.2012 09:59:43

AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  17.05.2012 18:08:34

SQLITE3.DLL    : 3.7.0.1       398288 Bytes  17.05.2012 18:08:35

AVSMTP.DLL     : 12.3.0.32      63992 Bytes  09.08.2012 13:31:32

NETNT.DLL      : 12.3.0.15      17104 Bytes  17.05.2012 18:08:35

RCIMAGE.DLL    : 12.3.0.31    4819704 Bytes  09.08.2012 13:31:15

RCTEXT.DLL     : 12.3.0.32      98848 Bytes  17.11.2012 09:59:13
 

Konfiguration für den aktuellen Suchlauf:

Job Name..............................: AVGuardAsyncScan

Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_514c0a34\guard_slideup.avp

Protokollierung.......................: standard

Primäre Aktion........................: reparieren

Sekundäre Aktion......................: quarantäne

Durchsuche Masterbootsektoren.........: ein

Durchsuche Bootsektoren...............: aus

Durchsuche aktive Programme...........: ein

Durchsuche Registrierung..............: aus

Suche nach Rootkits...................: aus

Integritätsprüfung von Systemdateien..: aus

Datei Suchmodus.......................: Alle Dateien

Dateierweiterungen....................: +AVI,

Durchsuche Archive....................: ein

Rekursionstiefe einschränken..........: 20

Archiv Smart Extensions...............: ein

Makrovirenheuristik...................: ein

Dateiheuristik........................: vollständig
 

Beginn des Suchlaufs: Freitag, 22. März 2013  08:41

C:\Windows\System32\checkdisku.exe

  [FUND]      Ist das Trojanische Pferd TR/Kazy.156377

  [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoscan> wurde erfolgreich repariert.

  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.

  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

C:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe

  [FUND]      Ist das Trojanische Pferd TR/Crypt.EPACK.Gen8

  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1314715906-852262232-1004109916-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Realtek> wurde erfolgreich repariert.

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

  [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004

  [WARNUNG]   Die Quelldatei konnte nicht gefunden werden.

  [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.

  [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!

  [WARNUNG]   Die Datei konnte nicht gelöscht werden!

  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'FlashPlayerPlugin_11_6_602_171.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ePowerSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'capuserv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eRecoveryService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'xaudio.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MobilityService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eNet Service.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eLockServ.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eDSService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'checkdisku.exe' - '1' Modul(e) wurden durchsucht

  Modul ist infiziert -> <C:\Windows\System32\checkdisku.exe>

  [FUND]      Ist das Trojanische Pferd TR/Kazy.156377

  [HINWEIS]   Prozess 'checkdisku.exe' wurde beendet

  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7efc925f.qua' verschoben!

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'eDSLoader.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WMIADAP.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\Windows\System32\checkdisku.exe'

Der zu durchsuchende Pfad C:\Windows\System32\checkdisku.exe konnte nicht geöffnet werden!

Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
 
 

Ende des Suchlaufs: Freitag, 22. März 2013  08:46

Benötigte Zeit: 05:17 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

      0 Verzeichnisse wurden überprüft

   2515 Dateien wurden geprüft

      3 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      0 Dateien konnten nicht durchsucht werden

   2512 Dateien ohne Befall

     14 Archive wurden durchsucht

      2 Warnungen

      3 Hinweise

Und hier die Logdatei von Malwarebytes

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1021

www.malwarebytes.org
 

Database version: v2013.03.22.02
 

Windows Vista x86 NTFS

Internet Explorer 7.0.6000.17037

*** :: ***-PC [administrator]
 

22.03.2013 09:19:49

mbar-log-2013-03-22 (09-19-49).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 27535

Time elapsed: 21 minute(s), 43 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Java Auto Update (Backdoor.Bot) -> Data: C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe -> Delete on reboot.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Realtek (Trojan.Agent.ED) -> Data: C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe -> Delete on reboot.
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 2

c:\Users\Hab\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe (Backdoor.Bot) -> Delete on reboot.

c:\Users\Hab\AppData\Roaming\45E4CC\45E4CC.exe (Trojan.Agent.ED) -> Delete on reboot.
 

(end)

Hi,

MAM updaten und bitte Fullscan...Log posten.

Dann noch:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

chris

Hallo Chris,

Danke schonmal, hier die Log Dateien im Anhang,

Habe MAM geupdated und nochmal einen vollständigen Scan gemacht, aber die Logdatei zu früh zugemacht, ohne sie zu speichern/kopieren, werds morgen in der früh nochmal durchgehn lassen, hier ein screenshot von den Funden (laut dem ersten Scan gabs keine verdächtige Funde)

Hi,

Trojan-Dropper (checkdisku.exe)...

Unbedingt die *** durch den richtigen Pfad ersetzen, auch unbedingt im OTL-Script!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe

C:\Windows\System32\TAKDSDecoder.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

IE - HKLM\..\URLSearchHook: {79a33405-4fae-4d41-81c8-a7df88cd6757} - SOFTWARE\Classes\CLSID\{79a33405-4fae-4d41-81c8-a7df88cd6757}\InprocServer32 File not found

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\..\URLSearchHook: {79a33405-4fae-4d41-81c8-a7df88cd6757} - SOFTWARE\Classes\CLSID\{79a33405-4fae-4d41-81c8-a7df88cd6757}\InprocServer32 File not found

IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found

IE - HKCU\..\SearchScopes,DefaultScope = {09D814D9-CA53-42B4-9DC9-19520AD067AB}

O3 - HKLM\..\Toolbar: (Sorority Life Toolbar) - {79a33405-4fae-4d41-81c8-a7df88cd6757} - Reg Error: Value error. File not found

O4 - HKLM..\Run: [autoscan] C:\Windows\system32\checkdisku.exe File not found

O4 - HKCU..\Run: [Java Auto Update] C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe ()

O4 - HKLM..\RunOnce: [Z1] C:\Windows\System32\cmd.exe (Microsoft Corporation)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe ()
 

:REG

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

"DisableMonitoring" = dword:0x00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

"DisableMonitoring" = dword:0x00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

"DisableMonitoring" = dword:0x00
 

:Commands

[purity]

[emptytemp]

[CREATERESTOREPOINT]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

chris

Hallo Chris,

Ich hab den ersten Schritt mit dem Anzeigen von versteckten Daten durchgeführt und vorhin immer wieder versucht, die jsheded-Datei bei Virustotal zu scanen. Sie sagt mir aber immer wieder, dass es die Datei nicht gibt und ich es ein weiteres Mal versuchen sollte. Wenn ich die Datei in der Suche eingebe finde ich sie aber(siehe screenshot)

Hier die Funde von TAKDSDecoder.dll

(Der Text, der mir oben angezeigt wird und ich ausgeklappt habe:

Code:

SHA256:         72f56eb40d0e7d7bd34da1b66e66bd3a6552a2103295a9465c19fbae7326a4f6

SHA1:         aa80fcc9fcd8a67d1aad5b8c2d321d2e5b35636e

MD5:         6d8bdea7fb2e1a8461acd4970627e95a

Dateigröße:         105.0 KB ( 107520 bytes )

Dateiname:         TAKDSDecoder.dll

Datei-Typ:         Win32 DLL

Tags:         pedll

Erkennungsrate:         0 / 46

Analyse-Datum:         2013-03-23 09:07:48 UTC ( vor 3 Stunden, 42 Minuten )

Der Text bei den Zusatzinformationen

Code:

ssdeep

1536:V/fqV/TstTY8a5G5KWWlPUrCwfw5avWqTMj4jlMhdg+zc7KQ7pm6oqT+N5:0/T3A5KN5w64RMfgicWQFp5+N5

TrID

Win32 Executable Generic (58.3%)

Win16/32 Executable Delphi generic (14.1%)

Generic Win/DOS Executable (13.7%)

DOS Executable Generic (13.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ExifTool
 

MIMEType.................: application/octet-stream

Subsystem................: Windows GUI

MachineType..............: Intel 386 or later, and compatibles

TimeStamp................: 1992:06:19 23:22:17+01:00

FileType.................: Win32 DLL

PEType...................: PE32

CodeSize.................: 88064

LinkerVersion............: 2.25

EntryPoint...............: 0x16634

InitializedDataSize......: 18432

SubsystemVersion.........: 4.0

ImageVersion.............: 0.0

OSVersion................: 4.0

UninitializedDataSize....: 0
 

Portable Executable structural information
 

Compilation timedatestamp.....: 1992-06-19 22:22:17

Target machine................: Intel 386 or later processors and compatible processors

Entry point address...........: 0x00016634
 

PE Sections...................:
 

Name        Virtual Address  Virtual Size  Raw Size  Entropy  MD5

CODE                   4096         87636     88064     6.62  d1f375e866b807c5b78b7b8782ee3519

DATA                  94208          5432      5632     4.16  9a438aa66a16263ee4e0240e2b028e09

BSS                  102400          2301         0     0.00  d41d8cd98f00b204e9800998ecf8427e

.idata               106496          1654      2048     4.08  e69c2ae15a4de5591b69b526419f9edf

.edata               110592           970      1024     5.00  05402746a59a000af242c5be150de937

.reloc               114688          4908      5120     6.42  85c8fc77bf8a7fed11e6cf09428c673a

.rsrc                122880          4604      4608     4.11  4ec9599b021da853f09e663dd0075c2b
 

PE Imports....................:
 

[[advapi32.dll]]

RegOpenKeyExA, RegQueryValueExA, RegCloseKey
 

[[kernel32.dll]]

GetLastError, GetStdHandle, EnterCriticalSection, lstrlenA, FreeLibrary, ExitProcess, GetThreadLocale, TlsAlloc, GetVersionExA, GetModuleFileNameA, RtlUnwind, DeleteCriticalSection, GetStartupInfoA, LoadLibraryExA, GetLocaleInfoA, LocalAlloc, GetCPInfo, UnhandledExceptionFilter, GetCommandLineA, GetProcAddress, SetFilePointer, RaiseException, CloseHandle, WideCharToMultiByte, TlsFree, GetModuleHandleA, FindFirstFileA, WriteFile, EnumCalendarInfoA, ReadFile, lstrcpynA, GetACP, GetDiskFreeSpaceA, LocalFree, InitializeCriticalSection, VirtualQuery, VirtualFree, FindClose, TlsGetValue, TlsSetValue, CreateFileA, GetStringTypeExA, GetCurrentThreadId, VirtualAlloc, GetFileSize, LeaveCriticalSection
 

[[oleaut32.dll]]

SysFreeString
 

[[user32.dll]]

MessageBoxA, GetSystemMetrics, GetKeyboardType, CharNextA, LoadStringA
 
 

PE Exports....................:
 

tak_APE_GetDesc, tak_APE_GetErrorString, tak_APE_GetIndexOfKey, tak_APE_GetItemDesc, tak_APE_GetItemKey, tak_APE_GetItemNum, tak_APE_GetItemValue, tak_APE_GetTextItemValueAsAnsi, tak_APE_ReadOnly, tak_APE_State, tak_APE_Valid, tak_GetCodecName, tak_GetLibraryVersion, tak_SSD_Create_FromFile, tak_SSD_Create_FromStream, tak_SSD_Destroy, tak_SSD_GetAPEv2Tag, tak_SSD_GetCurFrameBitRate, tak_SSD_GetEncoderInfo, tak_SSD_GetErrorString, tak_SSD_GetFrameSize, tak_SSD_GetReadPos, tak_SSD_GetSimpleWaveDataDesc, tak_SSD_GetStateInfo, tak_SSD_GetStreamInfo, tak_SSD_ReadAudio, tak_SSD_ReadSimpleWaveData, tak_SSD_Seek, tak_SSD_State, tak_SSD_Valid
 
 

PE Resources..................:
 

Resource type            Number of resources

RT_STRING                5

RT_RCDATA                2

RT_ICON                  1

RT_GROUP_ICON            1
 

Resource language        Number of resources

NEUTRAL                  7
 

GERMAN                   2
 

Symantec Reputation

Suspicious.Insight

ClamAV PUA Engine

Possibly Unwanted Application. While not necessarily malicious, the scanned file presents certain characteristics which depending on the user policies and environment may or may not represent a threat. For full details see: hxxp://www.clamav.net/support/faq/pua.

Zuerst entdeckt von VirusTotal

2011-06-16 05:56:10 UTC ( vor 1 Jahr, 9 Monate )

Zuletzt entdeckt von VirusTotal

2013-03-23 09:07:48 UTC ( vor 3 Stunden, 42 Minuten )

Dateinamen (max. 25)
 

    TAKDSDecoder.dll

    9C68185A00AA6A61A43F01ED60D9FB00C19E7C91.dll

    TAKDSDECODER.DLL

    smona_72f56eb40d0e7d7bd34da1b66e66bd3a6552a2103295a9465c19fbae7326a4f6.bin

    file-2491496_dll

    file-3722277_dll

Der Log von OTL hab ich im Anhang angehängt. Ich hab jetzt auch zwei weitere Screenshots (Malwarebytes und Avira) angehängt, was alles in Quarantäne ist hilft das weiter?

Hi,

hast Du die Pfadangaben entsprechend im OLT-Script bzw. bei der Suche richtig angepasst?
Du musst die *** durch den Benutzernamen ersetzen, sowohl bei der Suche mit virustotal als auch im OTL-Script, sonst funktioniert es nicht!

Zitat:

File C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe not found.

Im positiven Fall hast Du die Sternchen ersetzt und sie ist tatsächlich (wie in der Quarantäne von MA angegeben) schon entsorgt worden...

Zur Sicherheit das nachfolgende OTL-Script nach Anpassung der *** nochmal abfahren...

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:



:OTL

O4 - HKCU..\Run: [Java Auto Update] C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe ()

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Realtek = C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe ()
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Erstelle und poste dann nochmal ein neues OTL-Log...

chris

Hi Chris,

Ich hab gestern Abend nochmal erneut versucht, bei virustotal die jsheded Datei zu scannen und bin dabei auch immer wieder drauf gestoßen, dass es die Datei nicht gibt und ich es später noch einmal versuchen sollte.
Habe die *** durch den Benutzernamen ersetzt und hab die Datei aber manuell wie am Samstag finden können.

Hier der Log von OTL mit dem Code, den du angegeben hast.(da auch immer die *** mit meinem Benutzername ausgetauscht)

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Java Auto Update not found.

File C:\Users\***\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe not found.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Realtek not found.

File C:\Users\***\AppData\Roaming\45E4CC\45E4CC.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 57616 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: ***

->Temp folder emptied: 33574 bytes

->Temporary Internet Files folder emptied: 18010568 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 92141625 bytes

->Google Chrome cache emptied: 0 bytes

->Opera cache emptied: 24578186 bytes

->Flash cache emptied: 64839 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 600404 bytes

RecycleBin emptied: 444935749 bytes

 

Total Files Cleaned = 554,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 03252013_091754
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

chris

Hallo Chris,

Hab vorhin Combofix benutzt und die Logdatei:

Code:

ComboFix 13-03-25.01 - *** 26.03.2013   8:57.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.43.1031.18.2037.924 [GMT 1:00]

ausgeführt von:: c:\users\***\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-02-26 bis 2013-03-26  ))))))))))))))))))))))))))))))

.

.

2013-03-26 08:08 . 2013-03-26 08:10        --------        d-----w-        c:\users\***\AppData\Local\temp

2013-03-26 08:08 . 2013-03-26 08:08        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-03-26 07:54 . 2013-03-15 07:21        7108640        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{DBF75D8B-261C-4EB0-83C8-65588298C37E}\mpengine.dll

2013-03-23 10:08 . 2013-03-23 10:08        --------        d-----w-        C:\_OTL

2013-03-22 13:25 . 2013-03-22 13:25        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2013-03-22 13:25 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2013-03-19 07:50 . 2013-03-19 07:50        --------        d-----w-        c:\users\***\AppData\Roaming\Java

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-03-08 07:34 . 2012-03-29 15:48        691568        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-03-08 07:34 . 2011-05-17 06:39        71024        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-17 00:28 . 2009-12-23 07:47        232336        ------w-        c:\windows\system32\MpSigStub.exe

2013-03-08 07:55 . 2013-03-08 07:55        263064        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 10:06        163328        --sha-r-        c:\windows\System32\flvDX.dll

2007-02-21 11:47        31232        --sha-r-        c:\windows\System32\msfDX.dll

2008-03-16 13:30        216064        --sha-r-        c:\windows\System32\nbDX.dll

2010-01-06 23:00        107520        --sha-r-        c:\windows\System32\TAKDSDecoder.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-05-25 142104]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-05-25 154392]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-05-25 138008]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2012-01-05 1549608]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-12-03 07:35        946352        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-04-04 05:42        36272        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2011-07-28 23:08        1259376        ----a-w-        c:\program files\DivX\DivX Update\DivXUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]

2011-05-21 13:48        136176        ----atw-        c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\googletalk]

2007-01-01 21:22        3739648        ----a-w-        c:\program files\Google\Google Talk\googletalk.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2012-09-09 21:30        421776        ----a-w-        c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]

2011-11-02 15:51        928656        ----a-w-        c:\program files\Samsung\Kies\KiesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesPDLR]

2011-11-02 15:52        21392        ----a-w-        c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]

2011-11-02 15:51        3508624        ----a-w-        c:\program files\Samsung\Kies\KiesTrayAgent.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-11-29 16:38        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-04-08 10:59        254696        ----a-w-        c:\program files\Common Files\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2007-07-27 16:42        1006264        ----a-w-        c:\program files\Windows Defender\MSASCui.exe

.

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]

.

.

Inhalt des "geplante Tasks" Ordners

.

2013-03-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1314715906-852262232-1004109916-1000Core.job

- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-21 13:48]

.

2013-03-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1314715906-852262232-1004109916-1000UA.job

- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-21 13:48]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1&ltmpl=default&ltmplcache=2

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

mStart Page = hxxp://de.intl.acer.yahoo.com

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 10.0.0.138

FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m4j7bvyv.default\

FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu

FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/

FF - prefs.js: network.proxy.type - 0

FF - ExtSQL: 2013-03-14 10:53; feedly@devhd; c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m4j7bvyv.default\extensions\feedly@devhd.xpi

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{79a33405-4fae-4d41-81c8-a7df88cd6757} - (no file)

WebBrowser-{79A33405-4FAE-4D41-81C8-A7DF88CD6757} - (no file)

WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

HKLM-Run-Acer Tour - (no file)

HKLM-Run-SetPanel - c:\acer\APanel\APanel.cmd

HKLM-Run-eRecoveryService - (no file)

MSConfigStartUp-PowerSuite - c:\program files\Uniblue\PowerSuite\launcher.exe

AddRemove-{1598034D-7147-432C-8CA8-888E0632D124} - c:\program files\InstallShield Installation Information\{1598034D-7147-432C-8CA8-888E0632D124}\setup.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-03-26 09:13

Windows 6.0.6000  NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]

"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(3384)

c:\windows\system32\MsnChatHook.dll

c:\windows\system32\ShowErrMsg.dll

c:\windows\system32\sysenv.dll

c:\windows\system32\BatchCrypto.dll

c:\windows\system32\CryptoAPI.dll

c:\windows\system32\keyManager.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files\Avira\AntiVir Desktop\sched.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Avira\AntiVir Desktop\avfwsvc.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\acer\Empowering Technology\eDataSecurity\eDSService.exe

c:\acer\Empowering Technology\eLock\Service\eLockServ.exe

c:\acer\Empowering Technology\eNet\eNet Service.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\acer\Mobility Center\MobilityService.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\DRIVERS\xaudio.exe

c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe

c:\acer\Empowering Technology\eSettings\Service\capuserv.exe

c:\windows\system32\igfxsrvc.exe

c:\acer\Empowering Technology\ePower\ePowerSvc.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\Avira\AntiVir Desktop\avmailc.exe

c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-03-26  09:20:27 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-03-26 08:20

.

Vor Suchlauf: 16 Verzeichnis(se), 17.851.338.752 Bytes frei

Nach Suchlauf: 21 Verzeichnis(se), 17.355.718.656 Bytes frei

.

- - End Of File - - 854DEAF9418EBBD8CFDB79F828E17D5F

Hi,

sieht soweit gut aus...

Backups von OTL, Avenger&Co (falls vorhanden) löschen:
Falls der Rechner einwandfrei läuft, können die Backups der
Bereinigungstools gelöscht werden (soweit vorhanden):

OLT und das Verzeichnis C:\_OTL löschen...

C:\Qoobox - loeschen und Papierkorb leeren (ComboFix Backups)

chris

Hi Chris,

:bussi: nochmal für deine Hilfe!

Ich konnte C:\_OTL problemlos löschen, nur bei der Quoobox-Order( C:\Qoobox ) lies sich nicht löschen, zeigt mir an, dass ich eine Berechtigung brauche

Zitat:

Sie benötigen Berechtigungen zur Durchführung des Vorgangs
Quoobox
Erstelldatum: 26.03.2013 08:52

Hi,

kannst Ihn auch stehen lassen, da sollte eigentlich nichts drin sein...
Löschen als Admin funktioniert nicht?

chris

Hi Chris,

Es sind einige Dateien im Quarantäne-Ordner, Screenshot ist im Anhang (habs auch versucht, bei den Eigenschaften mir die Berechtigung zu geben, ging aber nicht )

Hi,

nichts kriegsentscheidendes ,o)
Ungewöhnlich, schalte mal die UAE aus Vista Benutzerkontensteuerung deaktivieren und probiere es dann nochmal...

chris

Hi Chris,

Habs geschafft, alle Dateien bis auf den "BackEnv"-Ordner zu löschen. Habs weiter versucht, mir die Adminrechte zum Löschen zu geben, scheint aber nicht zu funktionieren (hab die Vista Benutzerkontensteuerung davor schon deaktiviert gehabt).

Danke nochmal :-)