Trojaner-Board - Weiser Bildschirm nach Anmeldung bei Windows

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Weiser Bildschirm nach Anmeldung bei Windows (https://www.trojaner-board.de/134759-weiser-bildschirm-anmeldung-windows.html)

Weiser Bildschirm nach Anmeldung bei Windows

Hallo,
Ich habe ein Problem mitreden Start meines Computers bzw Windows. Sobald ich mich mit meinem Passwort angemeldet habe , erscheint einfach ein Weiser Bildschirm.
Ich kann nicht auf den Taskmanager zugreifen und komme außerdem nicht in den abgesicherten Modus. Es hat starke Ähnlichkeit mit dem Bundespolizei Virus, allerdings habe ich einen einfachen weisen Bildschirm ohne eine Information.

:hallo:

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Welches Betriebsystem verwendest du (XP, Vista, 7) ?
32 oder 64 Bit?

Ok, dann kanns ja losgehen. :)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einem USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung.

- oder verwende die folgende -

Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager
Starte den Rechner neu auf.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und starte von der CD

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-05-2013 01
Ran by SYSTEM on 10-05-2013 23:04:56
Running from K:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\runonceex: [Flags] 8 [x]
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKU\Andreas\...\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10o_Plugin.exe -update plugin [235168 2011-04-04] (Adobe Systems, Inc.)

==================== Services (Whitelisted) =================

==================== Drivers (Whitelisted) ====================

==================== NetSvcs (Whitelisted) ===================

==================== One Month Created Files and Folders ========

2013-05-10 23:04 - 2013-05-10 23:04 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-05-10 23:04 - 2013-05-10 23:04 - 00000000 ____D C:\FRST

==================== Known DLLs (Whitelisted) ================

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 6135.17 MB
Available physical RAM: 5427.63 MB
Total Pagefile: 6133.32 MB
Available Pagefile: 5423.28 MB
Total Virtual: 8192 MB
Available Virtual: 8191.87 MB

==================== Drives ================================

Drive c: (ACER) (Fixed) (Total:457.96 GB) (Free:21.68 GB) NTFS (Disk=0 Partition=2) ==>[Drive with boot components (obtained from BCD)]
Drive d: (DATA) (Fixed) (Total:457.93 GB) (Free:41.5 GB) NTFS (Disk=0 Partition=3)
Drive e: (PQSERVICE) (Fixed) (Total:15.63 GB) (Free:0.68 GB) NTFS (Disk=0 Partition=1)
Drive g: (GRMCULXFREO_DE_DVD) (CDROM) (Total:3.03 GB) (Free:0 GB) CDFS
Drive k: () (Removable) (Total:0.94 GB) (Free:0.94 GB) FAT (Disk=5 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 8E2CCD45)
Partition 1: (Not Active) - (Size=16 GB) - (Type=27)
Partition 2: (Active) - (Size=458 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=458 GB) - (Type=07 NTFS)

========================================================
Disk: 5 (Size: 961 MB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=961 MB) - (Type=06)

Last Boot: 2011-04-15 16:43

==================== End Of Log ============================

Servus,

ok, du hast FRST aufgeführt, aber wir haben nicht den Inhalt, den ich brauche.

Hast du ein Dualbootsystem, d. h. verwendest du neben Windows 7 (64 bit) noch ein weiteres Betriebsystem wie z. B. eine andere Windows Version oder Linux?

Hat dich FRST gefragt, welches Betriebssystem du scannen willst?

Wie heißt der Benutzername, mit dem du dich unter Windows 7 einloggst?

Gude,
Ich habe damals von Windows Vista auf 7 geupdatet. Außerdem habe ich ein mal windows 7 neu installiert was die zwei Betriebssysteme erklären sollte.
Ich wurden nicht nach der Auswahl meines Betriebs Systemes gefragt.
Mein Nutzer bzw anmelde Name lautet : Andy
MfG

Servus,

ok, wir versuchen jetzt mal einen Fix mit FRST, evtl. entsperrt das deinen Rechner wieder:

Drücke auf dem sauberen Rechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

C:\Users\Andy\AppData\Roaming\skype.ini

C:\Users\Andy\AppData\Roaming\skype.dat

end

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen infizierten Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Gude,

also ich habe gerade gesehen das Ich doch zwichen zwei Systemen auswählen kann.

Eines habe ich bereits gepostet, es war auf der C-Platte drauf.
Das zweite System ist auf der D-Platte und Ich vermutet das dies das infizierte ist.
Trotz alle dem habe ich den Fix auf C ausgeführt aber auch sofort einen Scan auf D.
Also hier der Fix auf C wie besprochen

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-05-2013 01

Ran by SYSTEM at 2013-05-13 15:30:08 Run:1

Running from K:\

Boot Mode: Recovery

==============================================
 

C:\Users\Andy\AppData\Roaming\skype.ini => Moved successfully.

C:\Users\Andy\AppData\Roaming\skype.dat => Moved successfully.
 

==== End of Fixlog ====

und hier der Scan auf D

Code:

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-05-2013 01

Ran by SYSTEM on 13-05-2013 15:27:30

Running from K:\

Windows 7 Home Premium (X64) OS Language: German Standard

Internet Explorer Version 9

Boot Mode: Recovery

The current controlset is ControlSet001
 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [OEM Upgrade DVD] "D:\OEM\Upgrade Kit\DVDMainStart.Launcher.exe" [410968 2009-10-19] (Acer Inc.)

HKLM\...\Run: [Launch LCore] D:\Program Files\Logitech Gaming Software\LCore.exe /minimized [5889816 2011-12-07] (Logitech Inc.)

HKLM\...\Winlogon: [Userinit] D:\Windows\system32\userinit.exe,D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

HKLM-x32\...\Run: [avgnt] "D:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-03-04] (Avira GmbH)

HKLM-x32\...\Run: [StartCCC] "D:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [641704 2012-11-16] (Advanced Micro Devices, Inc.)

HKU\Andy\...\Policies\system: [EnableLUA] 0

HKU\Andy\...\Winlogon: [Shell] explorer.exe,D:\Users\Andy\AppData\Roaming\skype.dat [58880 2011-11-17] () <==== ATTENTION 

HKU\Default\...\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe [97280 2009-07-14] (Microsoft Corporation)

IMEO\hamachi-2-ui.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
 

==================== Services (Whitelisted) =================
 

S3 AdobeFlashPlayerUpdateSvc; D:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [x]

S2 Akamai; d:\program files (x86)\common files\akamai/netsession_win_ca0e279.dll [x]

S2 AntiVirSchedulerService; "D:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [x]

S2 AntiVirService; "D:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [x]

S2 Apple Mobile Device; "D:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [x]

S2 clr_optimization_v4.0.30319_32; D:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [x]

S2 clr_optimization_v4.0.30319_64; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]

S4 Hamachi2Svc; "D:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe" -s [x]

S2 HPSLPSVC; D:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL [x]

S4 ICQ Service; D:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe [x]

S3 IDriverT; "D:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe" [x]

S3 iPod Service; "D:\Program Files\iPod\bin\iPodService.exe" [x]

S3 MozillaMaintenance; D:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [x]

S2 Net Driver HPZ12; D:\Windows\system32\HPZinw12.dll [x]

S4 NetMsmqActivator; "D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe" -NetMsmqActivator [x]

S4 NetPipeActivator; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S4 NetTcpActivator; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S4 NetTcpPortSharing; D:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [x]

S3 npggsvc; D:\Windows\system32\GameMon.des -service [x]

S2 Pml Driver HPZ12; D:\Windows\system32\HPZipm12.dll [x]

S2 PnkBstrA; D:\Windows\system32\PnkBstrA.exe [x]

S3 Sony PC Companion; "D:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe" [x]

S3 Steam Client Service; D:\Program Files (x86)\Common Files\Steam\SteamService.exe /RunAsService [x]

S2 TuneUp.UtilitiesSvc; "D:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe" [x]

S2 wlidsvc; "D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE" [x]

S2 WSWNDA3100; D:\Program Files (x86)\NETGEAR\WNDA3100v2\WifiSvc.exe [x]
 

==================== Drivers (Whitelisted) ====================
 

S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [314016 2011-05-25] ()

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88288 2011-06-30] (Avira GmbH)

S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [123784 2011-06-30] (Avira GmbH)

S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [254528 2011-08-18] (DT Soft Ltd)

S3 ElbyCDFL; C:\Windows\System32\Drivers\ElbyCDFL.sys [40648 2007-02-16] (SlySoft, Inc.)

S3 libusb0; C:\Windows\System32\DRIVERS\libusb0.sys [44480 2011-05-17] (hxxp://libusb-win32.sourceforge.net)

S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [43680 2011-05-25] ()

S3 s0017bus; C:\Windows\System32\DRIVERS\s0017bus.sys [113704 2008-10-21] (MCCI Corporation)

S3 s0017mdfl; C:\Windows\System32\DRIVERS\s0017mdfl.sys [19496 2008-10-21] (MCCI Corporation)

S3 s0017mdm; C:\Windows\System32\DRIVERS\s0017mdm.sys [152616 2008-10-21] (MCCI Corporation)

S3 s0017mgmt; C:\Windows\System32\DRIVERS\s0017mgmt.sys [133160 2008-10-21] (MCCI Corporation)

S3 s0017nd5; C:\Windows\System32\DRIVERS\s0017nd5.sys [34856 2008-10-21] (MCCI Corporation)

S3 s0017obex; C:\Windows\System32\DRIVERS\s0017obex.sys [128552 2008-10-21] (MCCI Corporation)

S3 s0017unic; C:\Windows\System32\DRIVERS\s0017unic.sys [145960 2008-10-21] (MCCI Corporation)

S3 dump_wmimmc; \??\c:\windows.old.000\program files (x86)\steam\steamapps\common\ava\Binaries\GameGuard\dump_wmimmc.sys [x]

S3 EagleX64; \??\D:\Windows\system32\drivers\EagleX64.sys [x]

S1 ElbyCDIO; System32\Drivers\ElbyCDIO.sys [x]

S3 NPF; system32\DRIVERS\npf.sys [x]

S3 NPPTNT2; \??\D:\Windows\system32\npptNT2.sys [x]

S3 TuneUpUtilitiesDrv; \??\D:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [x]

S3 X6va007; \??\D:\Users\Andy\AppData\Local\Temp\0073F51.tmp [x]
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2013-05-13 15:12 - 2013-05-13 15:12 - 00000000 ____D C:\FRST

2013-05-10 14:33 - 2013-05-12 11:34 - 00000004 ____A C:\Users\Andy\AppData\Roaming\skype.ini

2013-04-25 11:40 - 2013-04-25 12:16 - 112133364 ____A C:\Users\Andy\Downloads\0904 Umse - Wachstum [2013].rar

2013-04-25 09:32 - 2013-04-12 15:45 - 01656680 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys

2013-04-21 19:55 - 2013-04-21 19:55 - 00000427 ____A C:\Users\Public\Desktop\Soulstorm.lnk

2013-04-16 14:26 - 2013-04-16 21:57 - 00011804 ____A C:\Users\Andy\Desktop\Lidl.odt
 

==================== One Month Modified Files and Folders =======
 

2013-05-13 15:12 - 2013-05-13 15:12 - 00000000 ____D C:\FRST

2013-05-13 14:05 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT

2013-05-13 14:05 - 2009-07-14 05:51 - 00102684 ____A C:\Windows\setupact.log

2013-05-12 11:34 - 2013-05-10 14:33 - 00000004 ____A C:\Users\Andy\AppData\Roaming\skype.ini

2013-05-12 11:34 - 2012-04-12 11:24 - 00001134 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001UA.job

2013-05-12 11:34 - 2011-04-25 17:21 - 01578249 ____A C:\Windows\WindowsUpdate.log

2013-05-12 11:33 - 2011-04-25 17:35 - 00074640 ____A C:\Users\Andy\UpgKit.log

2013-05-12 11:27 - 2009-07-14 05:45 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2013-05-12 11:27 - 2009-07-14 05:45 - 00014608 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2013-05-10 15:11 - 2012-04-16 15:05 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job

2013-05-10 14:05 - 2012-09-25 12:51 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Spotify

2013-05-10 13:45 - 2012-09-25 12:58 - 00000000 ____D C:\Users\Andy\AppData\Local\Spotify

2013-05-10 13:35 - 2011-05-12 20:53 - 00000000 ____D C:\Users\Andy\AppData\Roaming\vlc

2013-05-10 13:26 - 2012-03-07 19:24 - 00000000 ____D C:\Users\Andy\Desktop\Müll

2013-05-10 13:26 - 2009-11-28 14:21 - 00000000 ____D C:\cod

2013-05-10 12:52 - 2011-12-03 20:01 - 00000000 ____D C:\Users\Andy\AppData\Local\LogMeIn Hamachi

2013-05-10 12:47 - 2011-04-25 21:07 - 00000000 ____D C:\Users\Andy\AppData\Roaming\ICQ

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ____D C:\Users\Andy\AppData\Roaming\InstallShield

2013-05-10 12:46 - 2011-04-25 17:35 - 00000000 ____D C:\ProgramData\InstallShield

2013-05-10 12:41 - 2011-06-24 02:58 - 00000000 ____D C:\Program Files (x86)\Amnesia - The Dark Descent

2013-05-06 20:34 - 2012-04-12 11:24 - 00001112 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001Core.job

2013-05-02 01:06 - 2011-04-25 18:09 - 00278800 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe

2013-04-28 13:06 - 2012-03-07 19:29 - 00000000 ____D C:\Users\Andy\Desktop\MUSIK

2013-04-25 12:16 - 2013-04-25 11:40 - 112133364 ____A C:\Users\Andy\Downloads\0904 Umse - Wachstum [2013].rar

2013-04-25 11:47 - 2009-07-14 18:58 - 00696832 ____A C:\Windows\System32\perfh007.dat

2013-04-25 11:47 - 2009-07-14 18:58 - 00148128 ____A C:\Windows\System32\perfc007.dat

2013-04-25 11:47 - 2009-07-14 06:13 - 01613340 ____A C:\Windows\System32\PerfStringBackup.INI

2013-04-21 19:55 - 2013-04-21 19:55 - 00000427 ____A C:\Users\Public\Desktop\Soulstorm.lnk

2013-04-21 19:55 - 2011-04-27 13:27 - 00449333 ____A C:\Windows\DirectX.log

2013-04-17 16:43 - 2011-09-04 17:48 - 00000000 ____D C:\ProgramData\Adobe

2013-04-17 14:25 - 2012-04-16 15:05 - 00691592 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2013-04-17 14:25 - 2012-03-07 13:14 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2013-04-16 21:57 - 2013-04-16 14:26 - 00011804 ____A C:\Users\Andy\Desktop\Lidl.odt

2013-04-13 16:30 - 2009-07-14 05:45 - 04848784 ____A C:\Windows\System32\FNTCACHE.DAT
 

ZeroAccess:

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3
 

Other Malware:

===========

C:\Users\Andy\AppData\Roaming\skype.dat

C:\Users\Andy\AppData\Roaming\skype.ini

C:\ProgramData\rimdodmali.dat
 

==================== Known DLLs (Whitelisted) ================
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\SysWOW64\wininit.exe => MD5 is legit

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\SysWOW64\explorer.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\SysWOW64\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\SysWOW64\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\SysWOW64\userinit.exe => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
 

==================== EXE ASSOCIATION =====================
 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK
 

==================== Restore Points  =========================
 
 

==================== Memory info =========================== 
 

Percentage of memory in use: 11%

Total physical RAM: 6135.17 MB

Available physical RAM: 5400.36 MB

Total Pagefile: 6133.32 MB

Available Pagefile: 5398.36 MB

Total Virtual: 8192 MB

Available Virtual: 8191.88 MB
 

==================== Drives ================================
 

Drive c: (DATA) (Fixed) (Total:457.93 GB) (Free:41.42 GB) NTFS (Disk=0 Partition=3)

Drive e: (PQSERVICE) (Fixed) (Total:15.63 GB) (Free:0.68 GB) NTFS (Disk=0 Partition=1)

Drive g: (GRMCULXFREO_DE_DVD) (CDROM) (Total:3.03 GB) (Free:0 GB) CDFS

Drive k: () (Removable) (Total:0.94 GB) (Free:0.94 GB) FAT (Disk=5 Partition=1)

Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Drive y: (ACER) (Fixed) (Total:457.96 GB) (Free:21.68 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 8E2CCD45)

Partition 1: (Not Active) - (Size=16 GB) - (Type=27)

Partition 2: (Active) - (Size=458 GB) - (Type=07 NTFS)

Partition 3: (Not Active) - (Size=458 GB) - (Type=07 NTFS)
 

========================================================

Disk: 5 (Size: 961 MB) (Disk ID: 00000000)

Partition 1: (Not Active) - (Size=961 MB) - (Type=06)
 
 

Last Boot: 2013-05-06 14:23
 

==================== End Of Log ============================

Sorry für die Umstände.
MfG

Servus,

sehr gut gemacht. :applaus:

Laufwerk D ist das Richtige! :abklatsch:
Wann bzw. wo genau kam diese Auswahlmöglichkeit des Laufwerks?

Wir machen jetzt nochmal einen Fix mit FRST!

Drücke auf dem sauberen Rechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

start

HKLM\...\Winlogon: [Userinit] D:\Windows\system32\userinit.exe,D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe

HKU\Andy\...\Policies\system: [EnableLUA] 0

HKU\Andy\...\Winlogon: [Shell] explorer.exe,D:\Users\Andy\AppData\Roaming\skype.dat [58880 2011-11-17] () <==== ATTENTION 

D:\Users\Andy\AppData\Roaming\skype.dat 

S3 X6va007; \??\D:\Users\Andy\AppData\Local\Temp\0073F51.tmp [x]

D:\Users\Andy\AppData\Local\Temp\0073F51.tmp

C:\Users\Andy\AppData\Roaming\skype.ini

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3

C:\ProgramData\rimdodmali.dat

D:\Users\Andy\AppData\Roaming\skype.ini

end

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen infizierten Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Berichte mir bitte, ob dein Rechner nach diesem Fix wieder in den normalen Modus startet und poste den Fix von FRST!

Gude,

Ich sollte noch anmerken das ich alles mit der Windows CD gestartet habe.
Nach dem Start wurde ich nach dem Laufwerk welches ich reparieren von Windows gefragt.
Als ich dann die "frst64.exe" ausgeführt habe wurde ich per "Ja" oder "Nein" noch einmal gefragt ob das Laufwerk welches angeben ist das richtige ist. Sobald ich das richtige gefunden hatte hab ich auf "Ja" geklickt und das Programm hat normal gestartet.

Hier die Fix datei:

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-05-2013 01

Ran by Andy at 2013-05-14 16:23:32 Run:3

Running from J:\

Boot Mode: Normal

==============================================
 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.

D:\Users\Andy\AppData\Roaming\Explorer\explorer.exe => File/Directory not found.

HKEY_USERS\Andy\Software\Microsoft\Windows\CurrentVersion\Policies\system\\EnableLUA => Value not found.

HKEY_USERS\Andy\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.

D:\Users\Andy\AppData\Roaming\skype.dat  => File/Directory not found.

X6va007 => Service not found.

D:\Users\Andy\AppData\Local\Temp\0073F51.tmp => File/Directory not found.

C:\Users\Andy\AppData\Roaming\skype.ini => File/Directory not found.

C:\$Recycle.Bin\S-1-5-21-1908369367-3690954649-3213997060-1001\$91324472f8de5ce04e14a2335bc402a3 => File/Directory not found.

C:\ProgramData\rimdodmali.dat => File/Directory not found.

D:\Users\Andy\AppData\Roaming\skype.ini => File/Directory not found.
 

==== End of Fixlog ====

Habe vorher versucht meinen PC zu starten und es hat schon nach dem Fix auf dem Laufwerk C funktioniert .....

Mfg

Servus,

ok, wir versuchen es jetzt mit ComboFix:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

Combofix kopieren
- Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
Combofix starten
- Tippe explorer (Enter)
- Finde den USB-Stick und starte Combofix mit einem Doppelklick.
- Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
- Übergehe alle anderen Warnungen mit OK.
Logfile posten
- Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
- Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
- Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken)
- Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Gude,

Mein PC startet wider , trotzdem ausführen ?

Zitat:

Zitat von Killaklo (Beitrag 1063227)

Mein PC startet wider ,

Sehr gut. :)

Zitat:

Zitat von Killaklo (Beitrag 1063227)

trotzdem ausführen ?

Ja, im normalen Modus ausführen, wenn der wieder funktioniert.

Du möchtest doch, dass wir den Rechner komplett bereinigen, oder? ;)

Bitte arbeite so lange mit mir, bis ich die sage, dass wir fertig sind. :)

Gude,

Logfile:

Code:

ComboFix 13-05-18.03 - Andy 19.05.2013  13:18:05.1.8 - x64

Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.6135.4332 [GMT 2:00]

ausgef¸hrt von:: L:\ComboFix.exe

AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
  ADS - Windows: deleted 24 bytes in 1 streams. 

.

((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

D:\install.exe

d:\users\Andy\AppData\Roaming\AcroIEHelpe.txt

d:\users\Andy\AppData\Roaming\explorer

d:\users\Andy\AppData\Roaming\srvblck2.tmp

d:\users\Andy\AppData\Roaming\srvblck5.tmp

d:\users\Andy\AppData\Roaming\urhtps.tmp

d:\windows\SysWow64\DEBUG.log

d:\windows\SysWow64\frapsvid.dll

d:\windows\SysWow64\Packet.dll

d:\windows\SysWow64\pthreadVC.dll

d:\windows\SysWow64\wpcap.dll

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_NPF

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-04-19 bis 2013-05-19  ))))))))))))))))))))))))))))))

.

.

2013-05-19 11:24 . 2013-05-19 11:24        --------        d-----w-        d:\users\Default\AppData\Local\temp

2013-05-17 16:18 . 2013-05-13 06:37        9460464        ----a-w-        d:\programdata\Microsoft\Windows Defender\Definition Updates\{6920F83E-D265-48E2-AFD7-A870AA550289}\mpengine.dll

2013-05-16 20:22 . 2013-05-05 21:36        17818624        ----a-w-        d:\windows\system32\mshtml.dll

2013-05-16 20:22 . 2013-05-05 21:16        2382848        ----a-w-        d:\windows\system32\mshtml.tlb

2013-05-16 20:22 . 2013-05-05 19:12        2382848        ----a-w-        d:\windows\SysWow64\mshtml.tlb

2013-05-16 12:45 . 2013-04-10 06:01        265064        ----a-w-        d:\windows\system32\drivers\dxgmms1.sys

2013-05-16 12:45 . 2013-04-10 06:01        983400        ----a-w-        d:\windows\system32\drivers\dxgkrnl.sys

2013-05-16 12:45 . 2011-02-03 11:25        144384        ----a-w-        d:\windows\system32\cdd.dll

2013-05-16 12:44 . 2013-02-27 05:52        14172672        ----a-w-        d:\windows\system32\shell32.dll

2013-05-16 12:44 . 2013-02-27 06:02        111448        ----a-w-        d:\windows\system32\consent.exe

2013-05-16 12:44 . 2013-02-27 05:52        197120        ----a-w-        d:\windows\system32\shdocvw.dll

2013-05-16 12:44 . 2013-02-27 05:48        1930752        ----a-w-        d:\windows\system32\authui.dll

2013-05-16 12:44 . 2013-02-27 05:47        70144        ----a-w-        d:\windows\system32\appinfo.dll

2013-05-16 12:44 . 2013-02-27 04:49        1796096        ----a-w-        d:\windows\SysWow64\authui.dll

2013-05-16 12:44 . 2013-03-19 05:53        48640        ----a-w-        d:\windows\system32\wwanprotdim.dll

2013-05-16 12:44 . 2013-03-19 05:53        230400        ----a-w-        d:\windows\system32\wwansvc.dll

2013-05-16 12:44 . 2013-04-10 03:30        3153920        ----a-w-        d:\windows\system32\win32k.sys

2013-05-13 14:12 . 2013-05-13 14:12        --------        d-----w-        D:\FRST

2013-04-25 08:32 . 2013-04-12 14:45        1656680        ----a-w-        d:\windows\system32\drivers\ntfs.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-05-19 11:26 . 2011-03-28 17:36        22240        ----a-w-        d:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2013-05-16 20:25 . 2011-05-02 13:23        75016696        ----a-w-        d:\windows\system32\MRT.exe

2013-05-14 19:12 . 2012-04-16 14:05        692104        ----a-w-        d:\windows\SysWow64\FlashPlayerApp.exe

2013-05-14 19:12 . 2012-03-07 12:14        71048        ----a-w-        d:\windows\SysWow64\FlashPlayerCPLApp.cpl

2013-05-02 00:06 . 2011-04-25 17:09        278800        ------w-        d:\windows\system32\MpSigStub.exe

2013-04-13 05:49 . 2013-05-16 12:45        135168        ----a-w-        d:\windows\apppatch\AppPatch64\AcXtrnal.dll

2013-04-13 05:49 . 2013-05-16 12:45        350208        ----a-w-        d:\windows\apppatch\AppPatch64\AcLayers.dll

2013-04-13 05:49 . 2013-05-16 12:45        308736        ----a-w-        d:\windows\apppatch\AppPatch64\AcGenral.dll

2013-04-13 05:49 . 2013-05-16 12:45        111104        ----a-w-        d:\windows\apppatch\AppPatch64\acspecfc.dll

2013-04-13 04:45 . 2013-05-16 12:45        474624        ----a-w-        d:\windows\apppatch\AcSpecfc.dll

2013-04-13 04:45 . 2013-05-16 12:45        2176512        ----a-w-        d:\windows\apppatch\AcGenral.dll

2013-04-11 14:18 . 2011-06-11 08:58        281768        ----a-w-        d:\windows\SysWow64\PnkBstrB.xtr

2013-04-11 14:18 . 2011-06-10 23:16        281768        ----a-w-        d:\windows\SysWow64\PnkBstrB.exe

2013-04-11 14:07 . 2011-06-10 23:16        271200        ----a-w-        d:\windows\SysWow64\PnkBstrB.ex0

2013-03-19 06:04 . 2013-04-11 11:53        5550424        ----a-w-        d:\windows\system32\ntoskrnl.exe

2013-03-19 05:46 . 2013-04-11 11:53        43520        ----a-w-        d:\windows\system32\csrsrv.dll

2013-03-19 05:04 . 2013-04-11 11:53        3968856        ----a-w-        d:\windows\SysWow64\ntkrnlpa.exe

2013-03-19 05:04 . 2013-04-11 11:53        3913560        ----a-w-        d:\windows\SysWow64\ntoskrnl.exe

2013-03-19 04:47 . 2013-04-11 11:53        6656        ----a-w-        d:\windows\SysWow64\apisetschema.dll

2013-03-19 03:06 . 2013-04-11 11:53        112640        ----a-w-        d:\windows\system32\smss.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]

"Spotify Web Helper"="d:\users\Andy\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2013-05-05 1105408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="d:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]

"StartCCC"="d:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-11-16 641704]

.

d:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

NETGEAR WNDA3100v2 Setup-Assistent.lnk - d:\program files (x86)\NETGEAR\WNDA3100v2\WNDA3100v2.exe [2011-11-29 4577760]

SmartCopy.lnk - d:\program files (x86)\Northstar\SmartCopy\SmartCopy.exe [2011-4-25 319488]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"DivXUpdate"="d:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

"TkBellExe"="d:\program files (x86)\Real\RealPlayer\update\realsched.exe"  -osboot

"QuickTime Task"="d:\program files (x86)\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="d:\program files (x86)\iTunes\iTunesHelper.exe"

"StartCCC"="d:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

"CloneCDTray"="d:\program files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s

"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

"SunJavaUpdateSched"="d:\program files (x86)\Common Files\Java\Java Update\jusched.exe"

"AMD AVT"=Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "d:\program files (x86)\AMD AVT\bin\kdbsync.exe" aml

"WinampAgent"="d:\program files (x86)\Winamp\winampa.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="1"

"UpdatesDisableNotify"="1"

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;d:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 WSWNDA3100;WSWNDA3100;d:\program files (x86)\NETGEAR\WNDA3100v2\WifiSvc.exe [2010-08-19 272864]

R3 dump_wmimmc;dump_wmimmc;c:\windows.old.000\program files (x86)\steam\steamapps\common\ava\Binaries\GameGuard\dump_wmimmc.sys [x]

R3 EagleX64;EagleX64;d:\windows\system32\drivers\EagleX64.sys [x]

R3 ggflt;SEMC USB Flash Driver Filter;d:\windows\system32\DRIVERS\ggflt.sys [2011-06-21 13352]

R3 LGVirHid;Logitech Gamepanel Virtual HID Device Driver;d:\windows\system32\drivers\LGVirHid.sys [2009-11-24 16008]

R3 libusb0;libusb-win32 - Kernel Driver 04/08/2011 1.2.4.0;d:\windows\system32\DRIVERS\libusb0.sys [2011-05-17 44480]

R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [x]

R3 s0017bus;Sony Ericsson Device 0017 driver (WDM);d:\windows\system32\DRIVERS\s0017bus.sys [2008-10-21 113704]

R3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;d:\windows\system32\DRIVERS\s0017mdfl.sys [2008-10-21 19496]

R3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;d:\windows\system32\DRIVERS\s0017mdm.sys [2008-10-21 152616]

R3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);d:\windows\system32\DRIVERS\s0017mgmt.sys [2008-10-21 133160]

R3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);d:\windows\system32\DRIVERS\s0017nd5.sys [2008-10-21 34856]

R3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;d:\windows\system32\DRIVERS\s0017obex.sys [2008-10-21 128552]

R3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);d:\windows\system32\DRIVERS\s0017unic.sys [2008-10-21 145960]

R3 Sony PC Companion;Sony PC Companion;d:\program files (x86)\Sony\Sony PC Companion\PCCService.exe [2012-01-18 155320]

R3 TsUsbFlt;TsUsbFlt;d:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R4 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-12-10 2465712]

R4 ICQ Service;ICQ Service;d:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2010-11-21 247608]

S0 SCMNdisP;General NDIS Protocol Driver;d:\windows\system32\DRIVERS\scmndisp.sys [2007-01-19 25312]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;d:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-08-18 254528]

S2 Akamai;Akamai NetSession Interface;d:\windows\System32\svchost.exe [2009-07-14 27136]

S2 AMD External Events Utility;AMD External Events Utility;d:\windows\system32\atiesrxx.exe [2012-11-16 238080]

S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe [2011-03-30 2026304]

S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;d:\windows\system32\drivers\AtihdW76.sys [2012-02-23 95760]

S3 BCMH43XX;Treiber f¸r Broadcom 802.11-USB-Netzwerkadapter;d:\windows\system32\DRIVERS\bcmwlhigh664.sys [2009-11-06 838136]

S3 e1yexpress;Intel(R) Gigabit-Netzwerkverbindungstreiber;d:\windows\system32\DRIVERS\e1y60x64.sys [2009-06-10 281088]

S3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;d:\windows\system32\drivers\LGBusEnum.sys [2009-11-24 22408]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [2010-10-07 11856]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

Akamai        REG_MULTI_SZ           Akamai

.

Inhalt des "geplante Tasks" Ordners

.

2013-05-19 d:\windows\Tasks\Adobe Flash Player Updater.job

- d:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-16 19:12]

.

2013-05-17 d:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001Core.job

- d:\users\Andy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-12 19:29]

.

2013-05-18 d:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1908369367-3690954649-3213997060-1001UA.job

- d:\users\Andy\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-12 19:29]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OEM Upgrade DVD"="d:\oem\Upgrade Kit\DVDMainStart.Launcher.exe" [2009-10-19 410968]

"Launch LCore"="d:\program files\Logitech Gaming Software\LCore.exe" [2011-12-07 5889816]

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService

FontCache

.

------- Zus‰tzlicher Suchlauf -------

.

uLocal Page = d:\windows\system32\blank.htm

mLocal Page = d:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>

IE: Free YouTube to MP3 Converter - d:\users\Andy\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - d:\program files (x86)\ICQ7.5\ICQ.exe

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - d:\users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\g4h18ccp.default\

FF - prefs.js: network.proxy.type - 0

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

.

AddRemove-Guild Wars - d:\guild wars\Gw.exe

.

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai]

"ServiceDll"="d:\program files (x86)\common files\akamai/netsession_win_ca0e279.dll"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]

"ImagePath"="d:\windows\system32\GameMon.des -service"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1908369367-3690954649-3213997060-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

"??"=hex:0d,a0,9c,6a,a3,66,a5,4b,b8,92,e4,8f,04,a1,7b,0d,76,c8,2b,c8,4b,56,88,

   4d,12,b8,11,6c,7c,b7,88,1a,4e,46,78,d7,ce,1e,54,65,9e,83,1e,8f,4a,7b,45,5d,\

"??"=hex:41,e0,42,8c,cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b

.

[HKEY_USERS\S-1-5-21-1908369367-3690954649-3213997060-1001\Software\SecuROM\License information*]

"datasecu"=hex:cc,79,35,6f,d1,1c,fb,21,5c,9f,7d,0e,52,c7,ac,f6,7c,fb,08,8f,ce,

   d5,0e,0d,34,c3,51,38,67,cb,b4,f4,22,9e,c5,56,3f,88,4c,93,e3,7d,3d,3c,18,f3,\

"rkeysecu"=hex:4c,c7,46,e7,d7,01,46,1c,d6,68,23,8e,ad,a0,84,93

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_202_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@d:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="d:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_202.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

d:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

d:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

d:\windows\SysWOW64\PnkBstrA.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-05-19  13:30:31 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-05-19 11:30

.

Vor Suchlauf: 76 Verzeichnis(se), 67.919.212.544 Bytes frei

Nach Suchlauf: 81 Verzeichnis(se), 67.983.659.008 Bytes frei

.

- - End Of File - - A67BAE6E5C8A25EF104AD63C4A8E0E0B

Ich kann allerdings seit dem ich den ComboFix ausgeführt habe keine Anwendungen mehr starten auf meinem Pc, dazu gehört unter anderem mein Internetexplorer sowie FIrefox.
Ist das normal ?

MFG

Zitat:

Zitat von Killaklo (Beitrag 1065227)

Ich kann allerdings seit dem ich den ComboFix ausgeführt habe keine Anwendungen mehr starten auf meinem Pc, dazu gehört unter anderem mein Internetexplorer sowie FIrefox.
Ist das normal ?

Starte den Rechner neu auf. Besteht das Problem danach immer noch?
Wenn ja, welche Fehlermeldung erscheint, wenn du IE oder FF öffnen möchtest?

Gude,
Problem besteht nicht mehr!

MfG

Servus,

alles klar. :)

So geht es weiter:

Schritt 1
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

Starte bitte die OTL.exe.
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
Setze einen Haken bei Scanne alle Benutzer.
Unter Extra Registry, wähle bitte Use SafeList.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

msconfig

CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Scan Button.
Am Ende des Suchlaufs werden 2 Logdateien erstellt.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 3
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 4
Bitte lade dir

GMER herunter: (Dateiname zufällig)

Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
Entferne rechts den Haken bei: IAT/EAT und Show All
Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

Probiere alternativ den abgesicherten Modus.
Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Bitte poste mit deiner nächsten Antwort

die Logdatei von AdwCleaner,
die beiden Logdateien von OTL,
die Logdatei von DeFogger,
die Logdatei von GMER.

Gude,
also als erstes:

AdwCleaner:

Code:

# AdwCleaner v2.301 - Datei am 02/01/2008 um 07:07:58 erstellt

# Aktualisiert am 16/05/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : Andy - ANDY-PC

# Bootmodus : Normal

# Ausgeführt unter : D:\Users\Andy\Downloads\adwcleaner (1).exe

# Option [Löschen]
 
 

**** [Dienste] ****
 

Gestoppt & Gelöscht : ICQ Service
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : D:\Program Files (x86)\Common Files\DVDVideoSoft\TB

Ordner Gelöscht : D:\Program Files (x86)\Common Files\Plasmoo

Ordner Gelöscht : D:\Program Files (x86)\ICQ6Toolbar

Ordner Gelöscht : D:\Program Files (x86)\Ilivid

Ordner Gelöscht : D:\ProgramData\ICQ\ICQToolbar

Ordner Gelöscht : D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ilivid

Ordner Gelöscht : D:\ProgramData\Trymedia

Ordner Gelöscht : D:\Users\Andy\AppData\Local\Ilivid Player

Ordner Gelöscht : D:\Users\Andy\AppData\Local\PackageAware

Ordner Gelöscht : D:\Users\Andy\AppData\LocalLow\boost_interprocess

Ordner Gelöscht : D:\Users\Andy\AppData\Roaming\dvdvideosoftiehelpers
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\ilivid

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{855F3B16-6D32-4FE6-8A56-BBB695989046}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}

Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5D723752-5899-47E8-99B4-62C824EF9E13}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ICQ Service.exe

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ilivid

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\2B1E51D87B2D71A44BB42DDD5E894160

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\2B1E51D87B2D71A44BB42DDD5E894160

Schlüssel Gelöscht : HKLM\Software\ilivid

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{855F3B16-6D32-4FE6-8A56-BBB695989046}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetupV1_RASMANCS

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8D15E1B2-D2B7-4A17-B44B-D2DDE5981406}

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ICQToolbar

Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ilivid

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{855F3B16-6D32-4FE6-8A56-BBB695989046}]

Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16483
 

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com
 

-\\ Mozilla Firefox v12.0 (de)
 

Datei : D:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\g4h18ccp.default\prefs.js
 

D:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\g4h18ccp.default\user.js ... Gelöscht !
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v10.0.648.205
 

Datei : D:\Users\Andy\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Gelöscht [l.9] : icon_url = "hxxp://c.icq.com/favicon.ico",

Gelöscht [l.15] : search_url = "hxxp://search.icq.com/search/results.php?ch_id=osd&q={searchTerms}&icid=chrome"[...]
 

*************************
 

AdwCleaner[S1].txt - [4155 octets] - [02/01/2008 07:07:58]
 

########## EOF - D:\AdwCleaner[S1].txt - [4215 octets] ##########

Muss 2 Antworten schreiben weil sie sonst zu groß wären.

MFG

Gude,
Hab ein Problem mit der OTL datei , sie ist einfach viel zu groß.

Hier schon mal die von Defogger:
Ich habe es zwar ausgeführt, hab allerdings keine .txt bekommen !

Die von GMER :

Code:

GMER 2.1.19163 - hxxp://www.gmer.net

Rootkit scan 2008-01-02 09:13:39

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.ST6O 931,51GB

Running: gmer_2.1.19163 (1).exe; Driver: D:\Users\Andy\AppData\Local\Temp\pwldrpob.sys
 
 

---- User code sections - GMER 2.1 ----
 

.text  D:\Windows\SysWOW64\svchost.exe[1396] D:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                   0000000075e71465 2 bytes [E7, 75]

.text  D:\Windows\SysWOW64\svchost.exe[1396] D:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                  0000000075e714bb 2 bytes [E7, 75]

.text  ...                                                                                                                                                                                             * 2

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322                                                                                                         00000000724e1a22 2 bytes [4E, 72]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496                                                                                                         00000000724e1ad0 2 bytes [4E, 72]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552                                                                                                         00000000724e1b08 2 bytes [4E, 72]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730                                                                                                         00000000724e1bba 2 bytes [4E, 72]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762                                                                                                         00000000724e1bda 2 bytes [4E, 72]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                                                                                  0000000075e71465 2 bytes [E7, 75]

.text  D:\Windows\SysWOW64\PnkBstrA.exe[1968] D:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                                                                                 0000000075e714bb 2 bytes [E7, 75]

.text  ...                                                                                                                                                                                             * 2
 

---- Registry - GMER 2.1 ----
 

Reg    HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{CA7DB403-2EBB-4796-977F-4DE22991465D}@LeaseObtainedTime                                                                     1199259159

Reg    HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{CA7DB403-2EBB-4796-977F-4DE22991465D}@T1                                                                                    1199259286

Reg    HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{CA7DB403-2EBB-4796-977F-4DE22991465D}@T2                                                                                    1199259382

Reg    HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{CA7DB403-2EBB-4796-977F-4DE22991465D}@LeaseTerminatesTime                                                                   1199259414

Reg    HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Windows.old.000\Users\Andreas.Heidt\Downloads\Adobe_After_Effects\x00a0CS5-AkamaiDLM.exe  1
 

---- EOF - GMER 2.1 ----

MFG

Zitat:

Zitat von Killaklo (Beitrag 1067596)

Hab ein Problem mit der OTL datei , sie ist einfach viel zu groß.

Dafür gibt es zwei Möglichkeiten:

du fügst die Dateien von OTL als zip-archive im Anhang bei
du teilst die Logdatei von OTL in 2 oder mehrere Teile auf

Gude,

Hier die OTL Datei !
:Boogie:

MFG

Servus,

Wir entfernen die letzten Reste und kontrollieren nochmal alles:

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

IE - HKU\S-1-5-21-1908369367-3690954649-3213997060-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>

FF - prefs.js..extensions.enabledAddons: {184AA5E6-741D-464a-820E-94B3ABC2F3B4}:1.0

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: D:\Users\Andy\AppData\Roaming\5064 [2011.12.22 20:55:36 | 000,000,000 | ---D | M]

[2011.12.22 20:55:36 | 000,000,000 | ---D | M] (Java String Helper) -- D:\USERS\ANDY\APPDATA\ROAMING\5064

[2013.01.04 20:57:39 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\Uqilbu

[2013.01.04 20:57:39 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\Imihy

[2013.01.04 20:57:39 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\Axbi

[2011.12.22 20:55:36 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5064

[2011.12.21 20:27:39 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5063

[2011.12.20 16:05:49 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5062

[2011.12.19 20:31:35 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5061

[2011.12.13 15:50:30 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5058

[2011.12.12 15:03:15 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5056

[2011.12.11 15:28:56 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5055

[2011.12.09 11:00:25 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5054

[2011.12.07 12:08:31 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\5053

[2011.11.24 15:37:58 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\UAs

[2011.11.23 21:56:56 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\xmldm

[2011.11.23 21:56:41 | 000,000,000 | ---D | C] -- D:\Users\Andy\AppData\Roaming\kock

[2011.04.02 09:59:20 | 000,000,000 | ---D | C] -- D:\Crack

[2009.12.19 14:14:43 | 007,921,616 | ---- | C] (Mozilla) -- D:\Firefox_Setup_3.5.6.exe
 

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade dir HitmanPro (64 Bit) auf deinen Desktop.

Starte die HitmanPro.exe.
Klicke auf Weiter.
Akzeptiere die Lizenzbedinungen und klicke auf Weiter.
Wähle Nein, ich möchte nur einen Einmalscan zur Überprüfung dieses Computers ausführen aus und klicke auf Weiter.
Lass am Ende des Suchlaufs alle auftretende Funde entfernen und klicke auf Weiter.
Wähle im nächsten Fenster Logdatei speichern und speichere die Logdatei auf deinem Desktop.
Schließe HitmanPro.
Poste die HitmanPro_<Datum_Uhrzeit>.txt mit deiner nächsten Antwort.

Schritt 5
Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mit deiner nächsten Antwort

die Logdatei von OTL,
die Logdatei von MBAM,
die Logdatei von ESET,
die Logdatei von HitmanPro,
die Logdatei von SecurityCheck.

Gude,
Ist es normal das der ESET-scan so lange dauert ?
Ich warte jetzt schon ca 3h....
MFG

Servus,

Zitat:

Zitat von Killaklo (Beitrag 1070700)

Ist es normal das der ESET-scan so lange dauert ?
Ich warte jetzt schon ca 3h....

Ja, ESET kann lange dauern... ist aber sehr gründlich. :)

Bitte geduldig sein. :)

Vielen Dank!

Gude,
hab alles .TxT´s in eine .rar gepackt und als anhang drann gemacht !
:glaskugel:
MFG

Servus,

eine weitere Bereinigung macht keinen Sinn bei dir.

Aus deiner Logdatei:

Zitat:

C:\Windows.old.000\Documents and Settings\Andreas.Heidt\Downloads\Just Cause 2 PROPER-RELOADED CRACK ONLY.rar
C:\Windows.old.000\Users\Andreas.Heidt\Downloads\Just Cause 2 PROPER-RELOADED CRACK ONLY.rar
D:\Program Files (x86)\Reality Pump\Two Worlds II\Two Worlds 2 Keygen.EXE

Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportstopp

Lesestoff:
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Zudem sind Cracks und Patches aus dubioser Quelle sehr oft mit Schädlingen versehen, womit man sich also fast vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Hinzu kommt, dass wir dich in unserer Anleitung und auch in diesem Wichtig-Thema unmissverständlich darauf hingewiesen haben, wie wir damit umgehen werden. Saubere, gute Software hat seinen Preis und die Softwarefirmen leben von diesen Einnahmen.

Unsere Hilfe beschränkt sich daher nur auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Forum.

Damit ist das Thema beendet.