Fehlermeldungen beim Startup
 

1. Seit einiger Zeit bekam ich immer beim Startup eine Fehlermeldung, dass die Datei cleansweep.exe auf eine Datei im Ordner 0x... zugreifen wollte, aber der Vorgang "read" nicht ausgeführt werden konnte. Das Programm musste mit dem Klick auf Ok beendet werden.

2.Vor wenigen Tagen kam die Fehlermeldung dazu, dass die Datei upd60.tmp nicht gefunden werden kann und dass das Programm (welches auch immer) deswegen beendet wird. Daraufhin kommt eine weitere Fehlermeldung, dass ich den Eintrag upd60 doch aus der registry entfernen soll.

3. Apostrophe haben nicht funktioniert. Statt beim ersten drücken des Apostroph keinen und beim zweiten zwei Apostrophe anzuzeigen, wurden pro Klick zwei Apostrophe gemacht.

Ich hab mir jetzt die Regeln zum posten eines Problems angesehen und die 3 Programme durchlaufen lassen. Der CCleaner hatte kein Problem, das Anti-Malware fand den Trojaner cleansweep.exe, welcher entfernt wurde. Es kam jedoch eine Fehlermeldung, dass eine Datei im Logfile nicht gelöscht werden konnte (oder so?) Nach dem geforderten Restart, waren Problem 1 und 3 verschwunden. Problem 2 besteht allerdings immer noch. Anbei die 3 erzeugten txt-Files.

Sry, dass ich den genauen Wortlaut der Fehlermeldungen nicht genau wiedergeben kann, aber ich habe ihn mir nicht notiert. Ich hoffe, ihr könnt damit trotzdem was anfangen

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.08.2010 11:40:42
mbam-log-2010-08-23 (11-40-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166779
Laufzeit: 28 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.08.2010 11:40:42
mbam-log-2010-08-23 (11-40-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166779
Laufzeit: 28 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

RSIT Logfile:
--- --- ---


info.txtRSIT Logfile:
--- --- ---

Hallo Döö und :hallo:

Wenn ich mir die Logs so anschaue, dann ist die Fehlermeldung beim Start dein kleinstes Problem.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

ciao, andreas

OTL Logfile:
--- --- ---

1.) Deinstalliere AdAware, benutze in Zukunft Malwarebytes.

2.) Deinstalliere wahlweise Norton AV oder CA AV (oder besser beide und benutze Avira).
=> Download and run the Norton Removal Tool to uninstall your Norton product | Norton Support

3.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden und ersetze die ***!!!)
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ciao, andreas

Was ist CA AV? Ich würde gern Avira verwenden aber dafür sollte ich ja zuerst das andere deinstallieren (?). Ich verwende meines Wissens nur MS Security Essentials.
Bei AdAware habe ich weder in Software noch in C:Programme etwas gefunden, dann die Suche verwendet und eine Updatedatei in Windows/Tasks gefunden und gelöscht. Norton habe ich erfolgreich deinstalliert

Die Fehlermeldung beim Start ist jetzt ganz weg.

Hier der Logfile:

All processes killed
========== OTL ==========
Service lac97inf stopped successfully!
Service lac97inf deleted successfully!
C:\Dokumente und Einstellungen\Ich.DÖ\Lokale Einstellungen\Temp\lac97inf.sys moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully.
C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
C:\Programme\Java\jre6\bin\ssv.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.
C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{2318C2B1-4965-11d4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\ deleted successfully.
File C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D0943516-5076-4020-A3B5-AEFAF26AB263} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D0943516-5076-4020-A3B5-AEFAF26AB263}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
File C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cleansweep.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\msdrm deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\swg deleted successfully.
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:upd60.tmp deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Google Sidewiki...\ deleted successfully.
C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll moved successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft E&xel exportieren\ deleted successfully.
C:\Programme\Microsoft Office\Office12\EXCEL.EXE moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ deleted successfully.
C:\Programme\Java\jre6\bin\npjpi160_20.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.
C:\Programme\Microsoft Office\Office12\ONBttnIE.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2670000A-7350-4f3c-8081-5663EE0C6C49}\ not found.
File C:\Programme\Microsoft Office\Office12\ONBttnIE.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{92780B25-18CC-41C8-B9BE-3C9C571A8263}\ not found.
C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B863453A-26C3-4e1f-A54D-A2CD196348E9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aol.com\objects\ deleted successfully.
Starting removal of ActiveX control {166B1BCA-3F9C-11CF-8075-444553540000}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{166B1BCA-3F9C-11CF-8075-444553540000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{166B1BCA-3F9C-11CF-8075-444553540000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{166B1BCA-3F9C-11CF-8075-444553540000}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{166B1BCA-3F9C-11CF-8075-444553540000}\ not found.
Starting removal of ActiveX control {21BB8360-F943-447E-98F3-3C22345375A7}
C:\WINDOWS\Downloaded Program Files\Chocolatier.1.0.0.13.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{21BB8360-F943-447E-98F3-3C22345375A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21BB8360-F943-447E-98F3-3C22345375A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{21BB8360-F943-447E-98F3-3C22345375A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21BB8360-F943-447E-98F3-3C22345375A7}\ not found.
Starting removal of ActiveX control {238F6F83-B8B4-11CF-8771-00A024541EE3}
C:\WINDOWS\Downloaded Program Files\wficat.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{238F6F83-B8B4-11CF-8771-00A024541EE3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238F6F83-B8B4-11CF-8771-00A024541EE3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{238F6F83-B8B4-11CF-8771-00A024541EE3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238F6F83-B8B4-11CF-8771-00A024541EE3}\ not found.
Starting removal of ActiveX control {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}
C:\WINDOWS\Downloaded Program Files\opuc.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}\ not found.
Starting removal of ActiveX control {6414512B-B978-451D-A0D8-FCFDF33E833C}
C:\WINDOWS\Downloaded Program Files\wuweb.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6414512B-B978-451D-A0D8-FCFDF33E833C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6414512B-B978-451D-A0D8-FCFDF33E833C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6414512B-B978-451D-A0D8-FCFDF33E833C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6414512B-B978-451D-A0D8-FCFDF33E833C}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {D27CDB6E-AE6D-11CF-96B8-444553540000}
C:\WINDOWS\Downloaded Program Files\swflash.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11CF-96B8-444553540000}\ deleted successfully.
Starting removal of ActiveX control {DF780F87-FF2B-4DF8-92D0-73DB16A1543A}
C:\WINDOWS\Downloaded Program Files\popcaploader.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:61E5F0F7 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B623B5B8 deleted successfully.
========== FILES ==========
File\Folder C:\WINDOWS\ntsqupr.dll not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temporary Internet Files folder emptied: 671744 bytes
->Flash cache emptied: 348 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 671878 bytes
->Flash cache emptied: 389 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 671878 bytes
->Flash cache emptied: 348 bytes

User: Ich
->Temp folder emptied: 6589765 bytes
->Temporary Internet Files folder emptied: 2936478 bytes
->Flash cache emptied: 348 bytes

User: Ich.DÖ
->Temp folder emptied: 122468798 bytes
->Temporary Internet Files folder emptied: 693755477 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 85640100 bytes
->Google Chrome cache emptied: 4788592 bytes
->Apple Safari cache emptied: 20551680 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 8391 bytes

User: K1x_CD1

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 31526061 bytes

User: NetworkService
->Temp folder emptied: 235537 bytes
->Temporary Internet Files folder emptied: 345575810 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 1964423 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16237649 bytes
RecycleBin emptied: 8481633 bytes

Total Files Cleaned = 1.281,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08232010_174420

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

C:\Programme\CA\eTrust Antivirus

Hab nicht genau hingeschaut, ist schon deinstalliert.
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job

Wird wohl auch nur ein Rest sein, boah, ist die Kiste vergurkt.
:daumenhoc

Ich würde gerne ComboFix einsetzen und die Kiste gründlich aufräumen, ist aber deine Entscheidung.

ciao, andreas

Also kann ich Avira installieren und MS Security Essentials drauflassen?

Was ist ComboFix?

Ich kenne das Teil von MS nicht, aber auch der hat nicht gern ein anderes AV neben sich. Also entscheide dich für eines.
Eine eierlegende Wollmilchsau in Sachen Schädlingsbekämpfung, allerdings nicht ganz ungefährlich. Schau dir einfach den letzten Fall an, bei dem ich es einsetzen ließ => http://www.trojaner-board.de/89787-a...gt-sauber.html

ciao, andreas

Ok, wenn du ComboFix für sinnvoll hältst, dann machen wir das mal. Ist mein Fall auch so ernst wie der verlinkte?

Ich installier Avira AV und tu MS SecEs runter.

Vielen Dank schonmal für die schnelle und idiotensichere Anleitung!

Nein, der hatte ein Rootkit und ein Schädling, den nur wenige AVs erkannten (sein installiertes natürlich nicht :)). Bei dir sieht es eher so aus, als hätte dein AV zugeschlagen, aber wie immer die ganzen Registryeinträge zurückgelassen.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Combofix Logfile:
--- --- ---

Du hast den Autostart aufgeräumt, gut, spart mir Arbeit. :)

Das sieht gar nicht so schlimm aus wie angenommen. Solange ich das Script bastel, kannst du schonmal mit dem Scannen anfangen => http://www.trojaner-board.de/54192-a...tellungen.html

Anschließend das Log posten.

ciao, andreas

Absichtlich hab ich den Autostart nicht aufgeräumt o.O Kommt mir aber trotzdem entgegen.

Sobald die Meldung von ComboFix kommt, dass der 10. Schritt erreicht ist, bitte die Verbindung zum Internet kappen. Ansonsten bekommt sUBs alle Dateien und der wird sich bedanken. :)


Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Combofix Logfile:
--- --- ---

1.) Start => Ausführen => combofix /u => OK

2.) Deinstalliere:

• Adobe Reader 9.3.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A93000000001}
• J2SE Runtime Environment 5.0 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
• Java(TM) 6 Update 20-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
• Opera 10.51-->MsiExec.exe /X{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}

3.) Installiere (Toolbars immer abwählen, Haken weg):

• Java-Downloads für alle Betriebssysteme
• Foxit Software - Foxit Reader 4.1 for Windows
• Opera Web Browser | Faster & safer | Download the new Internet browsers free

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

ciao, andreas

Hatte jetzt 13 Stunden nen Avirascan mit aggressiven Einstellungen laufen. Hier der Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. August 2010 11:12

Es wird nach 2739575 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DÖ

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:36
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:18
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:33:00
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:44
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:44
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:04
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 17:11:43
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 17:11:47
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 17:11:55
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 17:11:57
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 17:11:57
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 17:11:58
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 17:11:58
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 17:11:58
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 17:11:59
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 17:12:02
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 17:12:04
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 17:12:05
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 17:12:05
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 17:12:06
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 17:12:06
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 17:12:06
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 17:12:07
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 17:12:07
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 17:12:08
VBASE024.VDF : 7.10.10.247 2048 Bytes 23.08.2010 17:12:09
VBASE025.VDF : 7.10.10.248 2048 Bytes 23.08.2010 17:12:09
VBASE026.VDF : 7.10.10.249 2048 Bytes 23.08.2010 17:12:09
VBASE027.VDF : 7.10.10.250 2048 Bytes 23.08.2010 17:12:09
VBASE028.VDF : 7.10.10.251 2048 Bytes 23.08.2010 17:12:09
VBASE029.VDF : 7.10.10.252 2048 Bytes 23.08.2010 17:12:09
VBASE030.VDF : 7.10.10.253 2048 Bytes 23.08.2010 17:12:10
VBASE031.VDF : 7.10.11.1 30208 Bytes 23.08.2010 17:12:10
Engineversion : 8.2.4.38
AEVDF.DLL : 8.1.2.1 106868 Bytes 23.08.2010 17:12:25
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 23.08.2010 17:12:25
AESCN.DLL : 8.1.6.1 127347 Bytes 23.08.2010 17:12:24
AESBX.DLL : 8.1.3.1 254324 Bytes 23.08.2010 17:12:26
AERDL.DLL : 8.1.8.2 614772 Bytes 23.08.2010 17:12:24
AEPACK.DLL : 8.2.3.5 471412 Bytes 23.08.2010 17:12:22
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 23.08.2010 17:12:21
AEHEUR.DLL : 8.1.2.15 2859382 Bytes 23.08.2010 17:12:17
AEHELP.DLL : 8.1.13.2 242039 Bytes 23.08.2010 17:12:14
AEGEN.DLL : 8.1.3.19 393587 Bytes 23.08.2010 17:12:13
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.08.2010 17:12:13
AECORE.DLL : 8.1.16.2 192887 Bytes 23.08.2010 17:12:12
AEBB.DLL : 8.1.1.0 53618 Bytes 23.08.2010 17:12:12
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:12
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:08
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:42
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:46
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:50
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:12
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:26
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:54
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:56
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:10
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 24. August 2010 11:12

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\explorer.exe
c:\WINDOWS\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNSCFG.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wbsecsvc.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1784' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP623\A0155341.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <RECOVER>
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP623\A0155341.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E83803AF-8735-4163-83EB-1035392A9459}\RP623\A0155341.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '462dec4e.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\popcaploader.dll.vir
[FUND] Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5efbc228.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. August 2010 00:33
Benötigte Zeit: 13:20:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

27566 Verzeichnisse wurden überprüft
1066619 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1066615 Dateien ohne Befall
19847 Archive wurden durchsucht
0 Warnungen
2 Hinweise
533580 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Der Rest kommt morgen.

Ach ja, ist das normal, dass Combofix beim deinstallieren einen Scan durchführt. Ich habs dann abgebrochen, weil mir das jetzt zu lang dauert. Morgen dann...

Hab jetzt Combofix durchlaufen lassen. Ich dachte, dass wär der Deinstallationsbefehl o.O Hatte den PC offline, weshalb das letzte Update nicht drauf war. Hier der Log:
Combofix Logfile:
--- --- ---

Hab jetzt Combofix durchlaufen lassen. Ich dachte, dass wär der Deinstallationsbefehl o.O Hatte den PC offline, weshalb das letzte Update nicht drauf war. Hier der Log:

Combofix Logfile:
--- --- ---


/E: oops, zweimal gepostet, sry

War es auch, aber irgendetwas ist schiefgelaufen. Lade dir den Anhang auf den Desktop und starte ihn mit Doppelklick. Dann weiter mit obiger Liste.

Die Funde von Avira waren in der Quarantäne von ComboFix und in der Systemwiederherstellung. Letztere säubern wir ganz zum Schluß.

ciao, andreas

Hmmm, CF wurde wieder gestartet, was den FF geschlossen hat und den Panda-Scan beendet -.-

:confused: Ich teste das bei mir.

ciao, andreas

hab gegoogelt und da kam statt combofix /u combofix /uninstall. Ist das das Problem?

Ja. Warum wird alles geändert und keiner sagt mir Bescheid. :(

ciao, andreas

Ok, CF ist drunten, der Panda-Scan kommt frühestens nächsten Montag, da das heut zu lange dauert und ich morgen in Urlaub fahr.

Bis dann
Dö

Schönen Urlaub. :)

ciao, andreas

Bin wieder da. Panda-Scan läuft; ich bin gespannt, wie lange.

Zwei Minuten warte ich noch. ;)

ciao, andreas

Hier der Panda-Log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2010-08-30 21:32:29
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 4
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 10.0.1.44 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00055522 Eicar.Mod Virus No 0 No No c:\programme\pestpatrol\help.chm[/howcanitestdetection.html]
01895149 Malicious Packer SecRisk No 0 Yes No c:\programme\no23 recorder\no23recorder.exe
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No c:\programme\medion\datensicherung.exe
No c:\programme\medion\sbsi nutzen.exe
No d:\tools\wallpaper\lavalamp\datensicherung.exe
No d:\tools\wallpaper\lavalamp\sbsi nutzen.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Panda deinstallieren.

Sind dir diese Programme bekannt? Falls nicht, löschen.
Gibt es noch irgendwelche Auffälligkeiten oder Meldungen?

Poste neue Logs von OTL.

ciao, andreas

Die beiden Dateien kenne ich nicht, aber der PC ist von Medion und da war am Anfang schon einiges drauf...

Die Datei "cofi.exe" - nicht die "Combofix", die ich immer für die Scans verwendet hab - lässt sich nicht löschen. Es kommt immer die Fehlermeldung, dass das die Datei gerade verwendet wird.

Hier die OTL-Logs:OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Ja, Abteilung "Schrott, den die Welt nicht braucht!".
Auch nicht mit

Start => Ausführen => combofix /uninstall => OK

Schlimmstenfalls musst du dir eine LiveCD brennen (die man immer vorrätig haben sollte). => http://www.trojaner-board.de/75619-a...x-live-cd.html

1.) Deinstalliere:

• Panda Active Scan
• Google Toolbar for Internet Explorer
• LightScribe 1.4.67.1 (es sei denn du nutzt es)
• Windows Internet Explorer 7 (falls möglich)

2.) Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

3.) Erstelle und poste neue Logs mit OTL.

ciao, andreas

Wie deinstalliere ich Internet Explorer 7 und Lightscribe? Ich finde beides weder unter Software noch im Ordner Programme. "cofi.exe" lässt sich nicht mit /uninstall löschen. Die Datei kann nicht gefunden werden.

Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

ciao, andreas

RSIT Logfile:
--- --- ---


info.txtRSIT Logfile:
--- --- ---

Start => Ausführen => C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe => OK

Lightscribe sehe ich nicht, muss ne Macke von OTL sein.

ciao, andreas

Der Deinstallationassistent meldet, dass etliche Programme beim Entfernen von "KB947864" uU nicht mehr richtig funktionieren...

Schon vermutet. Falls es sonst keine Probleme mehr gibt:

Starte OTL => Klick auf Bereinigen => Rechner startet neu.

Deinstalliere/lösche alle Programme, die zum Einsatz kamen (Malwarebytes kannst du behalten).

Du bist entlassen. :)

ciao, andreas

Krieg ich die cofi-Datei nur mit der CD runter?

Hier die Logs von OTL:

All processes killed
========== OTL ==========
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\DOKUME~1\ICH~1.D\LOKALE~1\Temp\catchme.sys File not found not found.
Error: No service named pavboot was found to stop!
Service\Driver key pavboot not found.
File C:\WINDOWS\system32\drivers\pavboot.sys not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultName| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe moved successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: Gast
->Flash cache emptied: 0 bytes

User: Ich
->Flash cache emptied: 0 bytes

User: Ich.DÖ
->Flash cache emptied: 6498 bytes

User: K1x_CD1

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Ich
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Ich.DÖ
->Temp folder emptied: 79922007 bytes
->Temporary Internet Files folder emptied: 6800506 bytes
->Java cache emptied: 185849 bytes
->FireFox cache emptied: 89335584 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: K1x_CD1

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 38878 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
RecycleBin emptied: 15873394 bytes

Total Files Cleaned = 183,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 08302010_224712

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...OTL Logfile:
--- --- ---
OTL Logfile:
--- --- ---

Dank dem besch+++++ (zensiert) Rechtesystem von MS, ja. Es gibt noch andere Möglichkeiten, aber so eine LiveCD sollte jeder haben.

ciao, andreas

Noch zwei Fragen:

1. Was hätten die Viren auf meinem PC gemacht, wenn sie nicht entfernt worden wären?

2. Wie verhindere ich, dass sich bei mir wieder was einnistet?

Der Popcaploader ist nur Adware gewesen und nicht wirklich gefährlich.
Klicke auf die letzten beiden Links in meiner Signatur. Dann weißt du auch, warum ich kein Antivirenprogramm benutze. :)

ciao, andreas