Trojaner-Board - Ist PC nach Trojaner Internet Security 2010 wieder sauber?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ist PC nach Trojaner Internet Security 2010 wieder sauber? (https://www.trojaner-board.de/96010-pc-trojaner-internet-security-2010-sauber.html)

Ist PC nach Trojaner Internet Security 2010 wieder sauber?

Trojaner Security Suite erwartet beim Scan von Malware AntiMal MBAM, andere Trojaner gefunden, ist der PC wieder sauber?

Symtome:
Internet ging nur eingeschränkt, Systemauslastung teilweise 50 Prozent
Programm startete mit Bitte um Registrierung, sicherlich falscher Scan mit falscher Warnung

Beobachtungen:
Prozess jew.exe
kein msascui.exe gefunden

malware unter anderem User und abgesischerten Modus laufen lassen, hier der Log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5854

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

23.02.2011 18:40:38
mbam-log-2011-02-23 (18-40-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 351220
Laufzeit: 1 Stunde(n), 1 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-2948474076-2679081757-2574531004-1000\$R2ZDSWX.exe (Adware.MyWebSearch) -> No action taken.

anschließend Anmeldung unter diesem User
"gefühlt" funktionierte der PC gut
Wise Registry cleaning laufen lassen

Dann Anmeldung mit ursprünglichem User (Adminrechte) und gleiches Phänomen
-> wieder Malware AntiMal laufen lassen, hier der Log

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 5854

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

24.02.2011 21:13:41
mbam-log-2011-02-24 (21-13-41).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 41867
Time elapsed: 9 minute(s), 14 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 10
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\*\AppData\Local\jew.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

-> OTL

OTL logfile created on: 25.02.2011 01:52:47 - Run 1
siehe Zip File

Ich würde mich sehr über Hilfe freuen.
Danke

Zitat:

Malwarebytes' Anti-Malware 1.46

Bitte auf Version 1.50.1 updaten, danach die Signaturen aktualisieren und den Vollscan wiederholen.

Hallo Arne,

nach dem erneueten Scan wieder Infektionen.

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

25.02.2011 07:48:11
mbam-log-2011-02-25 (07-48-11).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 122031
Time elapsed: 53 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\users\*\appdata\local\jew.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\*\AppData\Local\microsoft\Windows\temporary internet files\Low\Content.IE5\S3L5PC10\OTH[1].scr (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

Eine Frage zu dem "Verlauf": Warum war der Trojaner Vundo bei dem Benutzer B wieder da, obwohl der Scan bei Benutzer A malwarefrei war? Muss man den Scan immer für jeden Benutzer machen?

Grüße Silke

Poste bitte das Log auch wenn keine Funde dabei waren.
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,

hier das neue Posting - eben fertig geworden - jetzt wieder bei mbam nichts zu finden:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Database version: 5874

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

25.02.2011 09:15:31
mbam-log-2011-02-25 (09-15-31).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 315353
Time elapsed: 1 hour(s), 24 minute(s), 36 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Grüße Silke

und noch ein paar "ältere":
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5854

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

23.02.2011 18:40:38
mbam-log-2011-02-23 (18-40-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 351220
Laufzeit: 1 Stunde(n), 1 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 5854

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

24.02.2011 22:16:47
mbam-log-2011-02-24 (22-16-47).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 316188
Time elapsed: 1 hour(s), 0 minute(s), 29 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 5854

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

24.02.2011 22:16:47
mbam-log-2011-02-24 (22-16-47).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 316188
Time elapsed: 1 hour(s), 0 minute(s), 29 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Grüße Silke

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

habe die cofi.exe ausgeführt, hatte keine Installation so wie in der Anleitung.
Es kam die Adminconsole, in der wurden die Punkte ausgeführt, zum Schluss eine Fehlermeldung zu einem Schlüssel - war leider zu langsam.

Muss ich jetzt neu booten?

Ich kann weder ins Internet, ich wollte die Services des Antivirenprogramms wieder aktivieren, den Windowsexplorer starten.

Es kommt die Fehlermeldung:

Es wurde versucht, einem Regierungsschlüssel einen unzulässigen Vorgang ..., der zum Löschen markiert wurde: z.b. C:\windows\explorer

Hab ich überhaupt noch ein lauffähiges System?

Ich traue mich jetzt nicht, den PC zu booten... Könnte ev. per USB-Stick das logfile zur Verfügung stellen hier, aber mag mir nicht auch diesen Rechner "verseuchen".

Grüße
Silke

Ja bitte neu starten und nochmal mit cofi probieren.

Hallo Arne,

anbei das Log, aber ich muss wieder neu booten.

Combofix Logfile:

Code:

ComboFix 11-02-24.05 - Silke 25.02.2011  11:55:37.2.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3066.2056 [GMT -3:00]

ausgeführt von:: c:\users\Silke\Desktop\Cofi.exe

AV: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}

FW: McAfee Firewall *Disabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}

SP: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 * Im Speicher befindliches AV aktiv.
 

.
 

(((((((((((((((((((((((   Dateien erstellt von 2011-01-25 bis 2011-02-25  ))))))))))))))))))))))))))))))

.
 

2011-02-25 15:04 . 2011-02-25 15:04        --------        d-----w-        c:\users\Peggy\AppData\Local\temp

2011-02-25 15:04 . 2011-02-25 15:04        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-02-25 13:49 . 2011-02-25 13:50        --------        d-----w-        C:\Cofi

2011-02-25 05:25 . 2011-02-02 20:10        5890896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{64941C75-6616-46EC-8215-838A8D2125F2}\mpengine.dll

2011-02-25 05:25 . 2011-02-02 20:11        222080        ------w-        c:\windows\system32\MpSigStub.exe

2011-02-25 00:03 . 2011-02-25 00:03        --------        d-----w-        c:\users\Peggy\AppData\Roaming\Malwarebytes

2011-02-24 00:09 . 2011-02-24 00:47        --------        d-----w-        c:\program files\Wise Disk Cleaner

2011-02-24 00:08 . 2011-02-24 00:08        --------        d-----w-        c:\program files\Ask.com

2011-02-24 00:08 . 2011-02-24 00:08        --------        d-----w-        C:\Firefox

2011-02-24 00:07 . 2011-02-24 00:08        --------        d-----w-        c:\program files\Wise Registry Cleaner

2011-02-23 21:40 . 2011-02-25 14:30        --------        d-----w-        C:\Temp

2011-02-23 19:53 . 2010-12-20 21:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-02-23 19:53 . 2011-02-25 09:52        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-02-23 19:53 . 2011-02-23 19:53        --------        d-----w-        c:\programdata\Malwarebytes

2011-02-23 19:53 . 2010-12-20 21:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-02-23 19:53 . 2011-02-23 19:53        --------        d-----w-        c:\program files\Conduit

2011-02-23 19:53 . 2011-02-23 19:53        --------        d-----w-        c:\program files\softonic-de3

2011-02-23 19:48 . 2011-02-23 19:48        --------        d-----w-        c:\programdata\PC Tools

2011-02-23 16:38 . 2011-02-23 16:38        --------        d-----w-        c:\users\Silke

2011-02-18 17:28 . 2011-02-18 17:28        --------        d-----w-        c:\programdata\GbPlugin

2011-02-13 22:57 . 2011-02-13 22:57        --------        d-----w-        c:\program files\Common Files\Skype

2011-02-13 20:50 . 2011-02-13 20:50        --------        d-----w-        c:\program files\NDrive

2011-02-12 16:02 . 2011-02-12 16:02        --------        d-----w-        c:\programdata\TomTom

2011-02-12 16:01 . 2011-02-12 16:01        --------        d-----w-        c:\users\Peggy\AppData\Roaming\TomTom

2011-02-12 16:01 . 2011-02-12 16:01        --------        d-----w-        c:\users\Peggy\AppData\Local\TomTom

2011-02-12 16:01 . 2011-02-12 16:01        --------        d-----w-        c:\program files\TomTom International B.V

2011-02-12 16:00 . 2011-02-12 16:00        --------        d-----w-        c:\program files\TomTom HOME 2

2011-02-12 15:59 . 2011-02-12 15:59        --------        d-----w-        c:\program files\TomTom DesktopSuite

2011-02-09 09:44 . 2010-12-31 13:57        2039808        ----a-w-        c:\windows\system32\win32k.sys

2011-02-09 09:44 . 2010-10-15 14:08        3602320        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2011-02-09 09:44 . 2010-10-15 14:08        3550096        ----a-w-        c:\windows\system32\ntoskrnl.exe

2011-02-09 09:44 . 2010-10-15 13:48        1205080        ----a-w-        c:\windows\system32\ntdll.dll

2011-02-09 09:44 . 2011-01-06 10:51        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat

2011-02-07 02:08 . 2010-12-03 19:43        555752        ----a-w-        c:\program files\Mozilla Firefox\uninstall\helper.exe

2011-02-06 03:02 . 2011-02-06 03:02        1222408        ----a-w-        c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll

2011-01-30 16:57 . 2011-01-30 16:57        103864        ----a-w-        c:\program files\Mozilla Firefox\plugins\nppdf32.dll

2011-01-30 16:57 . 2011-01-30 16:57        103864        ----a-w-        c:\program files\Internet Explorer\Plugins\nppdf32.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-28 15:55 . 2011-01-11 23:55        413696        ----a-w-        c:\windows\system32\odbc32.dll

2010-12-14 14:49 . 2011-01-11 23:55        1169408        ----a-w-        c:\windows\system32\sdclt.exe

2010-11-29 19:38 . 2010-11-29 19:38        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2010-11-29 19:38 . 2010-11-29 19:38        69632        ----a-w-        c:\windows\system32\QuickTime.qts

2010-10-14 00:28 . 2010-08-26 11:30        24376        ----a-w-        c:\program files\mozilla firefox\components\Scriptff.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-11-14 00:58        3913000        ----a-w-        c:\program files\ConduitEngine\ConduitEngine.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]

2010-11-14 00:58        3913000        ----a-w-        c:\program files\softonic-de3\tbsoft.dll
 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2010-09-29 01:44        1400712        ----a-w-        c:\program files\Ask.com\GenericAskToolbar.dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-29 1400712]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-29 1400712]
 

[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-08-25 200704]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-12-22 3810304]

"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]

"Dell DataSafe Online"="c:\program files\Dell DataSafe Online\DataSafeOnline.exe" [2009-11-13 1807600]

"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2008-07-04 132392]

"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]

"LifeChat"="c:\program files\Microsoft LifeChat\LifeChat.exe" [2008-08-21 267296]

"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-09-30 1193848]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]

"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
 

c:\users\Peggy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192]
 

c:\users\Silke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-7-31 1616976]
 

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist]

2009-06-15 10:53        10536        ----a-w-        c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-10-14 84264]

R3 PCD5SRVC{3F6A8B78-EC003E00-05040104};PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms [2008-11-04 22904]

R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648]

R3 VSTHWBS2;VSTHWBS2;c:\windows\system32\DRIVERS\VSTBS23.SYS [2008-01-21 251904]

R4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 136176]

R4 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 271480]

S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2010-10-14 64304]

S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2010-10-14 164840]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe [2009-03-30 81920]

S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648]

S2 McMPFSvc;McAfee Personal Firewall-Dienst;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]

S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2010-10-14 188136]

S2 mfevtp;McAfee Validation Trust Protection Service;c:\program files\Common Files\McAfee\SystemCore\mfevtps.exe [2010-10-14 141792]

S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-11-13 92008]

S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-10-14 55840]

S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2008-08-25 54784]

S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-08-25 203264]

S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-10-14 313288]

S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2009-01-19 133472]

S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2009-01-19 279488]
 
 

--- Andere Dienste/Treiber im Speicher ---
 

*Deregistered* - mfeavfk01
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

.

Inhalt des "geplante Tasks" Ordners
 

2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 13:44]
 

2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 13:44]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://google.de/

DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab

FF - ProfilePath - 

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-02-25 12:04

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{3F6A8B78-EC003E00-05040104}]

"ImagePath"="\??\c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d1,36,28,10,85,b1,fc,42,ae,fb,dc,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d1,36,28,10,85,b1,fc,42,ae,fb,dc,\
 

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="IE.AssocFile.HTM"
 

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="IE.AssocFile.HTM"
 

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="IE.AssocFile.MHT"
 

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="IE.AssocFile.MHT"
 

[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.url\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="IE.AssocFile.URL"

.

Zeit der Fertigstellung: 2011-02-25  12:06:33

ComboFix-quarantined-files.txt  2011-02-25 15:06

ComboFix2.txt  2011-02-25 14:30
 

Vor Suchlauf: 16 Verzeichnis(se), 172.781.068.288 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 172.748.132.352 Bytes frei
 

- - End Of File - - 7BF64E6E7A41ADF73CB51AA7F3BE1E7E

--- --- ---

Grüße
Silke

Zitat:

FW: McAfee Firewall *Disabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}

Personal Firewalls sind Oberquatsch mit Soße, bitte deinstallieren. Die Windows-Firewall ist in den allermeisten Fällen viel sinnvoller und sicherer.

DANKE für die Hilfe.
Habe die Firewall deinstalliert.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes