Trojaner-Board - Google-Links auf S**-Seiten weitergeleitet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google-Links auf S**-Seiten weitergeleitet (https://www.trojaner-board.de/96805-google-links-s-seiten-weitergeleitet.html)

Google-Links auf S**-Seiten weitergeleitet

Hallo Leute!
Seit ich heute meinen Rechner hochgefahren habe und das erste Mal bei google gesucht habe, kam mir etwas spanisch vor. Die Google-Links in den Suchergebnissen führten nicht zu ihrem eigentlichen Ziel, sondern auf irgendwelche dubiosen S**-Seiten oder ähnliches.

Habe natürlich sofort nachgegoogelt und bei euch im Forum gesehen, dass ich da nicht der einzige mit dem Problem bin.
Da ihr ja überall schreibt, man soll einen eigenen Thread aufmachen und nichts auf eigene Faust versuchen, habe ich lediglich die von euch erbetenen Scans gemacht.

Ich hoffe mir kann jemand helfen! Danke schon einmal im Voraus!
Spook

____________________________________________________________

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Ok!
Ältere Logs sind nicht vorhanden, scanne jetzt grade, Log folgt dann gleich!
Danke schon einmal!

Hallo!
Habe jetzt Malwarebytes drüber laufen lassen, danach wollte er einn Neustart, den habe ich gemacht und jetzt komme ich nicht mehr ins Internet, die Fehlermeldung im Browser lautet:

Die Verbindung zum Proxyserver konnte nicht hergestellt werden, der Zugriff wurde verweigert.

Bin froh, dass mein Bruder nen funktionierenden PC hat. Versuche grade mal, den Log noch rüberzuziehen.

Oder gibt es eine einfache Möglichkeit, bei mir wieder ins Internet reinzukommen? Die Verbindung besteht.

Ok, das Problem hat sich von selbst erledigt, musste nur bei Opera die Proxys deaktivieren...

Hier jetzt der Log von Malwarebytes:

___________________________________________________________

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6158

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

24.03.2011 21:24:12
mbam-log-2011-03-24 (21-24-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 462860
Laufzeit: 1 Stunde(n), 59 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\user\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 3396 -> Unloaded process successfully.
c:\Users\user\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> 3676 -> Unloaded process successfully.
c:\Users\user\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 3808 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\user\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\user\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\user\AppData\Local\Temp\0.25035128347818336.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49293

IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Program Files\Winload\tbWinl.dll (Conduit Ltd.)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2007.06.12 03:27:33 | 000,000,140 | R--- | M] () - E:\autorun.inf -- [ UDF ]

O33 - MountPoints2\##10.0.0.20#BURNINTEST\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE  .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Setup\rsrc\AUTORUN.EXE -- [2007.03.23 00:57:09 | 000,051,336 | R--- | M] ()

O33 - MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\Shell\dinstall\command - "" = E:\DirectX\DXSETUP.exe -- [2007.06.01 04:23:56 | 000,503,144 | R--- | M] (Microsoft Corporation)

O33 - MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\eXPloRe\cOmmAnD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\Shell\Open\CoMManD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\eXPloRe\cOmmAnD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\Shell\Open\CoMManD - "" = \RECYCLER\{36546-46377-36434c543}\msconfig.exe

O33 - MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a

O33 - MountPoints2\{a573514a-b7ec-11de-bd2b-00238b89132e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PARTY.vbs

O33 - MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\Shell - "" = AutoRun

O33 - MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a

[2011.03.24 15:07:48 | 000,011,165 | ---- | M] () -- C:\Users\user\AppData\Roaming\9494.8A8

[2011.03.23 23:59:50 | 000,173,568 | ---- | M] () -- C:\Users\user\AppData\Roaming\dwm.exe

[2011.03.23 23:59:50 | 000,173,568 | ---- | C] () -- C:\Users\user\AppData\Roaming\dwm.exe

[2011.03.23 23:59:32 | 000,011,165 | ---- | C] () -- C:\Users\user\AppData\Roaming\9494.8A8

@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:55F44B88

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Habe ich gemacht, allerdings hats nicht ganz so geklappt, wie du das gesagt hattest, also ich hab das eingefügt, auf Fix geklickt.
Dann hat OTL anscheinend alles beendet, auch explorer, weil dann ausser meinem Hintergrundbild nur noch OTL da war. Dann lief das und irgendwann kam dann Windows-Meldung, dass OTL nicht mehr funktioniert und beendet wurde.
Ich habe dann über Taskmanager den explorer neu gestartet.
Als ich OTL wieder öffnen wollte, habe ich diesen Log bekommen:

______________________________________________________________

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
File move failed. C:\Users\user\AppData\Local\Temp\ehmsas.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

(es gab keinen Neustart)

war das jetzt so richtig?

Mach den Fix bitte nochmal.

Sooo, diesmal hat das ganze besser geklappt! :)

Hier der Log:

___________________________________________________________________
All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{40c3cc16-7269-4b32-9531-17f2950fb06f} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ not found.
File C:\Program Files\Winload\tbWinl.dll not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##10.0.0.20#BURNINTEST\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c914158-71ce-11de-8877-806e6f6e6963}\ not found.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{60decbad-7bdd-11de-8c96-00238b89132e}\ not found.
File H:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a6b1b93-ee42-11de-86a7-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c54-7846-11de-80f5-00238b89132e}\ not found.
File \RECYCLER\{36546-46377-36434c543}\msconfig.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9bae0c59-7846-11de-80f5-00238b89132e}\ not found.
File I:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514a-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514a-b7ec-11de-bd2b-00238b89132e}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe PARTY.vbs not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a573514f-b7ec-11de-bd2b-00238b89132e}\ not found.
File H:\LaunchU3.exe -a not found.
File C:\Users\user\AppData\Roaming\9494.8A8 not found.
File C:\Users\user\AppData\Roaming\dwm.exe not found.
File C:\Users\user\AppData\Roaming\dwm.exe not found.
File C:\Users\user\AppData\Roaming\9494.8A8 not found.
Unable to delete ADS C:\ProgramData\Temp:55F44B88 .
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: spook
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: user
->Temp folder emptied: 182845 bytes
->Temporary Internet Files folder emptied: 33293 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 265910130 bytes
->Flash cache emptied: 159597 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 167084425 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 413,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 03242011_225129

Files\Folders moved on Reboot...
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File move failed. E:\Setup\rsrc\AUTORUN.EXE scheduled to be moved on reboot.
File move failed. E:\DirectX\DXSETUP.exe scheduled to be moved on reboot.
C:\Users\user\AppData\Local\Temp\ehmsas.txt moved successfully.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, das ganze scheint jetzt funktioniert zu haben, allerdings habe ich zwischendurch echt Angstzustände gehabt, weil ich nach dem Neustart nichts machen konnte, ich hatte nur die Logdatei und den Desktop, Opera öffnen ging nicht, da kam eine Meldung, dass an irgendeinem Registrierungsschlüssel was verändert wurde und das deswegen nicht ging... Nachdem sich mein explorer dann aber aufgehangen hatte und neu gestartet wurde (also nur der explorer), ging plötzlich wieder alles... Allerdings ist Opera jetzt sehr langsam und zeigt immer mal wieder "Keine Rückmeldung" an, was sich aber nach ein paar Sekunden wieder erledigt hat.

So, hier dann noch der Log:

____________________________________________________________________Combofix Logfile:

Code:

ComboFix 11-03-24.01 - user 24.03.2011  23:30:57.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3068.1898 [GMT 1:00]

ausgeführt von:: c:\users\user\Desktop\coFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\at.exe

c:\program files\facemoods.com

c:\program files\facemoods.com\facemoods\1.4.17.6\bh\facemoods.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoods.crx

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoods.png

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsApp.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsEng.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodssrv.exe

c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsTlbr.dll

c:\program files\facemoods.com\facemoods\1.4.17.6\uninstall.exe

c:\windows\pi.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_usnjsvc

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-02-24 bis 2011-03-24  ))))))))))))))))))))))))))))))

.

.

2011-03-24 22:37 . 2011-03-24 22:37        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-03-24 22:21 . 2011-03-24 22:21        --------        d-----w-        c:\program files\CCleaner

2011-03-24 21:26 . 2011-03-24 21:26        --------        d-----w-        C:\_OTL

2011-03-24 18:42 . 2011-03-24 18:42        --------        d-----w-        c:\program files\WildTangent Games

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\users\user\AppData\Roaming\Malwarebytes

2011-03-24 18:22 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\programdata\Malwarebytes

2011-03-24 18:22 . 2011-03-24 18:22        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware

2011-03-24 18:22 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-03-24 16:21 . 2011-03-24 16:21        --------        d-----w-        c:\program files\7-Zip

2011-03-24 14:32 . 2011-03-24 14:32        --------        d-----w-        c:\program files\ERUNT

2011-03-23 11:25 . 2011-02-22 13:33        1068544        ----a-w-        c:\windows\system32\DWrite.dll

2011-03-23 11:25 . 2011-02-22 13:33        797696        ----a-w-        c:\windows\system32\FntCache.dll

2011-03-23 11:25 . 2011-02-22 14:13        288768        ----a-w-        c:\windows\system32\XpsGdiConverter.dll

2011-03-22 22:40 . 2011-03-22 22:40        --------        d-----w-        c:\users\user\AppData\Roaming\TrueCrypt

2011-03-22 22:38 . 2011-03-22 22:42        --------        d-----w-        c:\program files\TrueCrypt

2011-03-22 22:38 . 2011-03-22 22:38        231248        ----a-w-        c:\windows\system32\drivers\truecrypt.sys

2011-03-22 10:54 . 2011-02-11 06:54        5943120        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{6467047A-6ED7-4820-8F33-552B0144EA26}\mpengine.dll

2011-03-15 12:12 . 2011-03-15 12:12        --------        d-----w-        C:\BigFishGamesCache

2011-03-15 00:24 . 2011-03-15 00:24        --------        d-----w-        c:\program files\softendo.com

2011-03-15 00:16 . 2011-03-15 00:16        --------        d-----w-        c:\program files\Die Gilde 2 - Gold Edition

2011-03-13 11:16 . 2011-03-14 13:42        365461        ----a-w-        c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe

2011-03-11 11:25 . 2011-03-19 17:12        --------        d-----w-        c:\programdata\TrackMania

2011-03-11 11:22 . 2011-03-11 11:23        --------        d-----w-        c:\program files\TmNationsForever

2011-03-09 10:59 . 2011-03-24 20:47        --------        d-----w-        c:\users\user\AppData\Local\PokerStars

2011-03-09 10:59 . 2011-03-09 14:33        --------        d-----w-        c:\program files\PokerStars

2011-03-09 10:13 . 2010-12-29 18:28        322560        ----a-w-        c:\windows\system32\sbe.dll

2011-03-09 10:13 . 2010-12-29 18:28        429056        ----a-w-        c:\windows\system32\EncDec.dll

2011-03-09 10:13 . 2010-12-29 18:28        153088        ----a-w-        c:\windows\system32\sbeio.dll

2011-03-09 10:13 . 2010-12-29 18:26        177664        ----a-w-        c:\windows\system32\mpg2splt.ax

2011-03-09 10:13 . 2010-12-17 15:45        2067968        ----a-w-        c:\windows\system32\mstscax.dll

2011-03-09 10:13 . 2010-12-17 13:54        677888        ----a-w-        c:\windows\system32\mstsc.exe

2011-03-08 12:23 . 2011-03-08 12:23        --------        d-----w-        c:\program files\iPod

2011-03-08 12:18 . 2011-03-08 12:18        --------        d-----w-        c:\program files\Bonjour

2011-03-07 12:40 . 2011-03-07 12:40        --------        d-----w-        c:\users\spook

2011-03-07 12:39 . 2011-03-07 12:39        --------        d-----w-        c:\program files\PostgreSQL

2011-03-07 12:38 . 2011-03-07 12:38        367        ----a-w-        c:\users\user\AppData\Local\postgresinstall.bat

2011-03-07 12:37 . 2011-03-07 12:37        --------        d-----w-        c:\users\user\AppData\Local\PokerStrategy.com

2011-03-07 12:36 . 2011-03-07 12:36        --------        d-----w-        c:\program files\PokerStrategy.com

2011-03-07 12:35 . 2011-03-07 12:35        --------        d-----w-        c:\users\user\AppData\Local\Downloaded Installations

2011-03-01 15:42 . 2011-03-01 15:42        --------        d-----w-        c:\users\Public\CyberLink

2011-02-25 01:00 . 2009-10-09 21:56        2048        ----a-w-        c:\windows\system32\winrsmgr.dll

2011-02-25 01:00 . 2009-10-09 21:56        12800        ----a-w-        c:\windows\system32\wsmprovhost.exe

2011-02-25 01:00 . 2009-10-09 21:56        20480        ----a-w-        c:\windows\system32\winrshost.exe

2011-02-25 01:00 . 2009-10-09 21:56        40448        ----a-w-        c:\windows\system32\winrs.exe

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-18 10:46 . 2009-09-23 19:21        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-02-18 15:36 . 2011-02-18 15:36        41984        ----a-w-        c:\windows\system32\drivers\usbaapl.sys

2011-02-18 15:36 . 2011-02-18 15:36        4184352        ----a-w-        c:\windows\system32\usbaaplrc.dll

2011-02-02 16:11 . 2009-10-03 19:07        222080        ------w-        c:\windows\system32\MpSigStub.exe

2011-01-20 16:37 . 2011-02-09 12:30        638336        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys

2011-01-20 16:08 . 2011-02-09 12:30        478720        ----a-w-        c:\windows\system32\dxgi.dll

2011-01-20 16:08 . 2011-02-09 12:30        219648        ----a-w-        c:\windows\system32\d3d10_1core.dll

2011-01-20 16:08 . 2011-02-09 12:30        160768        ----a-w-        c:\windows\system32\d3d10_1.dll

2011-01-20 16:08 . 2011-02-09 12:30        1029120        ----a-w-        c:\windows\system32\d3d10.dll

2011-01-20 16:08 . 2011-02-09 12:30        189952        ----a-w-        c:\windows\system32\d3d10core.dll

2011-01-20 16:07 . 2011-02-09 12:29        37376        ----a-w-        c:\windows\system32\cdd.dll

2011-01-20 16:07 . 2011-02-09 12:29        258048        ----a-w-        c:\windows\system32\winspool.drv

2011-01-20 16:07 . 2011-02-09 12:30        586240        ----a-w-        c:\windows\system32\stobject.dll

2011-01-20 16:06 . 2011-02-09 12:30        2873344        ----a-w-        c:\windows\system32\mf.dll

2011-01-20 16:06 . 2011-02-09 12:29        26112        ----a-w-        c:\windows\system32\printfilterpipelineprxy.dll

2011-01-20 16:04 . 2011-02-09 12:30        209920        ----a-w-        c:\windows\system32\mfplat.dll

2011-01-20 16:04 . 2011-02-09 12:29        98816        ----a-w-        c:\windows\system32\mfps.dll

2011-01-20 14:28 . 2011-02-09 12:30        1554432        ----a-w-        c:\windows\system32\xpsservices.dll

2011-01-20 14:27 . 2011-02-09 12:30        876032        ----a-w-        c:\windows\system32\XpsPrint.dll

2011-01-20 14:26 . 2011-02-09 12:30        667648        ----a-w-        c:\windows\system32\printfilterpipelinesvc.exe

2011-01-20 14:25 . 2011-02-09 12:30        847360        ----a-w-        c:\windows\system32\OpcServices.dll

2011-01-20 14:24 . 2011-02-09 12:30        135680        ----a-w-        c:\windows\system32\XpsRasterService.dll

2011-01-20 14:15 . 2011-02-09 12:30        979456        ----a-w-        c:\windows\system32\MFH264Dec.dll

2011-01-20 14:14 . 2011-02-09 12:30        357376        ----a-w-        c:\windows\system32\MFHEAACdec.dll

2011-01-20 14:14 . 2011-02-09 12:30        302592        ----a-w-        c:\windows\system32\mfmp4src.dll

2011-01-20 14:14 . 2011-02-09 12:30        261632        ----a-w-        c:\windows\system32\mfreadwrite.dll

2011-01-20 14:12 . 2011-02-09 12:30        1172480        ----a-w-        c:\windows\system32\d3d10warp.dll

2011-01-20 14:11 . 2011-02-09 12:30        486400        ----a-w-        c:\windows\system32\d3d10level9.dll

2011-01-20 13:47 . 2011-02-09 12:30        683008        ----a-w-        c:\windows\system32\d2d1.dll

2011-01-08 08:47 . 2011-02-09 12:29        34304        ----a-w-        c:\windows\system32\atmlib.dll

2011-01-08 06:28 . 2011-02-09 12:29        292352        ----a-w-        c:\windows\system32\atmfd.dll

2010-12-31 13:57 . 2011-02-09 12:30        2039808        ----a-w-        c:\windows\system32\win32k.sys

2010-12-28 15:55 . 2011-01-13 18:02        413696        ----a-w-        c:\windows\system32\odbc32.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]

"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]

"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]

"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]

"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]

"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]

"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]

"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]

"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-02-09 206120]

"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-03-01 421160]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

.

c:\users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Anleitung.exe [2011-3-14 365461]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R3 GamesAppService;GamesAppService;c:\program files\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 gupdate1ca20332da5b92b;Google Update Service (gupdate1ca20332da5b92b);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 133104]

R4 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2009-02-09 296320]

R4 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2009-02-09 116096]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-08-09 721904]

S2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/07/16 07:38];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\aestsrv.exe [2008-06-27 77824]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-07 135336]

S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]

S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]

S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [2008-02-01 65536]

S2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]

S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]

S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]

S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-10-23 107360]

S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

ezSharedSvc

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-06-09 08:14        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Inhalt des "geplante Tasks" Ordners

.

2011-03-24 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-18 18:37]

.

2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 18:38]

.

2011-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-18 18:38]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.icq.com/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb

IE: Free YouTube to MP3 Converter - c:\users\user\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)

BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - c:\program files\facemoods.com\facemoods\1.4.17.6\bh\facemoods.dll

Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)

Toolbar-{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodsTlbr.dll

WebBrowser-{40C3CC16-7269-4B32-9531-17F2950FB06F} - (no file)

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe

HKCU-Run-Vidalia - c:\program files\Vidalia Bundle\Vidalia\vidalia.exe

HKLM-Run-SmartMenu - %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe

HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe

HKLM-Run-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.6\facemoodssrv.exe

AddRemove-facemoods - c:\program files\facemoods.com\facemoods\1.4.17.6\uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-03-24 23:40

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]

"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-3086983586-1529418070-1050850571-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\STacSV.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\CyberLink\Shared files\RichVideo.exe

c:\windows\system32\WUDFHost.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\program files\PostgreSQL\8.3\bin\postgres.exe

c:\windows\system32\conime.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

c:\program files\Epson Software\Event Manager\EEventManager.exe

c:\program files\IDT\WDM\sttray.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Anleitung.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe

c:\program files\Hewlett-Packard\Shared\hpqToaster.exe

c:\windows\system32\WerFault.exe

c:\program files\Windows Media Player\wmplayer.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-03-24  23:46:28 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-03-24 22:46

.

Vor Suchlauf: 16 Verzeichnis(se), 34.258.456.576 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 33.777.295.360 Bytes frei

.

- - End Of File - - 4675CFFD4C69BEBC9DB5C38F47AD74CA

--- --- ---

Jetzt habe ich den Laptop noch einmal neu gestartet, jetzt scheint wieder alles flüssig zu laufen, habe mal viele sachen gleichzeitig geöffnet und ausgeführt, aber er hat jetzt keinerlei Probleme mehr...

Ist der Rechner denn jetzt clean? Kannst du das an dem Log oben sehen? Oder soll ich noch Scans machen?

Und auf jedenfall schon einmal vielen Dank für deine Zeit, denn ohne dich und dieses Forum wäre ich echt aufgeschmissen gewesen... DANKE! :)

Muss ich jetzt noch irgendwas machen? Oder wars das schon? ;)

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

So, habe das Tool jetzt drüberlaufen lassen, was soll ich denn mit dem einen Fund machen, den er hat? Soll ich den entfernen lassen?