Vireninfektion EXP/2011-3544.BN.2 - Bitte um Hilfe bei der Beseitigung...

raschu · 19. März 2012

Hallo,

ich habe seit ca. 1 Woche immer wieder Virenfunde, die nach der Bereinigung erneut auftreten. Angefangen hat es mit der BKA-Meldung...

Nach dem heutigen Virenscann bitte ich nun um professionelle Hilfe, hier der Report:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 19. März 2012 11:23

Es wird nach 3571873 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Ralf
Computername : RALF-VAIO

Versionsinformationen:
BUILD.DAT : 12.0.0.898 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 18.02.2012 16:43:33
AVSCAN.DLL : 12.1.0.18 65744 Bytes 18.02.2012 16:43:33
LUKE.DLL : 12.1.0.19 68304 Bytes 18.02.2012 16:43:34
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 18.02.2012 16:43:34
AVREG.DLL : 12.1.0.29 228048 Bytes 18.02.2012 16:43:34
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:48:38
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:46:51
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 13:46:51
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 13:46:53
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 13:46:53
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 13:46:54
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 13:46:56
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 13:46:56
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 13:46:56
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 13:46:56
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 13:46:56
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 13:47:50
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 13:48:15
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:28:08
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 08:28:08
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 16:43:25
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 16:43:26
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 16:43:26
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 18:00:14
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 18:00:16
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 18:00:54
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 21:04:57
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 21:05:09
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 17:34:13
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 21:05:21
VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 21:05:21
VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 21:05:21
VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 21:05:22
VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 21:05:22
VBASE031.VDF : 7.11.25.146 107520 Bytes 18.03.2012 21:05:17
Engineversion : 8.2.10.24
AEVDF.DLL : 8.1.2.2 106868 Bytes 30.10.2011 12:02:57
AESCRIPT.DLL : 8.1.4.10 455035 Bytes 15.03.2012 21:05:25
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 22:34:53
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 17:34:18
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.5 803190 Bytes 07.03.2012 21:05:17
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 20:09:45
AEHEUR.DLL : 8.1.4.7 4501878 Bytes 16.03.2012 21:07:00
AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 21:03:32
AEGEN.DLL : 8.1.5.23 409973 Bytes 07.03.2012 21:05:13
AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 21:05:25
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 21:05:22
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 13:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 18.02.2012 16:43:33
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 13:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 14:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 14:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, H:, I:, D:, F:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 19. März 2012 11:23

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Im Laufwerk 'D:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSMMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MarketingTools.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '613' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-143509851-1639251154-1902078153-1004\$R66C7V7.tmp
[0] Archivtyp: ZIP
--> nit.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
C:\$Recycle.Bin\S-1-5-21-143509851-1639251154-1902078153-1004\$RWZJ733.tmp
[0] Archivtyp: ZIP
--> nit.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Beginne mit der Suche in 'I:\' <Ralf Daten>
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-21-143509851-1639251154-1902078153-1004\$RWZJ733.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-143509851-1639251154-1902078153-1004\$R66C7V7.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!

Ende des Suchlaufs: Montag, 19. März 2012 12:19
Benötigte Zeit: 55:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

25973 Verzeichnisse wurden überprüft
537365 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
537363 Dateien ohne Befall
3500 Archive wurden durchsucht
0 Warnungen
2 Hinweise
---------------------------
Vielen Dank.

Ralf

viper · 19. März 2012

wichtige daten sichern und formatieren und windows neuaufsetzen bei solchen heftigen problemen.

ansonsten wende dich an:

Trojaner-Board - Viren und Trojaner entfernen - kostenlos

Spacerat · 19. März 2012

Sieht mir aus, als waeren die probleme in einem Papierkorb. Versuch doch mal, die besitzrechte am papierkorb zu uebernehmen und leere dann alles draus.
In der regel sollte das nach diesem Bericht helfen. Antivir fehlt einfach das recht, den virus zu killen.

Wenn das nichts hilft, wuerde ich dir ein hardcore-tool verlinken, was dem schaedling eigentlich den garaus machen sollte, allerdings in 1% aller faelle das system lahmlegen KANN(!).

Edit: ich sehe gerade, dass der suchdurchlauf ohne administratorenrechte gestartet wurde. Hast du einen solchen durchlauf auch schon einmal gestartet?

raschu · 19. März 2012

Hallo Spacerat,

vielen Dank für den Hinweis suchdurchlauf mit adminrechten durchzuführen.
außerdem hatte ich die entsprechenden datein in der tat in den papierkorb verschoben und nun gelöscht. außerdem habe ich den scan mit admirechten durchgeführt.

1) Quarantänebericht
avira hat zwar noch malware gefunden, war aber etwas ganz anderes.
ich hänge den quarantänebericht noch einmal mit rein, mit der bitte mir zu sagen, ob ich das ganze so lassen kann oder ob ich noch weitere maßnahmen durchfürhen sollte.

2) Startroutine mit trojanerverlinkung
beim start des rechners findet das system zwei programme nicht mehr, die wohl zum trojaner gehörten. kanns du mir bitte mitteilen, wie ich diese startroutine terminieren kann?

Vielen Dank.

raschu

raschu · 19. März 2012

hi Spacerat,

vielen dank für die antwort und den link:

Trojaner-Board - Viren und Trojaner entfernen - kostenlos[/QUOTE]

wenn mir hier nicht geholfen werden kann wende ich mich dorthin.

gruss
raschu

Spacerat · 20. März 2012

Sieht mir ziemlich danach aus, als wären auch die Starteinträge ziemlich kompromittiert. Ich würde dir dann doch ComboFix ans Herz legen.

Downloadseite

Mach einmal alle Tools aus, die auf dem PC laufen, inklusive, dass du den AntiVir-Guard deaktivierst. Nach Möglichkeit trenne dafür dann auch die Internetverbindung.
Lass das Tool doch einmal durchlaufen, mach dabei bitte NICHTS am PC, vermeide wenn möglich sogar das Bewegen der Maus (hört sich ziemlich krass an, wird aber dennoch ausdrücklich empfohlen).

Wenn das Programm durch ist, kopier bitte mal den Inhalt aus der Datei C:\Combofix.log hier rein.

raschu · 5. April 2012

Hallo Spacerat,

ich habe das Tool durchlaufen lassen, hier der log:

ComboFix 12-04-05.02 - Verwalter 05.04.2012 8:50.1.2 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4063.2641 [GMT 2:00]
ausgeführt von:: c:\users\Ralf\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-05 bis 2012-04-05 ))))))))))))))))))))))))))))))
.
.
2012-04-05 06:59 . 2012-04-05 06:59 -------- d-----w- c:\users\Verwalter\AppData\Local\temp
2012-04-05 06:59 . 2012-04-05 06:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-05 06:59 . 2012-04-05 06:59 -------- d-----w- c:\users\surfen\AppData\Local\temp
2012-04-05 06:59 . 2012-04-05 06:59 -------- d-----w- c:\users\Jutta\AppData\Local\temp
2012-03-24 12:58 . 2012-03-24 12:58 -------- d-----w- c:\users\Ralf\AppData\Roaming\elsterformular
2012-03-24 12:57 . 2012-03-24 12:57 -------- d-----w- c:\programdata\elsterformular
2012-03-24 12:57 . 2012-03-24 12:57 -------- d-----w- c:\program files (x86)\ElsterFormular
2012-03-23 12:28 . 2012-03-23 12:28 -------- d-----w- c:\users\Ralf\AppData\Roaming\HTC
2012-03-23 12:27 . 2012-03-24 12:46 -------- d-----w- c:\users\Verwalter\AppData\Local\Downloaded Installations
2012-03-23 12:26 . 2012-03-23 12:26 -------- d-----w- c:\program files (x86)\Common Files\Adobe AIR
2012-03-23 12:15 . 2012-03-23 12:15 -------- d-----w- c:\users\Ralf\AppData\Roaming\Teleca
2012-03-23 12:13 . 2012-03-23 12:13 -------- d-----w- c:\users\Verwalter\AppData\Roaming\Teleca
2012-03-23 12:13 . 2012-03-23 12:13 -------- d-----w- c:\users\Verwalter\AppData\Local\HTC
2012-03-23 12:12 . 2012-03-24 12:46 -------- d-----w- c:\program files (x86)\HTC
2012-03-23 12:11 . 2012-03-23 12:11 -------- d-----w- c:\windows\Downloaded Installations
2012-03-22 23:32 . 2012-04-04 09:32 -------- d-----w- C:\Poker
2012-03-21 13:45 . 2012-03-21 13:45 -------- d-sh--we c:\windows\SysWow64\config\systemprofile\Lokale Einstellungen
2012-03-21 13:45 . 2012-03-21 13:45 -------- d-sh--we c:\windows\SysWow64\config\systemprofile\Anwendungsdaten
2012-03-21 13:45 . 2012-03-21 13:45 -------- d-----w- c:\users\Ralf\AppData\Local\Programs
2012-03-21 13:45 . 2012-03-21 13:45 -------- d-----w- c:\users\Ralf\AppData\Local\ArcSoft
2012-03-21 13:44 . 2012-03-21 13:45 -------- d-----w- c:\users\Ralf\AppData\Roaming\ArcSoft
2012-03-21 13:44 . 2012-03-21 13:44 -------- d-----w- c:\users\Ralf\AppData\Local\Google
2012-03-20 20:31 . 2012-03-20 20:31 750488 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-03-20 20:31 . 2012-03-20 20:31 660368 ----a-w- c:\windows\system32\deployJava1.dll
2012-03-20 15:59 . 2012-03-22 23:37 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-03-19 19:46 . 2012-03-13 04:38 97208 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2012-03-19 19:46 . 2012-03-13 04:36 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-19 19:46 . 2012-03-13 04:36 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-19 19:46 . 2012-03-13 04:35 626688 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcr80.dll
2012-03-19 19:46 . 2012-03-13 04:35 548864 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcp80.dll
2012-03-19 19:46 . 2012-03-13 04:35 479232 ----a-w- c:\program files (x86)\Mozilla Firefox\msvcm80.dll
2012-03-14 13:34 . 2011-11-19 15:20 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-14 13:34 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-03-14 13:34 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-03-14 06:45 . 2012-02-03 04:34 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 06:45 . 2012-02-10 06:36 1544192 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 06:45 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
2012-03-14 06:44 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 06:44 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 06:44 . 2012-01-25 06:33 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 06:44 . 2012-02-17 06:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 06:44 . 2012-02-17 05:34 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
2012-03-14 06:44 . 2012-02-17 04:58 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 06:44 . 2012-02-17 04:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-18 16:43 . 2011-10-30 12:02 132320 ----a-w- c:\windows\system32\drivers\avipbb.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dradio-RecorderTimer"="c:\program files (x86)\dradio-Recorder\phonostarTimer.exe" [2011-06-20 40960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-10 98304]
"NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472]
"MarketingTools"="c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe" [2008-12-31 26624]
"FreePDF Assistant"="c:\program files (x86)\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2009-12-09 606208]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"PDFPrint"="c:\program files (x86)\PDF24\pdf24.exe" [2011-11-03 220744]
.
c:\users\Jutta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\Verwalter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\users\Ralf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584]
McAfee Security Scan Plus.lnk - c:\program files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-07-01 10:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x]
R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264]
R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]
R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [2010-04-09 1223024]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2012-01-13 103440]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [x]
S2 RtkAudioService;Realtek Audio Service;c:\program files\Realtek\Audio\HDA\RtkAudioService64.exe [2009-07-24 189984]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [x]
S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]
S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-143509851-1639251154-1902078153-1004Core.job
- c:\users\Ralf\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-21 13:44]
.
2012-04-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-143509851-1639251154-1902078153-1004UA.job
- c:\users\Ralf\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-21 13:44]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-24 7938080]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-24 1833504]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-17 171520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.jzip.com/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Verwalter\AppData\Roaming\Mozilla\Firefox\Profiles\wftlr4ry.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://search.jzip.com/
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=102&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
Toolbar-10 - (no file)
HKLM-Run-Apoint - c:\program files (x86)\Apoint\Apoint.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11g_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11g_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11g.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11g.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11g.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11g.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-04-05 09:14:40
ComboFix-quarantined-files.txt 2012-04-05 07:14
.
Vor Suchlauf: 15 Verzeichnis(se), 274.787.954.688 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 274.761.400.320 Bytes frei
.
- - End Of File - - BF90B194A2BE42954E384631FB78373A

Danke für die Geduld und Unterstützung.

Vireninfektion EXP/2011-3544.BN.2 - Bitte um Hilfe bei der Beseitigung...

Anhänge:

fehlermeldung start.pdf

quarantänebericht.pdf

Vireninfektion EXP/2011-3544.BN.2 - Bitte um Hilfe bei der Beseitigung...

SysProfile Windows Foren

Hardware Foren