[Windows Vista-32 bit] MS Removal Tool Fake noch da oder nicht mehr?

Liebe Gemeinde!

Hab mir den MS Removal Tool Fake eingefangen, um ihn zu stoppen hab ich lediglich Avast Antivirus neu installiert, seitdem öffnet sich der Virus mit seinen Pop-Up Fenstern nicht mehr, weiß aber nicht, ob er nicht noch im Hintergrund läuft und wieder bzw. was anderes herunterlädt.
Jetzt läuft alles wieder normal und genau so schnell wie immmer, denke aber nicht das es sich damit erledigt hat.
PS: Konnte mit Malwarebytes´ Anti-Malware einen Trojaner entdecken und hab ihn sofort gelöscht. Auch mit SuperAntiSpyware wurde gesucht, allerdings nichts gefunden genau wie Avast Cleaner Tool.

Bitte um Hilfe, bin langsam am Verzweifeln...
LG

[markusg]

1. dies ist natürlich nicht bedingung, aber es whre günstig wenn du dich registrierst, dann muss ich nicht immer alles freischalten.
2. öffne malwarebytes, pose die logfiles. zu finden unter malwarebytes, logdateien.

[leo123]

So hab mich registriert.
Hier die log Datei:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Database version: 6286

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

09.04.2011 12:42:30
mbam-log-2011-04-09 (12-42-30).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 378617
Time elapsed: 1 hour(s), 8 minute(s), 56 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\programdata\hoe31001jokfb31001\hoe31001jokfb31001.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

LG leo

[markusg]

bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

[leo123]

Hier die log:

ComboFix 11-04-12.02 - Dominik 13.04.2011 16:53:36.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.43.1031.18.3066.1843 [GMT 2:00]
ausgeführt von:: c:\users\Dominik_2\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\program files\Acer\Acer Bio Protection\PwdFilter.dll
c:\program files\Free Registry Cleaner For Vista
c:\program files\Free Registry Cleaner For Vista\backuphkcu.REG
c:\program files\Free Registry Cleaner For Vista\RegCleanerForVista.exe
c:\program files\Free Registry Cleaner For Vista\unins000.dat
c:\program files\Free Registry Cleaner For Vista\unins000.exe
c:\programdata\Adobe Systems
c:\programdata\Adobe Systems\Product licenses\B302D000.dat
c:\programdata\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner For Vista
c:\programdata\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner For Vista\Free Registry Cleaner for Vista.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner For Vista\Uninstall Free Registry Cleaner for Vista.lnk
c:\users\Dominik\AppData\Roaming\.#
c:\users\Dominik_2\AppData\Roaming\.#
c:\windows\system32\temp.006
c:\windows\system32\temp.007
c:\windows\system32\temp.008
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-13 bis 2011-04-13 ))))))))))))))))))))))))))))))
.
.
2011-04-13 15:00 . 2011-04-13 15:00 -------- d-----w- c:\users\Dominik\AppData\Local\temp
2011-04-13 15:00 . 2011-04-13 15:00 -------- d-----w- c:\users\Dominik2\AppData\Local\temp
2011-04-13 15:00 . 2011-04-13 15:00 -------- d-----w- c:\users\Dominik_2\AppData\Local\temp
2011-04-13 15:00 . 2011-04-13 15:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-04-11 14:54 . 2011-04-11 14:54 -------- d-----w- c:\program files\CCleaner
2011-04-11 08:47 . 2011-04-11 08:47 -------- d-----w- c:\users\Dominik_2\AppData\Roaming\SUPERAntiSpyware.com
2011-04-11 07:11 . 2011-04-11 07:11 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2011-04-11 07:10 . 2011-04-11 07:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2011-04-11 07:10 . 2011-04-11 07:10 -------- d-----w- c:\users\Dominik\AppData\Roaming\SUPERAntiSpyware.com
2011-04-11 07:10 . 2011-04-11 07:10 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2011-04-09 12:26 . 2011-04-09 13:05 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-04-09 12:26 . 2011-04-09 13:05 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-04-09 11:43 . 2011-04-09 11:43 -------- d-----w- c:\programdata\PC Tools
2011-04-09 10:04 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{590BEA3B-E099-4A15-B1A3-4FE261879ACA}\mpengine.dll
2011-04-09 09:27 . 2011-04-09 09:27 -------- d-----w- c:\users\Dominik_2\AppData\Roaming\Malwarebytes
2011-04-06 13:32 . 2011-04-06 13:32 -------- d-----w- c:\users\Dominik\AppData\Roaming\Malwarebytes
2011-04-06 13:31 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-06 13:31 . 2011-04-06 13:31 -------- d-----w- c:\programdata\Malwarebytes
2011-04-06 13:31 . 2011-04-06 13:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-06 13:31 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-06 13:21 . 2011-04-06 13:30 -------- d-----w- c:\users\Dominik_2\AppData\Roaming\Spyware Terminator
2011-04-03 12:10 . 2010-02-11 17:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-04-03 12:10 . 2010-02-11 17:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-04-03 12:10 . 2010-02-11 17:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-04-03 12:10 . 2010-02-11 17:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-04-03 12:10 . 2010-02-11 17:38 51792 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-04-03 12:09 . 2010-02-11 17:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2011-04-03 12:09 . 2010-02-11 17:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2011-04-03 09:34 . 2011-04-09 10:42 -------- d-----w- c:\programdata\hOe31001jOkFb31001
2011-03-28 19:03 . 2011-03-28 19:03 -------- d-----w- c:\program files\Youtube Downloader HD
2011-03-26 16:34 . 2011-03-26 16:34 -------- d-----w- c:\users\Dominik\AppData\Local\Microsoft Corporation
2011-03-26 16:33 . 2011-03-26 16:33 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2011-03-18 20:25 . 2009-03-24 11:52 136008 ----a-w- c:\windows\system32\MSINET.OCX
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 17:11 . 2009-10-04 08:39 222080 ------w- c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellicono verlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-05-14 15:05 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 182808]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 526896]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-05-30 544768]
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-25 28672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-18 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-18 92704]
"PLFSetI"="c:\windows\PLFSetI.exe" [2007-10-23 200704]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-06-04 817672]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-08-01 405504]
"ZPdtWzdVitaKey MC3000"="c:\program files\Acer\Acer Bio Protection\PdtWzd.exe" [2008-10-27 3676160]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-07-24 147456]
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2008-07-24 167936]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-07-18 167936]
"WarReg_PopUp"="c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 303104]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"DisableCAD"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecu teHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 12:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2008-10-27 08:54 3197952 ----a-w- c:\program files\Acer\Acer Bio Protection\WinNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\spba]
2008-03-25 14:24 567560 ----a-w- c:\program files\Common Files\SPBA\homefus2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-04-03 136176]
R2 IGBASVC;iGroupTec Service;c:\program files\Acer\Acer Bio Protection\BASVC.exe [2008-10-27 3602432]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072]
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2009-10-11 13224]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-17 12872]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2008-01-21 16896]
R4 Sbpagpnpsv;Sbpagpnpsv;c:\windows\system32\drivers\filetrace.sys [2008-01-21 27648]
S0 AlfaFF;AlfaFF File System mini-filter;c:\windows\system32\Drivers\AlfaFF.sys [2008-10-27 42608]
S1 aswSP;aswSP; [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-02-17 66632]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl [2008-07-18 61424]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]
S2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-01-16 81504]
S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-06-02 24576]
S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056]
S2 NTIPPKernel;NTIPPKernel;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys [2008-01-16 122368]
S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2008-01-10 233472]
S3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-05-05 3658752]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-06-25 44064]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-03 07:34]
.
2011-04-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-03 07:34]
.
2010-12-17 c:\windows\Tasks\User_Feed_Synchronization-{C0D442E7-A0B5-4BF4-9448-C6A273686E7B}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0c07&s=2&o=vp32&d=1008&m=aspire_6930g
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\ahvq1sbz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.type - 4
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-eRecoveryService - (no file)
AddRemove-Free Registry Cleaner for Vista_is1 - c:\program files\Free Registry Cleaner for Vista\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-13 17:00
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(4788)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\windows\System32\SysHook.dll
.
Zeit der Fertigstellung: 2011-04-13 17:02:27
ComboFix-quarantined-files.txt 2011-04-13 15:02
.
Vor Suchlauf: 14 Verzeichnis(se), 63.202.816.000 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 63.187.955.712 Bytes frei
.
- - End Of File - - 7F3359FD4C38912C879A14161C9B1451

LG

[markusg]

start programme zubehör editor, reinkopieren:

killall::
c:\programdata\hOe31001jOkFb31001


datei speichern unter, typ alle dateien, speicherort, wo sich combofix.exe befindet
name:
cfscript.txt

ziehe cfscript auf combofix, programm startet log posten

[leo123]

So hab ich gemacht, jedoch hat sich ComboFix nicht wieder geschlossen, nachdem ich über eine Stunde gewartet habe, habe ich das Fenster geschlossen, aber die log war trotzdem da:

ComboFix 11-04-13.04 - Dominik 14.04.2011 15:39:56.5.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.43.1031.18.3066.1751 [GMT 2:00]
ausgeführt von:: C:\Users\Dominik_2\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Users\Dominik_2\Desktop\cfscript.txt
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


((((((((((((((((((((((( Dateien erstellt von 2011-03-14 bis 2011-04-14 ))))))))))))))))))))))))))))))


2011-04-14 13:46:31 . 2011-04-14 13:49:09 -------- d-----w- C:\Users\Dominik\AppData\Local\temp
2011-04-14 13:46:31 . 2011-04-14 13:48:23 -------- d-----w- C:\Users\Dominik_2\AppData\Local\temp
2011-04-14 13:46:31 . 2011-04-14 13:46:31 -------- d-----w- C:\Users\Dominik2\AppData\Local\temp
2011-04-14 13:46:31 . 2011-04-14 13:46:31 -------- d-----w- C:\Users\Default\AppData\Local\temp
2011-04-11 14:54:03 . 2011-04-11 14:54:12 -------- d-----w- C:\Program Files\CCleaner
2011-04-11 08:47:11 . 2011-04-11 08:47:11 -------- d-----w- C:\Users\Dominik_2\AppData\Roaming\SUPERAntiSpyware.com
2011-04-11 07:11:07 . 2011-04-11 07:11:07 -------- d-----w- C:\ProgramData\SUPERAntiSpyware.com
2011-04-11 07:10:39 . 2011-04-11 07:10:40 -------- d-----w- C:\Program Files\SUPERAntiSpyware
2011-04-11 07:10:39 . 2011-04-11 07:10:39 -------- d-----w- C:\Users\Dominik\AppData\Roaming\SUPERAntiSpyware.com
2011-04-11 07:10:04 . 2011-04-11 07:10:04 -------- d-----w- C:\Program Files\Common Files\Wise Installation Wizard
2011-04-09 12:26:07 . 2011-04-09 13:05:10 -------- d-----w- C:\ProgramData\Spybot - Search & Destroy
2011-04-09 12:26:07 . 2011-04-09 13:05:10 -------- d-----w- C:\Program Files\Spybot - Search & Destroy
2011-04-09 11:43:34 . 2011-04-09 11:43:34 -------- d-----w- C:\ProgramData\PC Tools
2011-04-09 10:04:44 . 2011-03-15 04:05:43 6792528 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{590BEA3B-E099-4A15-B1A3-4FE261879ACA}\mpengine.dll
2011-04-09 09:27:53 . 2011-04-09 09:27:53 -------- d-----w- C:\Users\Dominik_2\AppData\Roaming\Malwarebytes
2011-04-06 13:32:05 . 2011-04-06 13:32:05 -------- d-----w- C:\Users\Dominik\AppData\Roaming\Malwarebytes
2011-04-06 13:31:57 . 2010-12-20 16:09:00 38224 ----a-w- C:\Windows\system32\drivers\mbamswissarmy.sys
2011-04-06 13:31:56 . 2011-04-06 13:31:56 -------- d-----w- C:\ProgramData\Malwarebytes
2011-04-06 13:31:52 . 2011-04-06 13:31:58 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
2011-04-06 13:31:52 . 2010-12-20 16:08:40 20952 ----a-w- C:\Windows\system32\drivers\mbam.sys
2011-04-06 13:21:28 . 2011-04-06 13:30:30 -------- d-----w- C:\Users\Dominik_2\AppData\Roaming\Spyware Terminator
2011-04-03 12:10:47 . 2010-02-11 17:38:23 19024 ----a-w- C:\Windows\system32\drivers\aswFsBlk.sys
2011-04-03 12:10:46 . 2010-02-11 17:42:13 162512 ----a-w- C:\Windows\system32\drivers\aswSP.sys
2011-04-03 12:10:43 . 2010-02-11 17:39:01 23376 ----a-w- C:\Windows\system32\drivers\aswRdr.sys
2011-04-03 12:10:40 . 2010-02-11 17:42:34 46672 ----a-w- C:\Windows\system32\drivers\aswTdi.sys
2011-04-03 12:10:37 . 2010-02-11 17:38:45 51792 ----a-w- C:\Windows\system32\drivers\aswMonFlt.sys
2011-04-03 12:09:33 . 2010-02-11 17:53:57 38848 ----a-w- C:\Windows\system32\avastSS.scr
2011-04-03 12:09:33 . 2010-02-11 17:53:36 153184 ----a-w- C:\Windows\system32\aswBoot.exe
2011-04-03 09:34:00 . 2011-04-09 10:42:30 -------- d-----w- C:\ProgramData\hOe31001jOkFb31001
2011-03-28 19:03:29 . 2011-03-28 19:03:31 -------- d-----w- C:\Program Files\Youtube Downloader HD
2011-03-26 16:34:07 . 2011-03-26 16:34:07 -------- d-----w- C:\Users\Dominik\AppData\Local\Microsoft Corporation
2011-03-26 16:33:22 . 2011-03-26 16:33:24 -------- d-----w- C:\Program Files\Microsoft Windows 7 Upgrade Advisor
2011-03-18 20:25:03 . 2009-03-24 11:52:32 136008 ----a-w- C:\Windows\system32\MSINET.OCX


(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2011-02-02 17:11:20 . 2009-10-04 08:39:12 222080 ------w- C:\Windows\system32\MpSigStub.exe


(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellicono verlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-05-14 15:05:06 121392 ----a-w- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 02:25:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-07-20 09:45:06 182808]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 08:19:26 6139904]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 02:08:40 1049896]
"eDataSecurity Loader"="C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-05-14 15:05:22 526896]
"eAudio"="C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-05-30 10:24:30 544768]
"BkupTray"="C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-25 19:36:20 28672]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-07-18 16:23:00 13543968]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-07-18 16:23:00 92704]
"PLFSetI"="C:\Windows\PLFSetI.exe" [2007-10-23 09:56:18 200704]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2008-06-04 12:03:36 817672]
"ePower_DMC"="C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-08-01 08:51:42 405504]
"ZPdtWzdVitaKey MC3000"="C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe" [2008-10-27 08:53:57 3676160]
"ArcadeDeluxeAgent"="C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2008-07-24 14:54:10 147456]
"CLMLServer"="C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe" [2008-07-24 14:54:18 167936]
"PlayMovie"="C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [2008-07-18 15:04:36 167936]
"WarReg_PopUp"="C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe" [2008-01-29 08:03:46 303104]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 10:44:34 31072]
"SunJavaUpdateSched"="C:\Program Files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 09:44:46 248552]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 08:44:43 35760]
"Adobe ARM"="C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 21:07:44 932288]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2010-11-29 16:38:18 421888]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2010-12-13 16:16:18 421160]
"avast5"="C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 17:53:42 2756488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"DisableCAD"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecu teHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program Files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 07:13:36 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 12:21:42 548352 ----a-w- C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2008-10-27 08:54:16 3197952 ----a-w- C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\spba]
2008-03-25 14:24:16 567560 ----a-w- C:\Program Files\Common Files\SPBA\homefus2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 12:16:28 130384]
R2 gupdate;Google Update Service (gupdate);C:\Program Files\Google\Update\GoogleUpdate.exe [2011-04-03 07:34:36 136176]
R3 FsUsbExDisk;FsUsbExDisk;C:\Windows\system32\FsUsbExDisk.SYS [2009-03-31 08:39:36 36608]
R3 ggflt;SEMC USB Flash Driver Filter;C:\Windows\system32\DRIVERS\ggflt.sys [2009-10-11 14:18:55 13224]
R3 SASENUM;SASENUM;C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [2010-02-17 08:15:58 12872]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 12:16:28 753504]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;C:\Windows\system32\DRIVERS\WSDPrint.sys [2008-01-21 02:23:21 16896]
R4 Sbpagpnpsv;Sbpagpnpsv;C:\Windows\system32\drivers\filetrace.sys [2008-01-21 02:24:21 27648]
S0 AlfaFF;AlfaFF File System mini-filter;C:\Windows\system32\Drivers\AlfaFF.sys [2008-10-27 08:54:01 42608]
S1 aswSP;aswSP; [x]
S1 SASDIFSV;SASDIFSV;C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 08:25:50 12872]
S1 SASKUTIL;SASKUTIL;C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS [2010-02-17 08:15:58 66632]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl [2008-07-18 15:05:10 61424]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;C:\Windows\system32\drivers\aswMonFlt.sys [2010-02-11 17:38:45 51792]
S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 11:11:14 16384]
S2 CLHNService;CLHNService;C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-01-16 17:35:02 81504]
S2 ETService;Empowering Technology Service;C:\Program Files\Acer\Empowering Technology\Service\ETService.exe [2008-06-02 08:25:40 24576]
S2 IGBASVC;iGroupTec Service;C:\Program Files\Acer\Acer Bio Protection\BASVC.exe [2008-10-27 08:54:05 3602432]
S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 19:36:20 45056]
S2 NTIPPKernel;NTIPPKernel;C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys [2008-01-16 17:35:08 122368]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 19:36:02 131072]
S2 RS_Service;Raw Socket Service;C:\Program Files\Acer\Acer VCM\RS_Service.exe [2008-01-10 16:03:00 233472]
S3 NETw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-05-05 01:05:00 3658752]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;C:\Windows\system32\drivers\nvhda32v.sys [2008-06-25 05:05:06 44064]
S3 winbondcir;Winbond IR Transceiver;C:\Windows\system32\DRIVERS\winbondcir.sys [2007-03-28 05:51:40 43008]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

Inhalt des "geplante Tasks" Ordners

2011-04-14 C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2011-04-03 07:35:07 . 2011-04-03 07:34:36]

2011-04-14 C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2011-04-03 07:35:07 . 2011-04-03 07:34:36]

2010-12-17 C:\Windows\Tasks\User_Feed_Synchronization-{C0D442E7-A0B5-4BF4-9448-C6A273686E7B}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-21 02:24:52 . 2008-01-21 02:24:52]


------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://search.bearshare.com/
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0c07&s=2&o=vp32&d=1008&m=aspire_6930g
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - C:\Users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\ahvq1sbz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.type - 4

LG

[markusg]

wie läuft der pc jetzt

[leo123]

Er läuft eigentkich seitdem ich avast neu installiert habe genau so schnell wie immer. Ich war mir eben nur nicht sicher ob noch Dateien auf dem PC waren.

[markusg]

lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

[leo123]

Im Anhang die Liste

LG

[markusg]

deinstaliere:

Adobe Reader 9.4.3
Adobe - Adobe Reader herunterladen - Alle Versionen
lade die neueste version.
bitte ohne mcafee virus scan!
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
unter allgemein, nur zertifizierte zusatzmodule verwenden anhaken.
unter update, auf instalieren stellen.
klicke übernehmen /ok
deinstaliere.
Ask Toolbar
Bonjour wird von apple ungefragt mit instaliert und von 99 % aller user nicht benötigt, kann weg.
deinstaliere.
Clarity recorder
Google Toolbar
Java
beide
Download der kostenlosen Java-Software
bereinige mit dem ccleaner.

[leo123]

So hab die Programme deinstalliert und Adobe Reader entsprechend umgestellt

[leo123]

Soll oder kann ich noch irgendetwas machen???

[markusg]

öffne otl klicke auf bereinigen pc startet neu, programme, otl, combofix sind gelöscht. avast scan bitte