[Windows Vista-32 bit] keine Updates von Win-Defender, Anti-Vir und Win allgemein mehr möglich

[webdanza]

Hallo Forum,

ich hoffe, dass ich hier in der richtigen Rubrik poste, aber wahrscheinlich ist mein Laptop doch von Viren u.ä. befallen.

Ich bin auf dieses Forum aufmerksam geworden, als ich von den Plagegeistern csrss.exe, conhost.exe und dwm.exe heimgesucht worden bin.
Mit einem Komplettscan von Antivir und einem Scan von MAM dachte ich das Problem gelöst zu haben. Allerdings konnte ich danach nicht mehr ins Internet und musste bei Firefox die Verbindung auf "kein Proxy" umstellen. Danach ging's wieder.

Jetzt habe ich das Problem, dass keine Updates mehr möglich sind. Bei Win-Update kommt Fehler "Code 80072EFD", bei Anti-Vir der Fehler "537". Und das seit mehreren Tagen.

Über ZA bekomme zig-mal diese Meldungen:



FLACHMANN ist mein Laptop.

Weiß jemand Rat, wo man am besten ansetzen kann? Urlaubsbedingt (war 7 Tage nicht am Laptop) ist mein letztes Update bei Antivir am 21.05. passiert.

Über Google findet man zu meinem Problem alles mögliche, von ausgelasteten Servern bis hin zu Würmer aus der Ukraine.

Ich komm einfach nicht weiter...

[Tracheo]

Hallo!

Du könntest mit Hijack This ein Logfie und Poste es hier! Bebilderte Anleitung im Link!
LG Tracheo
*http://sicher-ins-netz.info/analyse/hjt.html

[Der Leo]

Hallo,

überspringe den Vorschlag von Tracheo und gehe wie folgt vor.

Schritt 1
Deinstalliere folgende Programme

• Zone Alarm
  

Aktiviere anschließend die Windows Firewall, diese bittet dir bereits guten Schutz.
Danach starte den PC neu und führe Combofix aus.

Schritt 2
Combofix
Download: Combofix.exe

• Speicher die Combofix.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
• Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
• Doppelklick auf die Combofix.exe und befolge die Anweisungen
• Es ist möglich, dass der PC während der Bereinigung neustartet.
• Nach dem Neustart erscheint eine Textdatei. Diesen Inhalt komplett in deinem Beitrag kopieren.
• Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

Schritt 3

Bitte alle Logs von Avira und Malwarebytes in einem RAR oder ZIP Archiv hier hochladen und den Downloadlink in deinem Beitrag reinkopieren.
File-Upload.net - Ihr kostenloser File Hoster!

[webdanza]

Hallo,

hier der gewünschte Combofix-Log:

Zitat:

ComboFix 11-06-05.01 - icke 05.06.2011 14:14:06.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3036.1842 [GMT 2:00]
ausgeführt von:: c:\users\icke\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\icke\AppData\Roaming\Microsoft\Windows\Recent\Comfy Cakes.ComfyCakesSave-ms.pif
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-05 bis 2011-06-05 ))))))))))))))))))))))))))))))
.
.
2011-06-05 12:19 . 2011-06-05 12:19 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-06-05 12:12 . 2011-06-05 12:12 -------- d-----w- C:\32788R22FWJFW
2011-06-05 12:09 . 2011-06-05 12:09 -------- d-----w- c:\windows\Internet Logs
2011-06-05 11:41 . 2011-05-09 20:46 6962000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4EA413EC-A101-421E-A2E9-B03840A3D4CC}\mpengine.dll
2011-06-03 08:27 . 2011-06-03 08:27 388096 ----a-r- c:\users\icke\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-06-03 08:12 . 2011-06-03 08:12 -------- d-----w- c:\program files\Trend Micro
2011-05-24 11:26 . 2011-05-24 11:27 -------- d-----w- c:\programdata\WinZip
2011-05-21 22:11 . 2011-05-21 22:12 -------- d-----w- c:\program files\CCleaner
2011-05-21 21:59 . 2011-05-21 22:00 -------- d-----w- c:\program files\Common Files\Adobe
2011-05-21 20:15 . 2011-05-21 20:15 -------- d-----w- c:\users\icke\AppData\Roaming\Malwarebytes
2011-05-21 20:15 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-21 20:15 . 2011-05-21 20:15 -------- d-----w- c:\programdata\Malwarebytes
2011-05-21 20:15 . 2011-05-21 20:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-05-21 20:15 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-17 20:51 . 2011-06-03 07:46 -------- d-----w- c:\programdata\SecTaskMan
2011-05-17 20:51 . 2011-05-21 22:07 -------- d-----w- c:\program files\Security Task Manager
2011-05-16 22:43 . 2011-02-18 15:28 46592 ----a-w- c:\windows\system32\vsutil_loc0407.dll
2011-05-16 22:14 . 2008-03-03 13:04 71144 ----a-w- c:\windows\system32\vsregexp(75).dll
2011-05-16 22:14 . 2008-03-03 13:04 83432 ----a-w- c:\windows\system32\zlcomm(79).dll
2011-05-16 22:14 . 2008-03-03 13:04 71144 ----a-w- c:\windows\system32\zlcommdb(80).dll
2011-05-16 22:14 . 2008-03-03 13:04 46568 ----a-w- c:\windows\system32\vswmi(77).dll
2011-05-16 22:14 . 2008-03-03 13:04 99816 ----a-w- c:\windows\system32\vsxml(78).dll
2011-05-16 22:14 . 2011-05-17 21:49 -------- d-----w- c:\program files\Zone Labs(58)
2011-05-16 22:14 . 2008-03-03 13:04 275944 ----a-w- c:\windows\system32\vspubapi(74).dll
2011-05-16 22:14 . 2008-03-03 13:04 103912 ----a-w- c:\windows\system32\vsmonapi(73).dll
2011-05-16 22:14 . 2008-03-03 13:06 279440 ----a-w- c:\windows\system32\drivers\~GLH0015.TMP
2011-05-16 22:14 . 2008-03-03 13:04 95720 ----a-w- c:\windows\system32\vsdata(71).dll
2011-05-16 22:14 . 2011-05-17 21:49 -------- d-----w- c:\windows\system32\ZoneLabs(81)
2011-05-16 22:14 . 2008-03-03 13:06 279440 ----a-w- c:\windows\system32\drivers\vsdatant(67).sys
2011-05-16 22:13 . 2008-03-03 13:04 493032 ----a-w- c:\windows\system32\vsutil(76).dll
2011-05-16 22:13 . 2008-03-03 13:04 165352 ----a-w- c:\windows\system32\vsinit(72).dll
2011-05-11 19:51 . 2011-04-07 12:01 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 17:14 . 2009-10-08 20:58 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-04-06 19:48 . 2011-04-06 19:48 161792 ----a-w- c:\windows\system32\msls31.dll
2011-04-06 19:48 . 2011-04-06 19:48 1126912 ----a-w- c:\windows\system32\wininet.dll
2011-04-06 19:48 . 2011-04-06 19:48 86528 ----a-w- c:\windows\system32\iesysprep.dll
2011-04-06 19:48 . 2011-04-06 19:48 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-04-06 19:48 . 2011-04-06 19:48 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-04-06 19:48 . 2011-04-06 19:48 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-04-06 19:48 . 2011-04-06 19:48 74752 ----a-w- c:\windows\system32\iesetup.dll
2011-04-06 19:48 . 2011-04-06 19:48 63488 ----a-w- c:\windows\system32\tdc.ocx
2011-04-06 19:48 . 2011-04-06 19:48 367104 ----a-w- c:\windows\system32\html.iec
2011-04-06 19:48 . 2011-04-06 19:48 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-04-06 19:48 . 2011-04-06 19:48 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-04-06 19:48 . 2011-04-06 19:48 23552 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-06 19:48 . 2011-04-06 19:48 152064 ----a-w- c:\windows\system32\wextract.exe
2011-04-06 19:48 . 2011-04-06 19:48 150528 ----a-w- c:\windows\system32\iexpress.exe
2011-04-06 19:48 . 2011-04-06 19:48 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2011-04-06 19:48 . 2011-04-06 19:48 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-04-06 19:48 . 2011-04-06 19:48 11776 ----a-w- c:\windows\system32\mshta.exe
2011-04-06 19:48 . 2011-04-06 19:48 35840 ----a-w- c:\windows\system32\imgutil.dll
2011-04-06 19:48 . 2011-04-06 19:48 1797632 ----a-w- c:\windows\system32\jscript9.dll
2011-04-06 19:48 . 2011-04-06 19:48 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-04-06 19:48 . 2011-04-06 19:48 101888 ----a-w- c:\windows\system32\admparse.dll
2011-03-27 06:59 . 2010-11-07 22:41 398416 ----a-w- c:\windows\system\VBRUN300.DLL
2011-03-12 21:55 . 2011-04-26 20:50 876032 ----a-w- c:\windows\system32\XpsPrint.dll
2011-03-10 17:03 . 2011-04-13 19:55 1162240 ----a-w- c:\windows\system32\mfc42u.dll
2011-03-10 17:03 . 2011-04-13 19:55 1136640 ----a-w- c:\windows\system32\mfc42.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-20 6144000]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-29 75136]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-08-12 704512]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 170520]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
c:\users\icke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-15 2979144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [2008-02-22 159744]
R3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2009-12-28 10240]
R3 massfilter_hs;USB Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter_hs.sys [2009-02-03 9728]
R3 NETw5v32;Intel(R) Wireless WiFi Link Adapter Driver for Windows Vista 32 Bit ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 GtDetectSc;GtDetectSc;c:\program files\Option\Option WWAN Driver 5.0.32.0 Installer\GtDetectSc.exe [2009-05-04 545792]
S2 TGCM_ImportWiFiSvc;TGCM_ImportWiFiSvc;c:\program files\o2\Mobile Connection Manager\ImpWiFiSvc.exe [2010-09-29 200624]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [2010-04-09 63616]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = http=127.0.0.1:53253
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube to Mp3 Converter - c:\users\icke\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Save YouTube Video as MP3 - c:\program files\Common Files\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
FF - ProfilePath - c:\users\icke\AppData\Roaming\Mozilla\Firefox\Profiles\4h828acq.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-06-05 14:19
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2 c005b81-adf7-4532-98b3-b094462a8824}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:160016ea
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{6 5086748-579a-481e-9a3b-e42f697ec08a}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{8 287adc4-6045-479d-b51f-0ab785c2e5d2}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0a002185
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9 c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{a 0effe32-16de-470f-b305-8bc08791ab29}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:140015af
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{b a32a50a-3d27-4fae-8591-5916311409be}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c 2f12487-739f-4908-89f9-3c5b980be0a8}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:10002185
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d 50c4733-2097-475f-b7d0-5456e0fd5527}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:19020054
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{d 90c30a0-494f-4458-9291-16e6af17523e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:140015af
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{e bdfc6dd-66c4-4005-9434-e892f9530314}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:1a001d92
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f 50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f 70a361f-6437-4fcc-91a4-cd88d468d91b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0e001422
"Dhcpv6State"=dword:00000000
.
Zeit der Fertigstellung: 2011-06-05 14:20:30
ComboFix-quarantined-files.txt 2011-06-05 12:20
.
Vor Suchlauf: 6.946.881.536 Bytes frei
Nach Suchlauf: 6.776.823.808 Bytes frei
.
- - End Of File - - DA898E052F226C7C3FB2086A7D7DBE3E

Und hier der Link mit den LOGs von Avira und MAM. Ich habe jeweils den letzten und den aktuellen hinzugepackt.

File-Upload.net - ppcf.zip

Lustigerweise funktionieren die Updates nun wieder.

Ist das Problem nun gelöst oder hat es oberflächlich nur den Anschein?

ZA habe natürlich vorab deinstalliert, habe allerdings noch eine Frage dazu: Bei ZA wurde immer angefragt, ob ein Programm Internetzugriff haben darf oder nicht. Entscheidet das die Win-Firewall nun von selbst? Und wenn ja, auf welcher Grundlage?

Danke und Grüße
Torben

[Der Leo]

Hallo,

Zitat:

Ist das Problem nun gelöst oder hat es oberflächlich nur den Anschein?

Die Probleme sind offensichtlich verschwunden, dass heißt aber nicht das der PC sauber ist. Ich würde dir raten das wir nocheinmal genauer schauen.

Schritt 1

Malwarebytes Anti-Malware
Download (Free Version): Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

• Installiere das Programm in den vorgegebenen Pfad.
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

[webdanza]

Hallo Leo,

der MAM-Scan verlief ohne Fund.

File-Upload.net - mbam-log-2011-06-05--21-59-18-.txt

Bin ich jetzt wohl über'n Berg?

Grüße
Torben

[Der Leo]

Hallo,

ja das sieht soweit alles super aus. Ganz fertig sind wir noch nicht.

Schritt 1

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Bitte beide Logs Posten!

Schritt 2
Kaspersky TDSSKiller
Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
• Warte bis zum Ende der Untersuchung und der Desinfektion.
• Poste das Ergebnis.

Schirtt 3

MBRCheck
Downloade: MBRCheck

• Speicher die MBRCheck.exe auf dem Desktop und führe sie aus.
• User von Windows 7 und Vista: Rechtsklick als Administrator ausführen.
• MBRCheck braucht nur wenige Sekunden.
• Klicke im schwarzen Fenster ENTER um das Fenster zu schließen.
• Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag.

[webdanza]

Hier die Ergebnisse zu

Schritt 1:

File-Upload.net - Extras.Txt
File-Upload.net - OTL.Txt


Schritt 2:

File-Upload.net - TDSSKiller.2.5.3.0_05.06.2011_22.49.33_log.txt


Schritt 3:

File-Upload.net - MBRCheck_06.05.11_22.55.59.txt


Jetzt bin ich mal gespannt.

Grüße und bis morgen
Torben

[Der Leo]

Hi,

lad bitte folgende Datei bei Virustotal hoch und lasse sie neu Analysieren (Renanalyse)
VirusTotal - Free Online Virus, Malware and URL Scanner
C:\Users\icke\Desktop\8xncdxzm.exe

Kopiere die URL des Scanergebnisses in deinem nächsten Beitrag.
Treten noch Probleme auf?

Danach werden wir deinen Pc aktualisieren und aufräumen.

[Der Leo]

Hallo,

keine Updates von Win-Defender, Anti-Vir und Win allgemein mehr möglich - Trojaner-Board
Was soll das Crossposting?
Entscheide dich wo du weiter machen willst.

[webdanza]

Hallo Leo,

sorry, dieses "Crossposting" ist ein 1 Tag älterer Beitrag im Trojaner-Board, wo ich aber die zu lesende Antwort bekam, bei der meiner Meinung nach nicht wirklich auf mein Problem eingegangen wurde. Ich schrieb selbst, dass ich kein HJT-Log poste, da dieses unerwünscht sei und werde dann aber trotzdem ausdrücklich darauf hingewiesen, dies nicht zu tun. Ohne weitere Hinweise. Fand ich etwas seltsam. Da fühle ich mich bei Euch doch deutlich besser aufgehoben.

Ich hoffe, das wird mir jetzt nicht krumm genommen. Keine Ahnung wie tief beide Foren miteinander vernetzt oder die Mods auf beiden Plattformen tätig sind.

Jedenfalls habe ich die Datei über VirusTotal scannen lassen. Was ich noch wusste: es handelt sich um GMER (Rootkit Detector + Remover).

VirusTotal - Free Online Virus, Malware and URL Scanner

Offentsichtliche Probleme habe ich derzeit keine. Läuft fast besser als vorher.

Grüße
Torben

[Der Leo]

Gut so wie ich sehe hast du schon im TB bescheid gegeben

Soweit ich das sehe ist dein System Sauber. OTL, TDSSKiller, MBRcheck zeigen keine Auffälligkeiten.

Wir beginnen nun die eingesetzen Tools zu deinstallieren.

Combofix deinstallieren

Start -> Ausführen -> Kopiere rein combofix /uninstall -> OK

OTL entfernen

• Öffne die OTL.exe
• Klicke oben auf Bereinigen
• Das Programm löscht sich von selbst
• Es kann sein das der PC sich neu startet

Wenn du dein System entmüllen und absichern willst können wir das hier im anschluss machen.
Dafür gehe wie folgt vor.

Systemsäuberung mit Ccleaner
Download: CCLEANER Systemsäuberung

Bitte an die Anleitung halten und abarbeiten. Außerdem möchte ich einen Einblick in deine Installieren Programme haben. Schreibe jeweils hinter jedes Programm notwendig (wenn es häufig verwendet wird), unbekannt (wenn es dir unbekannt ist), unnötig (wenn es nicht mehr benötigt wird)

• Öffne Ccleaner
• Reiter Extras auswählen
• Reiter Programme Deinstallieren auswählen
• Unten rechts auf Als Textdatei speichern...

Um deine Sicherheit zu erhöhen setzte alle 10 Reglen um.
Wenn du zu einem Punkt fragen hast, kannst du sie gerne stellen.
Paules 10 Empfehlungen zum sicheren Surfen im Internet!

EDIT: TDSSKiller und MBRCheck kannst du einfach löschen

[Der Leo]

Eine sache hab ich da noch - leider überlesen

Du schreibst hier

Zitat:

als ich von den Plagegeistern csrss.exe, conhost.exe und dwm.exe heimgesucht worden bin.

Wie hast du diese Bedrohung enfernt?
Hast du Formatiert oder Hilfe in einem anderen Forum bekommen?
Hast du sie mit Malwarebytes Entfernt? Die Logs im RAR Archiv sind unauffällig - ansonsten das entsprechende Log nachreichen.

Ich reiß dir nicht den Kopf ab keine Sorge. Es geht nur darum das ich weiß wie diese Malware entfernt wurde. Den die 3 Datein deuten auf Spyeye ihn.

[webdanza]

Hallo Leo,

leider schaffe ich es erst jetzt zu antworten.

Also, OTL, TDSSKiller und MBRCheck sind nun entfernt. Combofix wurde seltsamerweise von Antivir als Virus identifiziert und direkt entfernt. Kann das sein?

CCleaner habe ich auch nochmals gemäß Anleitung ausgeführt.

Hier die gewünschte Liste:

File-Upload.net - CCleaner-Liste.txt

Die MS-Programme habe ich mal unkommentiert gelassen. Stellenweise ist der Übergang von "notwendig" zu "bekannt, aber ungenutzt" fließend (die Möglichkeit hatte ich einfach mal ergänzt).

Zum Thema "csrss.exe, conhost.exe und dwm.exe":

Auf der Suche nach Hilfe bin ich auf dieses Forum gestoßen, wo ein ähnlicher Fall besprochen wurde. Mit Full-Scans von Antivir und MAM wurden o.g. Programme dann beseitigt.....so hatte es auf jeden Fall den Anschein. Win-Defender hatte auch noch einen Quälgeist gefunden, den Namen weiß ich aber nicht mehr.

Zitat:

Den die 3 Datein deuten auf Spyeye ihn.

Zum Glück habe ich es vermieden, in der infizierten Phase mich irgendwo einzuloggen oder gar Online-Banking zu betreiben. Ich hoffe mal, dass nichts unerwünscht übertragen wurde.

Mit den 10 Regeln setze ich mich morgen in Ruhe auseinander.

Grüße
Torben

P.S.: Können die alten, hochgeladenen Dateien nun wieder gelöscht werden oder werden die Links noch benötigt?

[Der Leo]

Hallo,

ja die alten Datein kannst du löschen.

Machst du von diesem Pc aus Online Banking oder andere Online Geschäfte?
Es war schonmal gut das du dich in der Infizierten Phase niergends eingeloogt hast. Dennoch solltest du wenn du weiterhin Online Banking betreiben willst den Pc Formatieren. Bei dieser Bedrohung können wir nie für 100% Entfernung garantieren. Ein Restrisiko bleibt immer bestehn.
Hilfe werden wir dir auch beim Formatieren geben