Fremdzugriff auf Laptop inklusive Webcam über Spy-Net-Chat.

#1 Hallo liebe Mitglieder von Protecus,

heute ereignete sich ein sehr komischer Vorfall, der mich sehr schockiert hat. Ich saß an meinem Laptop und war ein bisschen bei Facebook am stöbern. Aufeinmal öffnete sich ein Fenster mit der Überschrift Spy Net Chat. Es war ähnlich aufgebaut wie so ein MS-Dos-Fenster. Eine Person namens Client schrieb ,,Hi''. Ich ignorierte dies erstmal.Da aber keine Apparatur zum Schließen dieses Fensters vorhanden war, tat ich dies über den Task Manager.
Kurze Zeit später öffnete sich wieder ein Fenster und darin stand: ,,Klickst Du mich wieder weg, dann mache ich Deinen PC kaputt und wenn Du Deinen Pc herunterfährst, wird er nicht mehr hochfahren.''
Naja, ich dachte mir erstmal was soll das denn.Habe meinen Laptop einfach heruntergefahren und meinen Router resetet.
Nun gut, meinen Laptop wieder gestartet und direkt öffnete sich wieder dieses Fenster und das beunruhigte mich, wieder kamen solchen Drohungen, das mein PC zerstört werden würde usw. und ich endlich schreiben solle, aber was ich nicht lustig fand, dass er mir genau sagen konnte, was ich für Poster in meinem Zimmer hängen habe. Dann habe ich sofort etwas vor meine Webcam geklebt, weil diese integriert ist und ich diese somit nicht ohne Weiteres ausschalten kann.Darauf kam direkt, ohhh, hast Du Deine Webcam ausgeschaltet?
Naja, ich weiß nicht wie das möglich ist, ich will es auch nicht wissen.Aber ich wäre Euch sehr danbar, wenn Ihr mir Tips geben könntet, wie ich mich jetzt Verhalten soll und wwas ich weiterhin machen soll.
Ich habe jetzt schon den ganzen Vormitttag gegoogelt und in sämtliche Beiträge in Foren gelesen, aber ich weiß nicht wirklich, wie ich dagegen angehen kann.
Ich habe schon einige Programme wie Hitman Pro und Viruskeeper Pro zusätzlich zu meinem normalen Virenprogramm durchlaufen lassen, Hitman Pro fand echt noch 5 Trojaner, diese habe ich dann auch entfernt.
Aber danach hatte ich wieder Probleme, denn mein Monitor hat aufeinmal nur so aufgeflackert als ich Verbindung mit dem Internet hatte.
Da hatte Antivirus auch unerwünschten Zugriff fesgestellt.
Was könnte ich also nun tun?Und kann man auf irgendeine Art und Weise die IP-Adresse von diesem Stalker feststellen?

Ich wäre Euch für Eure Hilfe sehr dankbar.

#2 Bitte abarbeiten: http://board.protecus.de/t23188.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3

Zitat

Bitte abarbeiten: http://board.protecus.de/t23188.htm

Nun habe ich diese 6 Punkte abgearbeitet. Ich hoffe, dass Ihr etwas feststellen könnt.

Punkt 1:Siehe Einführungsbeitrag(leider keine Pfade mehr vorhanden)

Punkt 3:MalwareBytes Report

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3249
Windows 6.0.6002 Service Pack 2

28.11.2009 12:39:44
mbam-log-2009-11-28 (12-39-22).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 97637
Laufzeit: 4 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8u38wyf3-6752-ely8-b307-x1r3nja5p11j} (Generic.Bot.H) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\System32\install\win32.exe (Generic.Bot.H) -> No action taken.
C:\Users\Henne\AppData\Roaming\logs.dat (Bifrose.Trace) -> No action taken.
C:\Users\Henne\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.

Punkt 4:Gmer Report

GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-28 13:14:18
Windows 6.0.6002 Service Pack 2
Running: zn6h0214.exe; Driver: C:\Users\Henne\AppData\Local\Temp\kwrcipog.sys


---- System - GMER 1.0.15 ----

SSDT 97EADC94 ZwCreateThread
SSDT 97EADC80 ZwOpenProcess
SSDT 97EADC85 ZwOpenThread
SSDT 97EADC8F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 824C6964 4 Bytes [94, DC, EA, 97] {XCHG ESP, EAX; FSUB ST(2), ST; XCHG EDI, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 824C6B34 4 Bytes [80, DC, EA, 97] {SBB AH, 0xea; XCHG EDI, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 824C6B50 4 Bytes [85, DC, EA, 97]
.text ntkrnlpa.exe!KeSetEvent + 621 824C6D64 4 Bytes [8F, DC, EA, 97]
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8E010000, 0x2C81C4, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\Explorer.EXE[648] SHELL32.dll!SHGetFolderPathAndSubDirW + 81C9 766DB364 4 Bytes [20, 28, 00, 10] {AND [EAX], CH; ADD [EAX], DL}

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[648] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [10002A00] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/Egis Technology Inc.)
IAT C:\Windows\Explorer.EXE[648] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001E00] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/Egis Technology Inc.)
IAT C:\Windows\Explorer.EXE[648] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10002D50] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/Egis Technology Inc.)
IAT C:\Windows\Explorer.EXE[648] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [100011D0] C:\Program Files\EgisTec\MyWinLocker 3\x86\psdprotect.dll (PSD DragDrop Protection/Egis Technology Inc.)
IAT C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe[2496] @ C:\Windows\system32\SHELL32.dll [USER32.dll!ExitWindowsEx] [00981210] C:\Program Files\NewTech Infosystems\Acer Backup Manager\Pehook.dll (Backup Manager Module/NewTech Infosystems, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Punkt 5:Hijackthis Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:15:58, on 28.11.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Users\Henne\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
C:\Program Files\EgisTec Egis Software Update\EgisUpdate.exe
C:\Program Files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0709&m=aspire_5738
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0709&m=aspire_5738
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0709&m=aspire_5738
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files\kikin\ie_kikin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -k
O4 - HKLM\..\Run: [Acer ePower Management] C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe
O4 - HKLM\..\Run: [EgisTecLiveUpdate] "C:\Program Files\EgisTec Egis Software Update\EgisUpdate.exe"
O4 - HKLM\..\Run: [mwlDaemon] C:\Program Files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\win32.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2010 Pro Probeversion\VirusKeeper.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Program Files\kikin\ie_kikin.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CLHNService - Unknown owner - C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer PowerSmart Manager\ePowerSvc.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2010 Pro Probeversion\vk_service.exe

--
End of file - 9946 bytes


Punkt 6: Uninstall Liste

Acer Arcade Deluxe
Acer Arcade Deluxe
Acer Backup Manager
Acer Crystal Eye Webcam
Acer eRecovery Management
Acer GridVista
Acer PowerSmart Manager
Acer Product Registration
Acer ScreenSaver
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9 - Deutsch
Adobe Shockwave Player 11.5
Agere Systems HDA Modem
Airport Mania First Flight
Avira AntiVir Personal - Free Antivirus
BPS - The Strike
Broadcom Gigabit NetLink Controller
C:\Program Files\Acer GameZone\GameConsole
Cabela's Outdoor Adventures
Cake Mania 2
Catalyst Control Center - Branding
Choice Guard
Compatibility Pack für 2007 Office System
Cooking Dash
Cradle of Rome
Dairy Dash
DivX Codec
DivX Web Player
Dream Day Honeymoon
Dream Day Wedding
eSobi v2
FIFA 10
Galapago
Google Desktop
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Hitman Pro 3.5
Hochseefischen - Die Simulation
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
ICQ6.5
Java(TM) 6 Update 17
Jewel Quest Solitaire
Junk Mail filter update
Jurassic Park Operation Genesis
kikin Plugin (Murb.com Edition) 1.11
Launch Manager
Luxor 2
Mahjong Escape Ancient China
Malwarebytes' Anti-Malware
MicroMachines V4
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Monopoly Deluxe
Mozilla Firefox (3.5.5)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MyWinLocker
Need for Speed™ SHIFT
Nero OEM
NTI Backup Now 5
NTI Media Maker 8
NVIDIA PhysX
Ocean Express
Orion
Parking Dash
PowerISO
Pure
Puzzle Express
Realtek High Definition Audio Driver
Realtek USB 2.0 Card Reader
Skype web features
Skype™ 4.1
Synaptics Pointing Device Driver
Tradewinds 2
Tri-Peaks Solitaire To Go
Turbo Pizza
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VC80CRTRedist - 8.0.50727.762
VirusKeeper 2010 Pro Probeversion
VLC media player 0.9.8a
Wedding Dash
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Fotogalerie
Windows Live Mail
Windows Live Messenger
Windows Live Sync
Windows Live Writer
Windows Live-Uploadtool
Windows Media Player Firefox Plugin
WinRAR
Zuma Deluxe


Falls Ihr weitere Angaben benötigt, meldet Euch einfach, ich werde es versuchen, diese auch bereit zustellen.
Vielen Dank schonmal für die schnelle Antwort.

#4 Oh ha... der PC ist verseucht. Neu installieren wäre hier sicherlich die beste Methode.

Wenn Du es doch lieber mit Säubern probieren möchtest:

Fixe im HJT folgende Einträge:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\win32.exe

Wenn Du es nicht schon getan hast, dann mit Malwarebytes AntiMalware die gefundenen Infektionen säubern!

Lösche folgende Datei:
C:\Users\Henne\AppData\Local\Temp\kwrcipog.sys

Vermutlich wird das so nicht ohne weiteres gehen. Nutze ein Tool wie Unlocker, um die Verwendung dieser Datei aufzuheben oder nutze Killbox, um die Datei zu löschen.

Und, soweit möglich, alle weiteren Dateien in diesem Verzeichnis:
C:\Users\Henne\AppData\Local\Temp\

Hier können sich Dateien drin befinden, die nicht gelöscht werden können, weil sie vom System benötigt werden.

Es gibt kein legitimes Verzeichnis namens "Install" im Pfad c:\Windows\System32 - bitte das Verzeichnis und dessen Inhalt löschen.

Außerdem sollte sich, außer der Datei "UserTile.png", keine weitere Datei im Pfad C:\Users\Henne\AppData\Roaming befinden. Bitte das dort nochmal nachprüfen und die gefundenen Dateien ggf. hier melden (nicht die Ordner, nur Dateien ).

Führe einen Scan mit Combofix durch. Danach bitte wieder einen HJT-Log posten. Außerdem führe Folgendes durch: http://virus-protect.org/datfindbat.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Vielen Dank für die schnelle und prägnante Hilfe.Ich habe mich jetzt kurzer Hand dazu entschlossen das System neu zu machen.Dann bin ich immerhin auf der sicheren Seite.
Könnt Ihr mir für die Zukunft evtl. kostenlose, gute Virenprogramme und Firewalls oder ähnliches empfehlen, die solche Angriffe möglich Weise besser verhindern?
Vielen Dank nochmals

#6 Du kannst bei Avira AntiVir bleiben. Bessere Programme musst Du kaufen. Die Windows-Firewall sollte ausreichend sein, da musst Du Dir nix extra installieren.

Achte darauf, dass sowohl Dein Windows als auch die auf Deinem PC installierten Programme (auch Browser-Plugins wie Flash und Java) immer auf dem aktuellen Stand sind, da durch Sicherheitslücken in diesen Programmen immer wieder Malware auf PCs gelangt. Nach Möglichkeit arbeite nicht als Administrator, sondern nur als Benutzer mit eingeschränkten Rechten.

Das alles hilft aber nur wenig, wenn man nicht sein Hirn einschaltet
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser