RunDLL Fehlermeldung

#16 Die Windows Updates funktionieren.

Ich bekomme immer noch die RunDLL-Fehlermeldung. Ist es möglich, dass die ganzen Scanner das Programm dahinter nicht finden konnten, weil ich den Systemstart deaktiviert hatte?


__________
Windows 7: http://xkcd.com/528/

#17 Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
• BleepingComputer
• ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.

#18 Die Datein im Systemstart sind weg! :-D
Während ComboFix lief, kam mehrmals eine Fehlermeldung von "PEV.exe".

Code

ComboFix 10-07-15.01 - Sarah 15.07.2010  20:27:13.1.2 - x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.2009.1318 [GMT 2:00]
ausgeführt von:: c:\users\Sarah\Desktop\Combo-Fix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\users\Sarah\AppData\Local\TempDIR
c:\users\Sarah\AppData\Local\TempDIR\WindowsXP-KB893357-v2-x86-DEU.exe
c:\users\Sarah\AppData\Local\TempDIR\WindowsXP-KB917021-v3-x86-DEU.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://fc00.deviantart.net
hxxp://th09.deviantart.net
hxxp://th08.deviantart.net
hxxp://th04.deviantart.net
hxxp://th05.deviantart.net
hxxp://th06.deviantart.net
hxxp://th01.deviantart.net
hxxp://th02.deviantart.net
hxxp://th07.deviantart.net
hxxp://th03.deviantart.net
hxxp://th00.deviantart.net
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-15 bis 2010-07-15  ))))))))))))))))))))))))))))))
.

2010-07-15 18:33 . 2010-07-15 18:33    --------    d-----w-    c:\users\Default\AppData\Local\temp
2010-07-14 10:56 . 2010-07-14 10:56    --------    d-----w-    c:\windows\Sun
2010-07-13 06:59 . 2010-07-13 06:58    77312    ----a-w-    c:\windows\system32\mbr.exe
2010-07-13 06:07 . 2010-07-13 06:07    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Malwarebytes
2010-07-13 06:07 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-13 06:07 . 2010-07-13 06:07    --------    d-----w-    c:\programdata\Malwarebytes
2010-07-13 06:07 . 2010-07-13 06:07    --------    d-----w-    c:\program files\Malwarebytes' Anti-Malware
2010-07-13 06:07 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-07-13 04:04 . 2009-12-08 11:32    292864    ----a-w-    c:\windows\system32\apphelp.dll
2010-07-10 16:17 . 2010-07-10 16:27    --------    d-----w-    c:\users\Sarah\AppData\Roaming\vlc
2010-07-03 20:52 . 2010-07-03 20:53    --------    d-----w-    c:\programdata\IdeasPad
2010-06-30 03:57 . 2010-06-28 20:57    38848    ----a-w-    c:\windows\avastSS.scr
2010-06-24 03:56 . 2009-11-25 10:47    99176    ----a-w-    c:\windows\system32\PresentationHostProxy.dll
2010-06-24 03:56 . 2009-11-25 10:47    295264    ----a-w-    c:\windows\system32\PresentationHost.exe
2010-06-24 03:56 . 2009-11-25 10:47    49472    ----a-w-    c:\windows\system32\netfxperf.dll
2010-06-24 03:56 . 2009-11-25 10:47    297808    ----a-w-    c:\windows\system32\mscoree.dll
2010-06-24 03:56 . 2009-11-25 10:47    1130824    ----a-w-    c:\windows\system32\dfshim.dll
2010-06-23 04:02 . 2010-03-24 06:37    1286456    ----a-w-    c:\windows\system32\ntdll.dll
2010-06-23 04:02 . 2010-05-09 09:14    641536    ----a-w-    c:\windows\system32\CPFilters.dll
2010-06-23 04:02 . 2010-05-09 09:14    417792    ----a-w-    c:\windows\system32\msdri.dll
2010-06-20 13:40 . 2010-06-20 13:47    --------    d-----w-    c:\users\Sarah\AppData\Local\Microsoft Games
2010-06-20 13:32 . 2010-06-20 13:32    --------    d-----w-    c:\program files\Microsoft Games
2010-06-19 10:55 . 2010-06-19 10:55    1    ----a-w-    c:\users\Sarah\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-06-19 10:55 . 2010-06-19 10:55    --------    d-----w-    c:\users\Sarah\AppData\Roaming\OpenOffice.org

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-15 18:25 . 2010-05-22 14:03    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Skype
2010-07-15 18:19 . 2010-05-23 09:11    --------    d-----w-    c:\users\Sarah\AppData\Roaming\skypePM
2010-07-14 13:51 . 2010-05-22 13:54    --------    d-----w-    c:\programdata\Microsoft Help
2010-07-13 04:02 . 2010-05-23 16:44    --------    d-----w-    c:\programdata\eMule
2010-07-11 11:46 . 2009-07-14 08:47    654166    ----a-w-    c:\windows\system32\perfh007.dat
2010-07-11 11:46 . 2009-07-14 08:47    130006    ----a-w-    c:\windows\system32\perfc007.dat
2010-07-03 12:15 . 2010-06-09 10:35    --------    d-----w-    c:\users\Sarah\AppData\Roaming\gtk-2.0
2010-07-01 11:23 . 2010-05-24 13:25    16400    ----a-w-    c:\windows\system32\drivers\LNonPnP.sys
2010-06-28 20:57 . 2010-05-22 13:39    165032    ----a-w-    c:\windows\system32\aswBoot.exe
2010-06-28 20:37 . 2010-05-22 13:40    46672    ----a-w-    c:\windows\system32\drivers\aswTdi.sys
2010-06-28 20:37 . 2010-05-22 13:40    165456    ----a-w-    c:\windows\system32\drivers\aswSP.sys
2010-06-28 20:33 . 2010-05-22 13:40    23376    ----a-w-    c:\windows\system32\drivers\aswRdr.sys
2010-06-28 20:32 . 2010-05-22 13:40    50256    ----a-w-    c:\windows\system32\drivers\aswMonFlt.sys
2010-06-28 20:32 . 2010-05-22 13:40    17744    ----a-w-    c:\windows\system32\drivers\aswFsBlk.sys
2010-06-25 20:38 . 2010-05-22 13:56    --------    d-----w-    c:\program files\Microsoft.NET
2010-06-21 13:23 . 2010-05-28 11:34    --------    d-----w-    c:\program files\Common Files\Wise Installation Wizard
2010-06-08 10:49 . 2010-06-08 10:42    --------    d-----w-    c:\programdata\Google Updater
2010-06-08 10:48 . 2010-06-08 10:42    --------    d-----w-    c:\program files\Google
2010-06-07 03:53 . 2010-05-22 14:36    --------    d-----w-    c:\program files\Microsoft Silverlight
2010-05-28 12:23 . 2010-05-28 11:37    --------    d-----w-    c:\users\Sarah\AppData\Roaming\The Discovery Series
2010-05-28 12:23 . 2010-05-28 11:37    --------    d-----w-    c:\programdata\The Discovery Series
2010-05-27 07:24 . 2010-06-10 07:15    34304    ----a-w-    c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-10 07:15    293888    ----a-w-    c:\windows\system32\atmfd.dll
2010-05-26 11:24 . 2010-05-26 11:24    0    ---ha-w-    c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01007.Wdf
2010-05-26 11:24 . 2010-05-26 11:24    --------    d-----w-    c:\program files\Apoint2K
2010-05-26 11:06 . 2010-05-26 11:06    --------    d-----w-    c:\program files\Lenovo
2010-05-26 03:57 . 2010-05-22 14:35    --------    d-----w-    c:\program files\Microsoft
2010-05-24 13:25 . 2010-05-24 13:23    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Logitech
2010-05-24 13:25 . 2010-05-24 13:25    53248    ----a-r-    c:\users\Sarah\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-05-24 13:25 . 2010-05-24 13:25    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Leadertech
2010-05-24 13:25 . 2010-05-24 13:23    --------    d-----w-    c:\program files\Common Files\LogiShrd
2010-05-24 13:25 . 2010-05-24 13:24    --------    d-----w-    c:\programdata\Logishrd
2010-05-24 13:23 . 2010-05-24 13:23    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Logishrd
2010-05-24 13:00 . 2010-05-24 13:00    0    ---ha-w-    c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_09_00.Wdf
2010-05-23 16:28 . 2010-05-23 16:28    --------    d-----w-    c:\program files\SecureW2
2010-05-23 09:13 . 2010-05-23 09:13    723968    ----a-w-    c:\programdata\Skype\Plugins\Plugins\13651BBE51534FF1B250EBE56CDE0987\MoodChg.exe
2010-05-23 09:11 . 2010-05-23 09:11    56    ---ha-w-    c:\programdata\ezsidmv.dat
2010-05-23 09:03 . 2010-05-22 14:31    114216    ----a-w-    c:\users\Sarah\AppData\Local\GDIPFONTCACHEV1.DAT
2010-05-23 08:55 . 2010-05-22 13:57    --------    d-----w-    c:\program files\Microsoft Works
2010-05-23 08:49 . 2010-05-23 08:49    --------    d-----w-    c:\program files\Common Files\Java
2010-05-23 08:48 . 2010-05-23 08:48    411368    ----a-w-    c:\windows\system32\deployJava1.dll
2010-05-22 14:40 . 2010-05-22 14:40    --------    d-----w-    c:\users\Sarah\AppData\Roaming\GMX
2010-05-22 14:40 . 2010-05-22 14:40    --------    d-----w-    c:\programdata\GMX
2010-05-22 14:37 . 2010-05-22 14:37    --------    d-----w-    c:\users\Sarah\AppData\Roaming\Spacejock Software
2010-05-22 14:35 . 2010-05-22 14:34    --------    d-----w-    c:\program files\Windows Live
2010-05-22 14:35 . 2010-05-22 14:35    --------    d-----w-    c:\program files\Windows Live SkyDrive
2010-05-22 14:31 . 2010-05-22 14:31    --------    d-----w-    c:\program files\Common Files\Windows Live
2010-05-22 14:30 . 2010-05-22 14:30    --------    d--h--w-    c:\program files\Zero G Registry
2010-05-22 14:20 . 2010-05-22 14:20    54    ----a-w-    c:\programdata\Last.fm\Client\uninst2.bat
2010-05-22 14:20 . 2010-05-22 14:20    --------    d-----w-    c:\programdata\Last.fm
2010-05-22 14:20 . 2010-05-22 14:20    683801    ----a-w-    c:\programdata\Last.fm\Client\UninstWMP\unins000.exe
2010-05-22 14:15 . 2010-05-22 14:15    --------    d-----w-    c:\program files\Common Files\DVDVideoSoft
2010-05-22 14:13 . 2010-05-22 14:13    --------    d-----w-    c:\users\Sarah\AppData\Roaming\eMule
2010-05-22 14:05 . 2010-05-22 14:05    --------    d-----w-    c:\program files\Common Files\Adobe
2010-05-22 14:03 . 2010-05-22 14:03    --------    d-----w-    c:\program files\Common Files\Skype
2010-05-22 14:03 . 2010-05-22 14:03    --------    d-----w-    c:\programdata\Skype
2010-05-22 13:57 . 2009-07-14 04:52    --------    d-----w-    c:\program files\MSBuild
2010-05-22 13:55 . 2010-05-22 13:55    --------    d-----w-    c:\program files\Microsoft Visual Studio 8
2010-05-22 13:39 . 2010-05-22 13:39    --------    d-----w-    c:\programdata\Alwil Software
2010-05-22 13:37 . 2010-05-22 13:37    0    ---ha-w-    c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-05-22 13:29 . 2009-07-14 02:37    --------    d-----w-    c:\program files\Windows Mail
2010-05-22 13:26 . 2010-05-22 13:26    --------    d-----w-    c:\program files\Intel
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\programdata\Vorlagen
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\programdata\Startmenü
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\programdata\Favoriten
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\programdata\Dokumente
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\programdata\Anwendungsdaten
2010-05-22 13:16 . 2010-05-22 13:16    --------    d-sh--we    c:\program files\Gemeinsame Dateien
2010-05-21 12:14 . 2010-05-22 13:27    221568    ------w-    c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-10 07:15    977920    ----a-w-    c:\windows\system32\wininet.dll
2010-05-01 14:49 . 2010-06-10 07:15    2326528    ----a-w-    c:\windows\system32\win32k.sys
2010-04-28 05:44 . 2010-05-22 14:35    54632    ----a-w-    c:\windows\system32\drivers\fssfltr.sys
2010-04-23 07:13 . 2010-05-26 03:56    2048    ----a-w-    c:\windows\system32\tzres.dll
2010-04-21 16:36 . 2010-04-21 16:36    8198680    ----a-w-    c:\windows\system32\TVWSetup.exe
2010-04-21 16:36 . 2010-04-21 16:36    136216    ----a-w-    c:\windows\system32\igfxtray.exe
2010-04-21 16:36 . 2010-04-21 16:36    266776    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-04-21 16:36 . 2010-04-21 16:36    169496    ----a-w-    c:\windows\system32\igfxpers.exe
2010-04-21 16:36 . 2010-04-21 16:36    179224    ----a-w-    c:\windows\system32\igfxext.exe
2010-04-21 16:36 . 2010-04-21 16:36    171032    ----a-w-    c:\windows\system32\hkcmd.exe
2010-04-21 16:35 . 2010-04-21 16:35    3154968    ----a-w-    c:\windows\system32\GfxUI.exe
2010-04-21 16:25 . 2010-04-21 16:25    81920    ----a-w-    c:\windows\system32\igfxCoIn_v2119.dll
2010-04-21 16:10 . 2010-02-20 14:18    4960768    ----a-w-    c:\windows\system32\igdumd32.dll
2010-04-21 16:10 . 2010-04-21 16:10    8746496    ----a-w-    c:\windows\system32\drivers\igdkmd32.sys
2010-04-21 16:06 . 2010-02-20 14:14    571904    ----a-w-    c:\windows\system32\igdumdx32.dll
2010-04-21 16:00 . 2009-07-13 22:09    4348416    ----a-w-    c:\windows\system32\igd10umd32.dll
2010-04-21 15:45 . 2010-04-21 15:45    11034624    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-04-21 15:33 . 2010-04-21 15:33    261120    ----a-w-    c:\windows\system32\igfxTMM.dll
2010-04-21 15:33 . 2010-04-21 15:33    194560    ----a-w-    c:\windows\system32\igfxpph.dll
2010-04-21 15:33 . 2010-04-21 15:33    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-04-21 15:33 . 2010-02-20 13:35    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-04-21 15:33 . 2010-04-21 15:33    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-04-21 15:32 . 2010-02-20 13:35    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-04-21 15:32 . 2010-04-21 15:32    120320    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-04-21 15:32 . 2010-04-21 15:32    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-04-21 15:32 . 2010-04-21 15:32    227328    ----a-w-    c:\windows\system32\igfxdev.dll
2010-04-21 15:32 . 2010-02-20 13:34    828928    ----a-w-    c:\windows\system32\igfxress.dll
2009-06-10 21:26 . 2009-07-14 02:04    9633792    --sha-r-    c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42    396800    --sha-w-    c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"[url="http://www.ccleaner.de"]CCleaner[/url]"="d:\[url="http://www.ccleaner.de"]CCleaner[/url]\[url="http://www.ccleaner.de"]CCleaner[/url].exe" [2010-06-23 1699128]
"GMX_GMX MultiMessenger"="d:\gmx\GMX MultiMessenger\MESSENGR.EXE" [2009-10-16 5031336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="d:\alwil software\Avast5\avastUI.exe" [2010-06-28 2837864]
"GrooveMonitor"="d:\microsoft office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="d:\adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"EvtMgr6"="d:\\SetPointP\SetPoint.exe" [2010-01-27 1312848]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2008-03-26 163840]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-14 30192]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-21 136216]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-21 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-21 169496]

c:\users\Sarah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - d:\microsoft office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17    64592    ----a-w-    c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages    REG_MULTI_SZ       kerberos msv1_0 schannel wdigest tspkg pku2u livessp

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-08 136176]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-14 30192]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-06-28 50256]
S3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\DRIVERS\AcpiVpc.sys [2010-01-20 23136]

.
Inhalt des "geplante Tasks" Ordners

2010-07-15 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-06-08 10:42]

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-08 10:42]

2010-07-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-08 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - d:\micros~1\Office12\EXCEL.EXE/3000
TCP: {9567216E-DA2A-4828-BE53-8373386FBB0C} = 134.169.9.152,134.169.9.151
FF - ProfilePath - c:\users\Sarah\AppData\Roaming\Mozilla\Firefox\Profiles\w8i4pphp.default\
FF - component: d:\firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1970.7372\npCIDetect14.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: d:\adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: d:\jre\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\jre\bin\new_plugin\npjp2.dll

---- FIREFOX Richtlinien ----
d:\firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
d:\firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
d:\firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\firefox\greprefs\all.js - pref("network.proxy.type",                  5);
d:\firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
d:\firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\firefox\greprefs\all.js - pref("accelerometer.enabled", true);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
d:\firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-07-15  20:35:06
ComboFix-quarantined-files.txt  2010-07-15 18:35

Vor Suchlauf: 7 Verzeichnis(se), 34.307.387.392 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 34.346.176.512 Bytes frei

- - End Of File - - 1121584D3F204E2B5FF47FC96A059697

__________
Windows 7: http://xkcd.com/528/

#19 Und kommen noch Meldungen?

#20 Nein, jetzt nicht mehr. Heißt das, dass mein Notebook es überstanden hat?
__________
Windows 7: http://xkcd.com/528/

#21 Schritt 1

Combofix deinstallieren

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren.

Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben Combo-Fix.exe /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst.

Schritt 2

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Schritt 3

System mit Windows-eigenen Mitteln bereinigen


Datenträger bereinigen


• Start => ausführen => cleanmgr (reinschreiben) => OK
• Wähle das zu bereinigende Laufwerk aus => OK
• "Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann.
• Es öffnet sich das Fenster mit den zu löschenden Dateien.
• Bei den zu löschenden Bereichen einen Haken machen.
• Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK



Temporäre Ordner bereinigen

• Start => ausführen => temp (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt von C:\Windows\Temp gelöscht
• START => ausführen => %temp% (reinschreiben) => OK
• Es öffnet sich der Windows-Explorer mit dem Verzeichnis
=> den Inhalt manuell löschen
Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht.



IE Cache leeren

• Start => Systemsteuerung => Internetoptionen
• Reiter Allgemein => Browserverlauf => löschen
• Temporäre Internetdateien, Cookies und Verlauf löschen



Firefox Cache leeren

• Firefox starten => Extras => Einstellungen
• Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken
• Firefox beenden.



Temporäre Java-Dateien löschen

• Schließe alle Browser
• Öffne Start => Systemsteuerung => Java
• Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien
• Einstellungen => Dateien löschen => OK


Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung.

#22 Ich bin mir nicht sicher, ob der erste Schritt richtig funktioniert hat, da mein Laptop "Combo-Fix.exe" nicht finden konnte, obwohl es genauso auf meinem Desktop war. Ich habe stattdessen "ComboFix.exe" deinstalliert.
Der Rest hat aber keine Probleme bereitet.
__________
Windows 7: http://xkcd.com/528/

#23 Und bestehen noch Probleme?

#24 Ich glaube nicht, nein. Es kommen keine Fehlermeldungen mehr. Bin ich jetzt wieder sicher?
__________
Windows 7: http://xkcd.com/528/

#25 Wenn Du die folgende Punkte noch zu Herzen nimmst dann sind wir hier durch:

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra .

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich Ccleaner (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
• Port-Scan-Test.
• WLAN absichern.
• Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende