LOG File für BRK Virus, wie gehts weiter?

fritzman · 03.08.2011, 19:53

Hallo Leute,
ich habe den BRK Virus und den Computer mit der OTL CD gestartet.

Danach gescannt und anbei ist mein Logfile.

Leider weiß ich nicht wie es weitergeht und wäre um jede Hilfe dankbar.OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 8/3/2011 9:23:25 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 34.81 Gb Total Space | 18.73 Gb Free Space | 53.82% Space Free | Partition Type: NTFS
Drive D: | 39.72 Gb Total Space | 39.34 Gb Free Space | 99.03% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] -- -- (WinVNC4)
SRV - [2011/04/14 08:01:38 | 000,188,136 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe -- (mfefire)
SRV - [2011/04/14 08:01:38 | 000,171,168 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe -- (McShield)
SRV - [2011/04/14 08:01:38 | 000,141,792 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe -- (mfevtp)
SRV - [2010/10/15 19:40:40 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010/10/07 15:34:28 | 000,364,216 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2010/03/10 05:14:44 | 000,271,480 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe -- (McProxy)
SRV - [2010/03/10 05:14:44 | 000,271,480 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe -- (McNASvc)
SRV - [2010/03/10 05:14:44 | 000,271,480 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe -- (McNaiAnn)
SRV - [2010/03/10 05:14:44 | 000,271,480 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe -- (mcmscsvc)
SRV - [2010/03/10 05:14:44 | 000,271,480 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McMPFSvc)
SRV - [2008/07/23 12:52:06 | 000,206,112 | ---- | M] () [Auto] -- C:\Programme\McAfee\SiteAdvisor\McSACore.exe -- (McAfee SiteAdvisor Service)
SRV - [2007/01/31 09:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Auto] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (STCFUx32)
DRV - File not found [Kernel | On_Demand] -- -- (SCR3XX2K)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand] -- -- (mfeavfk01)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand] -- -- (FTSER2K)
DRV - File not found [Kernel | On_Demand] -- -- (FTDIBUS)
DRV - File not found [Kernel | Auto] -- -- (FscHWMon)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/04/14 08:01:38 | 000,387,480 | ---- | M] (McAfee, Inc.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2011/04/14 08:01:38 | 000,314,088 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfefirek.sys -- (mfefirek)
DRV - [2011/04/14 08:01:38 | 000,153,280 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2011/04/14 08:01:38 | 000,095,824 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2011/04/14 08:01:38 | 000,088,736 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendiskmp)
DRV - [2011/04/14 08:01:38 | 000,088,736 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendisk)
DRV - [2011/04/14 08:01:38 | 000,084,488 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2011/04/14 08:01:38 | 000,084,200 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINDOWS\system32\drivers\mfetdi2k.sys -- (mfetdi2k)
DRV - [2011/04/14 08:01:38 | 000,056,064 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cfwids.sys -- (cfwids)
DRV - [2011/04/14 08:01:38 | 000,052,320 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2008/10/13 09:55:50 | 000,014,336 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SMBus_2k.sys -- (SMBus_2k)
DRV - [2008/10/13 09:53:50 | 000,051,968 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\OemF0211.sys -- (OemF0211)
DRV - [2008/10/13 09:51:52 | 000,012,672 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscTime.sys -- (FscTime)
DRV - [2008/10/13 09:51:22 | 000,012,160 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscGabi.sys -- (FscGabi)
DRV - [2008/10/13 09:51:06 | 000,010,752 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscEfDmi.sys -- (FscEfDmi)
DRV - [2008/10/13 09:50:50 | 000,010,624 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscCpuid.sys -- (FscCpuid)
DRV - [2008/10/13 09:50:36 | 000,009,728 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscCmos.sys -- (FscCmos)
DRV - [2008/10/13 09:50:18 | 000,011,392 | ---- | M] (Fujitsu Siemens Computers) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FscBapi.sys -- (FscBapi)
DRV - [2008/10/13 09:50:04 | 000,014,848 | ---- | M] (FUJITSU LIMITED) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FlashDrv.sys -- (FlashDrv)
DRV - [2004/06/29 09:12:42 | 000,053,596 | R--- | M] (Siemens Audiologische Technik) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Unity2.sys -- (UNITY2)
DRV - [2004/05/25 09:22:20 | 000,012,398 | R--- | M] (CSR Plc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\bc02filt.sys -- (filter)
DRV - [2003/04/02 08:00:00 | 000,098,176 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\NBF.SYS -- (Nbf)
DRV - [2000/11/16 07:08:04 | 000,020,261 | ---- | M] (Cherry GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\chyunikb.sys -- (chyunikb)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.alice-dsl.de/selfcare/content/segment/kundencenter/
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8064.0206: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Programme\McAfee\SiteAdvisor [2010/03/02 05:31:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}\ [2011/07/28 14:47:30 | 000,000,000 | ---D | M]
 
 
Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\ScriptSn.20110515181625.dll (McAfee, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [mcui_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [Xjuzuzojazij] C:\WINDOWS\amozuwipiqowaliy.dll (Texas Instruments)
O4 - HKU\Administrator_ON_C..\Run: [Hvixez] C:\WINDOWS\mshprda.dll (WiQuest Communications, Inc.)
O4 - HKU\Administrator_ON_C..\Run: [msnmsgr] File not found
O4 - HKU\Administrator_ON_C..\Run: [WMPNSCFG] File not found
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125997376796 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176366557859 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (D:\TEMP\huxjsc\setup.exe) - D:\TEMP\huxjsc\setup.exe (Bong)
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003/04/08 05:35:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/08/03 14:14:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee
[2011/07/28 14:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011/07/28 14:54:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011/07/28 14:47:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}
[2011/07/28 14:47:24 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011/07/19 15:43:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/08/03 14:15:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/08/03 14:14:37 | 000,001,581 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee AntiVirus Plus.lnk
[2011/08/03 14:14:37 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/08/03 14:14:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee
[2011/08/03 13:29:13 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{EBF4478B-A4A0-427F-A26C-7B343CD79EF0}.job
[2011/07/28 14:58:14 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/07/28 14:47:32 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Dtihigokimakigej.bin
[2011/07/28 14:47:31 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Edulikovuviy.dat
[2011/07/28 14:47:24 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011/07/27 15:06:51 | 000,000,288 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2011/07/19 15:43:56 | 000,001,870 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011/07/19 15:43:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2011/07/19 15:40:23 | 000,225,616 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/07/13 20:00:11 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/07/28 14:55:48 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/07/28 14:47:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Dtihigokimakigej.bin
[2011/07/28 14:47:31 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Edulikovuviy.dat
[2011/07/19 15:43:56 | 000,001,870 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010/10/14 15:31:20 | 000,000,303 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2010/08/17 13:44:55 | 000,070,656 | ---- | C] () -- C:\WINDOWS\cabarc.exe
[2010/06/21 12:57:11 | 000,042,808 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/06/20 11:06:41 | 002,359,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper_5.bmp
[2010/06/20 10:17:05 | 002,359,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper_4.bmp
[2010/06/20 10:16:28 | 000,921,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper_3.bmp
[2010/06/20 10:15:57 | 000,921,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper_2.bmp
[2010/06/20 10:15:07 | 002,359,350 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper_1.bmp
[2010/05/12 12:48:51 | 001,179,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZBWallpaper.bmp
[2010/04/07 11:38:00 | 000,021,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2010/03/19 16:24:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OPPRIN~1.INI
[2009/10/28 13:28:39 | 000,000,288 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2009/08/21 12:29:35 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/01/07 06:24:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Hit6.INI
[2009/01/07 05:39:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Rem6.INI
[2009/01/02 05:49:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/12/08 09:02:27 | 000,000,608 | -HS- | C] () -- C:\WINDOWS\System32\winzvprt5.sys
[2008/12/08 08:44:59 | 000,169,909 | ---- | C] () -- C:\WINDOWS\System32\hppins08.dat
[2008/12/08 08:31:50 | 000,188,416 | R--- | C] () -- C:\WINDOWS\System32\ftdiunin.exe
[2008/10/25 08:12:17 | 000,003,254 | R--- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2008/10/25 08:12:17 | 000,000,138 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini
[2008/10/25 08:11:51 | 000,000,685 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini
[2008/10/24 11:01:33 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006/12/06 11:14:23 | 000,000,083 | ---- | C] () -- C:\WINDOWS\AURICAL.INI
[2006/07/24 10:39:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\sversion.ini
[2006/07/24 10:12:09 | 000,069,632 | ---- | C] () -- C:\WINDOWS\uinst001.exe
[2006/06/22 02:51:09 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2006/06/14 08:15:07 | 000,084,418 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
[2005/10/05 09:09:53 | 000,000,021 | ---- | C] () -- C:\Programme\AVWinAVWIN.INI
[2005/09/21 05:10:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\REM5.INI
[2005/09/21 05:10:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HIT5.INI
[2005/09/06 08:00:07 | 000,000,815 | ---- | C] () -- C:\WINDOWS\unifit.ini
[2005/09/06 07:59:43 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\ConfTree.dll
[2005/07/18 06:36:04 | 000,000,038 | ---- | C] () -- C:\WINDOWS\fit013L.ini
[2005/05/23 03:44:13 | 000,000,043 | ---- | C] () -- C:\WINDOWS\OIS.INI
[2005/01/31 07:57:24 | 000,000,036 | ---- | C] () -- C:\WINDOWS\hicoss.ini
[2004/09/10 06:46:48 | 000,003,547 | ---- | C] () -- C:\WINDOWS\GNDB.ini
[2004/09/01 09:53:34 | 000,000,044 | ---- | C] () -- C:\WINDOWS\ZMINI32.INI
[2004/08/04 05:55:00 | 000,016,017 | ---- | C] () -- C:\WINDOWS\hplj1300.ini
[2004/08/04 05:26:41 | 000,000,028 | ---- | C] () -- C:\WINDOWS\amplifit.ini
[2004/08/02 08:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/02 03:13:28 | 000,001,480 | ---- | C] () -- C:\WINDOWS\connexx.ini
[2004/08/02 03:13:28 | 000,000,129 | ---- | C] () -- C:\WINDOWS\cdctrl.ini
[2004/08/02 03:13:28 | 000,000,075 | ---- | C] () -- C:\WINDOWS\siifs.ini
[2004/08/02 03:13:28 | 000,000,008 | ---- | C] () -- C:\WINDOWS\cxx_aud.ini
[2004/08/02 03:13:06 | 000,000,518 | ---- | C] () -- C:\WINDOWS\unity.ini
[2004/08/02 03:11:29 | 000,000,111 | ---- | C] () -- C:\WINDOWS\MESWBOX.INI
[2004/08/02 03:07:25 | 000,003,681 | ---- | C] () -- C:\WINDOWS\FIT079.INI
[2004/07/12 04:54:15 | 000,000,102 | ---- | C] () -- C:\WINDOWS\HIPRO.INI
[2004/07/09 08:07:29 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2004/06/29 08:12:47 | 000,000,477 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004/06/11 17:22:31 | 000,131,072 | ---- | C] () -- C:\WINDOWS\System32\e1000msg.dll
[2003/05/22 16:25:24 | 000,481,940 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003/05/22 16:25:24 | 000,459,436 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003/05/22 16:25:24 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003/05/22 16:25:24 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003/05/22 16:25:24 | 000,095,084 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003/05/22 16:25:24 | 000,079,226 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003/05/22 16:25:24 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003/05/22 16:25:24 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003/05/22 16:25:23 | 000,004,678 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/05/22 16:25:23 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2003/05/22 16:25:21 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003/05/22 16:25:18 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/05/22 16:25:04 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003/05/22 16:25:04 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003/05/22 16:24:54 | 000,225,616 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003/05/22 16:24:52 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2003/05/22 16:24:50 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003/05/22 16:24:46 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003/05/22 16:19:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2003/05/22 16:19:41 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2003/05/22 16:19:40 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003/05/22 16:19:39 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2003/05/22 16:19:38 | 000,000,042 | ---- | C] () -- C:\WINDOWS\AcrobatSetupStatus.ini
[2003/05/22 16:18:11 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2001/07/31 12:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[1999/01/22 06:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2010/08/14 08:58:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SACore
[2010/07/29 15:53:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Avafu
[2009/08/21 11:44:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hansenet
[2009/08/21 12:25:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2008/10/24 11:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Phonak Group
[2008/05/19 08:55:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SQL Anywhere 10
[2009/01/02 05:49:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2010/10/17 08:37:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ypvu
[2009/08/21 12:51:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\SACore
[2007/10/08 09:10:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Interton
[2007/10/08 09:16:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oticon
[2008/06/16 03:56:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Phonak Group
[2010/04/07 11:35:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rossmann Fotoservice
[2008/05/19 08:54:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SQL Anywhere 10
[2010/08/18 14:56:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/10/24 08:02:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2011/08/03 13:29:13 | 000,000,434 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{EBF4478B-A4A0-427F-A26C-7B343CD79EF0}.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

Hallo,

ich habe gelesen, dass es zur Behebung evtl. einen Unterschied macht, ob man auf dem infizierten Computer onlinebanking macht oder pins oder ähnliches gespeichert hat.
Das alles kann ich verneinen.

Also schon mal vielen dank für Eure Hilfe

fritzman

Hallo, ich bin´s nochmal;-)

Ich möchte echt nicht nerven, aber ich bin immer noch am verzweifeln mit diesem BKA Virus. Das LOG habe ich ja bereits gepostet und es wäre echt super nett, wenn mir jemand die weiteren Schritte posten könnte.

Ich bedanke mich im voraus für Eure Mühe und die investierte Zeit

fritzman

Swisstreasure · 10.08.2011, 21:50

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

fritzman · 11.08.2011, 17:07

Hallo Swiss,

erst mal ganz herzlichen Dank, dass Du Dich meines Problems angenommen hast;-)

Ich habe mir die Datei auf den Stick runtergeladen, aber weiter bin ich leider nicht gekommen, weil ich nicht in den abgesicherten Modus komme. Ich habe alle F Tasten ausprobiert und auch die STRG Taste wie es im Internet empfohlen wurde, aber der Rechner startet immer durch, bis zum "Angemeldet als Administrator" und wenn ich dann Enter drücke, weil ich kein Passwort vergeben habe, startet er weiter bis zum BKA screen

Ich habe es auch versucht den Computer mit der OTLPE CD zu starten und dort bei "Run" (und auch bei der Eingabeaufforderung) das "start srep.exe" einzugeben, es passiert auch kurz was, aber danach kommt immer folgende meldung
Line 9671 (File "E:\srep.exe") Error: Variable used without being declared

Any ideas???

Swisstreasure · 11.08.2011, 19:04

Schritt 1

Downloade Dir bitte OTL auf einen USB Stick.

Speichere folgenden Text aus der Code Box als fix.txt ebenfalls auf den selben USB Stick.

Code:

ATTFilter

:reg
[HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:commands
[emptytemp]

Schritt 2

Starte deinen Rechner in den Abgesicherte Modus mit Eingabeaufforderung.

Während dem Hochfahren mehrmals F8 drücken. ( Kann bei mancheen Systemen auch eine andere F Taste sein )
Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter.
Logge dich im Administrator Konto ein.

Schritt 3

Nun ist etwas Handarbeit gefragt. Schließe den USB Stick an den infizierten Rechner an.

Du musst nun heraus finden, welchen Laufwerksbuchstabe der USB Stick hat.

Entferne alle anderen externen Medien von dem infiziertem Rechner.
Danach gibst du zB E: ein. Sollte folgende Meldung kommen

versuche einen anderen Buchstaben bis keine Fehlermeldung mehr kommt.
( USB Anschlüsse haben meist E oder F )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
notepad fix.txt
Dies wird ein Textdokument öffnen. Markieren den gesammten Inhalt, Rechtsklick kopieren
Das Fenster kannst Du wieder schließen.
Gib nun folgenden Text in das schwarze Fenster und drücke erneut Enter
start otl.exe
Dies wird OTL öffnen. Füge nun den vorher kopierten Text in die Textbox ein und drücke Run Fix.

Der Rechner wird neu starten. Danach solltest Du wieder zugriff auf deinen PC haben.

Schritt 4

Starte OTL erneut und klicke auf den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread. ( Zu finden auf deinem USB Stick )

fritzman · 11.08.2011, 19:18

Hallo Swiss,

das ist ja gerade mein Problem, ich komme nicht in den abgesicherten Modus, weder mit
F8 noch mit irgendeiner anderen Kombination.

Ich habe beim booten gerade mal den stecker gezogen, und dann kam das nächste mal die seite, wo ich den abgesicherten modus auswählen konnte (unten lief die zeit von 10 bis 0 sekunden runter). ABER das System reagiert in diesem Stadium auf keine meiner Pfeil (nachoben ) oder sonstigen eingaben...wahrscheinlich hat das der virus auch lahmgelegt...und schließlich war die zeit verstrichen und er ist wieder normal gestartet...

Ich kann aber mit der OTL CD starten, kann ich dort denn im fix fenster den angegebenen fix.txt eingeben?

Swisstreasure · 11.08.2011, 20:21

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: [Xjuzuzojazij] C:\WINDOWS\amozuwipiqowaliy.dll (Texas Instruments)
O4 - HKU\Administrator_ON_C..\Run: [msnmsgr] File not found
O4 - HKU\Administrator_ON_C..\Run: [WMPNSCFG] File not found
O20 - HKLM Winlogon: Shell - (D:\TEMP\huxjsc\setup.exe) - D:\TEMP\huxjsc\setup.exe (Bong)
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
[2011/07/28 14:47:32 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Dtihigokimakigej.bin
[2011/07/28 14:47:31 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Edulikovuviy.dat
:Commands
[purity]
[emptytemp]

Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
Schließe alle Programme.
Klicke auf den Fix Button.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

fritzman · 11.08.2011, 20:51

So das hat schon mal geklappt, er hat normal gebootet und mir gleich die log datei auf dem desktop geöffnet

ich schau mal ob ich sie anhängen kann

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Xjuzuzojazij deleted successfully.
C:\WINDOWS\amozuwipiqowaliy.dll moved successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\msnmsgr deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\WMPNSCFG deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell

:\TEMP\huxjsc\setup.exe deleted successfully.
File D:\TEMP\huxjsc\setup.exe not found.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
C:\WINDOWS\Dtihigokimakigej.bin moved successfully.
C:\WINDOWS\Edulikovuviy.dat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 227127684 bytes
->Temporary Internet Files folder emptied: 74107520 bytes
->Java cache emptied: 155049926 bytes
->Google Chrome cache emptied: 5876372 bytes
->Flash cache emptied: 797575 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11603159 bytes
->Flash cache emptied: 1020 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 53127 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2759 bytes

Total Files Cleaned = 453.00 mb

OTLPE by OldTimer - Version 3.1.48.0 log created on 08122011_073552

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\BIOSSE~1.cab not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\COMMON.cab not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\DESKFL~1.cab not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\DeskViewClient.dat not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\DVALTI~1.cab not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\DVBIOS.cab not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DATA\License.txt not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\BIOSSet.dat not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\BiosSet.exe not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DeskView.ini not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DskFlash.dat not found!
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für FSC_DeskFlashandBIOSSettingsDeskViewInstantBi_6230117_1027903.zip\DeskFlash 6.23 and Bios Settings 6.23 (DeskView Instant - Bios Management 6.23.0117)\DskFlash.exe not found!

Registry entries deleted on Reboot...

Ich sag schon mal ganz herzlichen Dank, aber ist der virus denn nun endgültig weg?

Swisstreasure · 11.08.2011, 21:10

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

fritzman · 11.08.2011, 21:45

So, habe alles wie gefordert gemacht und schicke Euch anbei das LOGfile von Malwarebyte

HTML-Code:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7437

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.08.2011 08:40:56
mbam-log-2011-08-12 (08-40-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 158832
Laufzeit: 15 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\mshprda.dll (Trojan.Hiloti) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Hvixez (Trojan.Hiloti) -> Value: Hvixez -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\mshprda.dll (Trojan.Hiloti) -> Delete on reboot.
c:\RECYCLER\s-1-5-21-3824317525-2962714073-58467967-500\Dc40.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\newdnswatch\8bf491c5633.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.

Muß ich nun noch was machen, oder bin ich wieder clean;-)

Swisstreasure · 11.08.2011, 21:59

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

fritzman · 11.08.2011, 22:43

So der Combo Fix ist fertig und das log anbei;-)

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-08-11.02 - Administrator 12.08.2011   9:30.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1407 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: McAfee Anti-Virus und Anti-Spyware *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Firewall *Enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}\chrome.manifest
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{F900CFCC-90BF-4DA8-8FD4-55C5D9B51244}\install.rdf
c:\dokumente und einstellungen\Administrator\WINDOWS
C:\newdnswatch
c:\newdnswatch\1B8C8E61DAB1A97
c:\programme\messenger\msmsgsin.exe
c:\windows\IsUn0407.exe
c:\windows\system32\images
c:\windows\system32\images\h_com.gif
c:\windows\system32\images\h_foto.jpg
c:\windows\system32\images\h_future.gif
c:\windows\system32\images\h_logo.gif
c:\windows\system32\images\n_select.gif
c:\windows\system32\images\spacer.gif
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-12 bis 2011-08-12  ))))))))))))))))))))))))))))))
.
.
2011-08-12 11:35 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2011-08-12 11:35 . 2011-08-12 11:35	--------	d-----w-	C:\_OTL
2011-08-12 06:22 . 2011-08-12 06:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2011-08-12 06:22 . 2011-06-24 14:10	139656	------w-	c:\windows\system32\dllcache\rdpwd.sys
2011-08-12 06:22 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-12 06:22 . 2011-08-12 06:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-12 06:22 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-12 06:22 . 2011-08-12 06:22	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-08-12 06:22 . 2011-07-08 14:02	10496	------w-	c:\windows\system32\dllcache\ndistapi.sys
2011-08-12 06:16 . 2011-08-12 06:16	--------	d-----w-	c:\programme\avmwlanstick
2011-08-12 06:16 . 2006-04-05 23:00	97312	----a-w-	c:\windows\system32\drivers\Fwusb1b.bin
2011-08-12 06:16 . 2011-08-12 06:16	--------	d-----w-	c:\windows\AVM_Driver
2011-08-12 06:16 . 2006-04-05 23:00	55808	----a-w-	c:\windows\system32\avmadd32.dll
2011-08-12 06:16 . 2006-04-05 23:00	33792	----a-w-	c:\windows\system32\avmcowlan.dll
2011-08-12 06:16 . 2006-04-05 23:00	264704	----a-w-	c:\windows\system32\drivers\fwlanusb.sys
2011-08-12 06:16 . 2011-08-12 06:16	--------	d-----w-	c:\dokumente und einstellungen\Administrator\AVM_Driver
2011-07-28 18:47 . 2011-07-28 18:47	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 13:29 . 2003-05-22 20:27	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2003-05-22 20:27	10496	----a-w-	c:\windows\system32\drivers\ndistapi.sys
2011-06-24 14:10 . 2003-05-22 20:27	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2011-06-23 18:31 . 2004-02-06 16:07	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2003-05-22 20:25	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2003-05-22 20:24	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2005-09-06 08:22	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2003-05-22 20:25	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2003-05-22 20:25	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-05-18 16:14 . 2010-04-07 15:38	21110	----a-w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mdbu.bin
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mcui_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2011-06-28 1195408]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\McSvcHost\\McSvHost.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"2638:TCP"= 2638:TCP:ASA_DBE
"2638:UDP"= 2638:UDP:ASA_DBE
"49152:TCP"= 49152:TCP:ASA_DBE
"49152:UDP"= 49152:UDP:ASA_DBE
"49153:TCP"= 49153:TCP:ASA_DBE
"49153:UDP"= 49153:UDP:ASA_DBE
.
R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [08.08.2010 19:28 84200]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [12.08.2011 08:22 366640]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [21.08.2009 18:21 206112]
R2 McMPFSvc;McAfee Personal Firewall-Dienst;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [08.08.2010 19:27 271480]
R2 McNaiAnn;McAfee VirusScan Announcer;"c:\programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [08.08.2010 19:27 271480]
R2 mfefire;McAfee Firewall Core Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe [08.08.2010 19:28 188136]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe [08.08.2010 19:28 141792]
R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [08.08.2010 19:28 56064]
R3 FscBapi;FscBapi;c:\windows\system32\drivers\FscBapi.sys [13.10.2008 15:50 11392]
R3 FscCmos;FscCmos;c:\windows\system32\drivers\FscCmos.sys [13.10.2008 15:50 9728]
R3 FscCpuid;FscCpuid;c:\windows\system32\drivers\FscCpuid.sys [13.10.2008 15:50 10624]
R3 FscEfDmi;FscEfDmi;c:\windows\system32\drivers\FscEfDmi.sys [13.10.2008 15:51 10752]
R3 FscTime;FscTime;c:\windows\system32\drivers\FscTime.sys [13.10.2008 15:51 12672]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [12.08.2011 08:16 264704]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [12.08.2011 08:22 22712]
R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [08.08.2010 19:28 314088]
R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [08.08.2010 19:28 88736]
R3 SMBus_2k;SMBus_2k;c:\windows\system32\drivers\SMBus_2k.sys [13.10.2008 15:55 14336]
S2 FscHWMon;FscHWMon;\??\c:\windows\system32\drivers\HWMIchIn.sys --> c:\windows\system32\drivers\HWMIchIn.sys [?]
S3 chyunikb;Cherry Universal-Treiber für PS/2;c:\windows\system32\drivers\chyunikb.sys [29.06.2004 14:08 20261]
S3 filter;BC02 External Lower Filter Service;c:\windows\system32\drivers\bc02filt.sys [30.07.2008 17:13 12398]
S3 FlashDrv;FlashDrv;c:\windows\system32\drivers\FlashDrv.sys [13.10.2008 15:50 14848]
S3 FscGabi;FscGabi;c:\windows\system32\drivers\FscGabi.sys [13.10.2008 15:51 12160]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [12.08.2011 08:22 41272]
S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [08.08.2010 19:28 88736]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [08.08.2010 19:28 84488]
S3 OemF0211;OemF0211;c:\windows\system32\drivers\OemF0211.sys [13.10.2008 15:53 51968]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\DRIVERS\SCR3XX2K.sys --> c:\windows\system32\DRIVERS\SCR3XX2K.sys [?]
S3 STCFUx32;STC DFU Driver;c:\windows\system32\DRIVERS\STCFUx32.SYS --> c:\windows\system32\DRIVERS\STCFUx32.SYS [?]
S3 UNITY2;UNITY2;c:\windows\system32\drivers\Unity2.sys [07.12.2004 09:39 53596]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - mfeavfk01
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-08-12 c:\windows\Tasks\User_Feed_Synchronization-{EBF4478B-A4A0-427F-A26C-7B343CD79EF0}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://www.alice-dsl.de/selfcare/content/segment/kundencenter/
uInternet Connection Wizard,ShellNext = hxxp://www.fujitsu-siemens.de/
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
AddRemove-Canon Digital Camera USB WIA Driver - c:\windows\IsUn0407.exe
AddRemove-Canon PhotoStitch 3.1 - c:\windows\IsUn0407.exe
AddRemove-Canon Utilities RAW Image Converter - c:\windows\IsUn0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-PhotoRecord - c:\windows\IsUn0407.exe
AddRemove-RemoteCapture - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-12 09:38
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3824317525-2962714073-58467967-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e9,47,71,87,4d,6e,72,47,b3,e5,6e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e9,47,71,87,4d,6e,72,47,b3,e5,6e,\
.
Zeit der Fertigstellung: 2011-08-12  09:41:04
ComboFix-quarantined-files.txt  2011-08-12 07:40
.
Vor Suchlauf: 10 Verzeichnis(se), 20.650.504.192 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 20.752.363.520 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 8628A4F232E56901A83AD81C5D3B53A0

--- --- ---

Gehts noch weiter?

Swisstreasure · 11.08.2011, 23:14

Sagen Dir diese Ports etwas:

Zitat:

"2638:TCP"= 2638:TCP:ASA_DBE
"2638:UDP"= 2638:UDP:ASA_DBE
"49152:TCP"= 49152:TCP:ASA_DBE
"49152:UDP"= 49152:UDP:ASA_DBE
"49153:TCP"= 49153:TCP:ASA_DBE
"49153:UDP"= 49153:UDP:ASA_DBE

fritzman · 11.08.2011, 23:19

Nein das sagt mir überhaupt nichts, aber ich bin da auch eher ein Laie.
Der Rechner war vorher ein Firmenrechner der ausgemustert wurde und sicher ist da auch noch das ein oder andere von meiner Firma drauf.

fritzman · 11.08.2011, 23:47

So, ich werde mich für heute mal vom Acker machen, ich höre das Bett ganz deutlich rufen;-) Ich freue mich sehr, dass wir heute so weit gekommen sind und bedanke mich schon mal sehr herzlich für Deine Zeit und Mühe.
Ich schau morgen natürlich wieder rein, ob noch weitere Schritte nötig sind.
Nochmals Danke und eine gute Nacht
VG Fritz

Swisstreasure · 12.08.2011, 21:55

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

LOG File für BRK Virus, wie gehts weiter?

Log-Analyse und Auswertung: LOG File für BRK Virus, wie gehts weiter?