Ich versuche, das Notebook von einem Freund zu entwanzen. Er hat Vista 32-Bit drauf und sich den Antimalware Doctor und noch andere Malware eingefangen. Außerdem bringt Vista sofort die Meldung "Kritischer Fehler, System wird heruntergerfahren" sobald man online geht. Das Herunterfahren habe ich in der Systemsteuerung abgestellt, aber es ist wohl ein Hinweis darauf, dass etwas noch nicht in Ordnung ist auf dem System.

Zunächst habe ich ein wenig planlos herumgedoktert (bevor ich auf dieses Forum stieß), mit Malwarebytes einen einen Komplettscan gemacht und ein paar Funde entfernt.

Jetzt habe ich nochmal komplett alle Schritte von vorne gemacht, d.h. mit CCleaner aufgeräumt, neu gebootet, Malwarebytes aktualisiert und einen Komplettscan gemacht und RSIT laufen lassen. Hier sind die Resultate:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4451

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

20.08.2010 19:00:12
mbam-log-2010-08-20 (19-00-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 218104
Laufzeit: 41 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.08 (written by random/random)
Run by mathias grot at 2010-08-20 19:13:01
Microsoft« Windows VistaÖ Home Premium  
System drive C: has 13 GB (14%) free of 94 GB
Total RAM: 2046 MB (53% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\User_Feed_Synchronization-{A1F4FE0B-7504-454F-9783-1D39ADA99147}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-10-28 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - Veoh Web Player Video Finder - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll [2008-11-04 463872]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2007-09-25 1006264]
"StartCCC"=c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-04-10 4431872]
"SMSERIAL"=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe [2006-11-22 630784]
"IAAnotif"=C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [2007-05-04 174872]
"IaNvSrv"=C:\Program Files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe [2007-05-04 33048]
"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2007-02-26 153136]
"Samsung PanelMgr"=C:\Windows\Samsung\PanelMgr\SSMMgr.exe [2007-01-02 520192]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"MSConfig"=C:\Windows\system32\msconfig.exe [2006-11-02 222208]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2009-10-28 198160]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\herbert.exe [2010-04-29 1090952]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-09-14 1232896]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2006-11-02 125440]
"cesmxwnaro.exe"=C:\Users\mathias grot\AppData\Local\Temp\cesmxwnaro.exe [2010-08-19 42496]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kwyoc]
c:\users\mathias grot\appdata\local\kwyoc.exe kwyoc []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Program Files\Windows Live\Messenger\msnmsgr.exe /background []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe [2008-11-04 3522296]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\aawservice]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-08-20 19:13:01 ----D---- C:\rsit
2010-08-20 19:13:01 ----D---- C:\Program Files\trend micro
2010-08-20 17:58:36 ----D---- C:\Program Files\CCleaner
2010-08-20 13:12:59 ----D---- C:\Users\mathias grot\AppData\Roaming\Malwarebytes
2010-08-20 13:12:49 ----A---- C:\Windows\system32\drivers\mbamswissarmy.sys
2010-08-20 13:12:47 ----D---- C:\ProgramData\Malwarebytes
2010-08-20 13:12:47 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-08-20 13:12:47 ----A---- C:\Windows\system32\drivers\mbam.sys
2010-08-19 21:33:27 ----A---- C:\Windows\system32\drivers\lwyqplx.sys
2010-08-19 21:32:49 ----D---- C:\Users\mathias grot\AppData\Roaming\xdwtnnknl
2010-08-19 21:31:50 ----D---- C:\Users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04

======List of files/folders modified in the last 1 months======

2010-08-20 19:13:01 ----RD---- C:\Program Files
2010-08-20 19:12:58 ----D---- C:\Windows\Temp
2010-08-20 18:04:21 ----D---- C:\Windows\Minidump
2010-08-20 18:04:21 ----D---- C:\Windows\Debug
2010-08-20 18:04:21 ----D---- C:\Windows
2010-08-20 15:11:01 ----D---- C:\Users\mathias grot\AppData\Roaming\OpenOffice.org2
2010-08-20 15:10:26 ----D---- C:\Windows\system32\drivers
2010-08-20 15:09:17 ----RD---- C:\Windows\Offline Web Pages
2010-08-20 14:01:00 ----D---- C:\Windows\ehome
2010-08-20 13:12:47 ----HD---- C:\ProgramData
2010-08-20 13:11:26 ----D---- C:\Windows\Prefetch
2010-08-20 12:36:53 ----D---- C:\Windows\System32
2010-08-20 12:36:53 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-08-20 12:36:52 ----D---- C:\Windows\inf
2010-08-19 17:35:59 ----SHD---- C:\System Volume Information
2010-08-12 07:55:47 ----D---- C:\Windows\system32\catroot2
2010-08-03 20:09:31 ----A---- C:\Windows\system32\mrt.exe
2010-07-24 10:17:28 ----D---- C:\Program Files\Mozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 iaNvStor;Intel(R) Turbo Memory  Technology NAND Controller; C:\Windows\system32\DRIVERS\iaNvStor.sys [2007-05-04 208896]
R0 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys [2007-02-12 277784]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2009-05-27 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-27 75096]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R2 SSPORT;SSPORT; \??\C:\Windows\system32\Drivers\SSPORT.sys [2006-12-08 5120]
R3 atikmdag;atikmdag; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-04-11 2589696]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2009-05-27 52056]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-04-10 1764960]
R3 itecir;ITECIR Infrared Receiver; C:\Windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]
R3 NETw3v32;Intel(R) PRO/Wireless 3945ABG-Adaptertreiber f³r Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
R3 RTL8169;Realtek 8169-NT-Treiber; C:\Windows\system32\DRIVERS\Rtlh86.sys [2006-11-02 44544]
R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys [2006-11-22 982272]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]
S0 JGOGO;JMicron Hot-Plug Driver; C:\Windows\system32\drivers\jgogo.sys [2006-02-07 6912]
S2 DgiVecp;DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [2006-12-08 41984]
S3 CVirtA;Cisco Systems VPN Adapter; C:\Windows\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschl³sselung; C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber f³r High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Microsoft Proxy f³r Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Microsoft Proxy f³r Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]
S3 NETw4v32;Intel(R) Wireless WiFi Link Adaptertreiber f³r Windows Vista 32 Bit; C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-02-25 2216448]
S3 usbvideo;USB-Videogerõt (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2006-11-02 132352]
S4 DNE;Deterministic Network Enhancer Miniport; C:\Windows\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2007-04-03 47872]
S4 nvatabus;nvatabus; C:\Windows\system32\drivers\nvatabus.sys [2006-07-14 105088]
S4 viamraid;viamraid; C:\Windows\system32\drivers\viamraid.sys [2006-03-31 100992]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aawservice;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-09-10 611664]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-27 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-27 151297]
R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-04-11 593920]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2007-05-04 355096]
S2 CLTNetCnService;Symantec Lic NetConnect service; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon []
S2 gupdate1c9cb4595762660;Google Update Service (gupdate1c9cb4595762660); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-05-02 133104]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-02-26 267824]
S4 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-07-20 262247]

-----------------EOF-----------------
         

Anschließend wollte ich mit GMER nach Rootkits suchen, aber GMER scheint irgendwann einzufrieren. Wie wäre das weitere Vorgehen?

Vielen Dank.

Nachtrag: Antivir Guard hatte ich ausgestellt und in GMER die Option IAT/EAT deaktiviert. GMER hängt bei \Cdfs. Danach ist keine Aktivität mehr bei der Platten-LED und der Rechner reagiert auf nichts (Alt-Tab, Ctrl-Alt-Del) mehr.

Sobald der Rechner eine Netzwerkverbindung hat, kommt ein Popup "Kritischer Fehler" und er fährt sich herunter.

Hier die installierten Programme laut CCleaner.

Code: Alles auswählenAufklappen

ATTFilter

AC3Filter (remove only)		19.05.2009	4,16MB	
Ad-Aware	Lavasoft	06.01.2009	29,3MB	7.1.0.7
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	28.06.2010		10.1.53.64
Adobe Flash Player 9 ActiveX	Adobe Systems, Inc.	24.09.2007	2,33MB	9.0.45.0
Adobe Reader 8.1.2 - Deutsch	Adobe Systems Incorporated	02.02.2009	99,8MB	8.1.2
Apple Software Update	Apple Inc.	29.10.2008	2,16MB	2.1.1.116
ATI Catalyst Install Manager	ATI Technologies, Inc.	13.09.2008	13,8MB	3.0.641.0
ATI Uninstaller	ATI Technologies, Inc.	13.09.2008	13,9MB	
Avira AntiVir Personal - Free Antivirus	Avira GmbH	15.09.2008	64,7MB	
CCleaner	Piriform	19.08.2010	2,91MB	2.34
DivX Codec	DivX, Inc.	05.07.2009	1,40MB	6.8.5
DivX Converter	DivX, Inc.	05.07.2009	30,4MB	7.1.0
DivX Player	DivX, Inc.	05.07.2009	15,4MB	7.2.0
DivX Plus DirectShow Filters	DivX, Inc.	05.07.2009	1,22MB	
DivX Web Player	DivX,Inc.	05.07.2009	2,93MB	1.5.0
Favorit		05.12.2008		
Free Audio CD Burner version 1.2	DVDVideoSoft Limited.	07.11.2009	2,60MB	
Free YouTube to MP3 Converter version 3.2	DVDVideoSoft Limited.	07.11.2009	2,36MB	
Intel® Turbo Memory und Intel® Matrix Storage Manager		13.09.2008	44,8MB	
Java(TM) 6 Update 17	Sun Microsystems, Inc.	06.12.2008	94,4MB	6.0.170
Java(TM) 6 Update 2	Sun Microsystems, Inc.	11.09.2009	160,7MB	1.6.0.20
Java(TM) 6 Update 4	Sun Microsystems, Inc.	16.09.2008	137,7MB	1.6.0.40
Java(TM) 6 Update 7	Sun Microsystems, Inc.	17.09.2008	136,2MB	1.6.0.70
Malwarebytes' Anti-Malware	Malwarebytes Corporation	19.08.2010	3,90MB	
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	05.06.2009	27,8MB	
Microsoft Silverlight	Microsoft Corporation	06.06.2010		4.0.50524.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	29.07.2009	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	24.09.2007	0,54MB	8.0.50727.42
Microsoft Works	Microsoft Corporation	10.12.2009		08.05.0822
Motorola SM56 Data Fax Modem		24.09.2007	1,72MB	
Mozilla Firefox (3.6.8)	Mozilla	23.07.2010	34,1MB	3.6.8 (de)
MSXML 4.0 SP2 (KB936181)	Microsoft Corporation	24.09.2007	1,27MB	4.20.9848.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	14.11.2008	1,28MB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	25.11.2009	1,34MB	4.20.9876.0
Nero 7 Essentials	Nero AG	24.09.2007	376,7MB	7.02.5851
OpenOffice.org 2.4	OpenOffice.org	16.09.2008	342,5MB	2.4.9310
PowerDV	CyberLink Corporation	13.09.2008	51,2MB	2.0.1812
RealPlayer	RealNetworks	27.10.2009	67,7MB	
Realtek High Definition Audio Driver		24.09.2007		
Samsung ML-2010 Series	Samsung Electronics CO.,LTD	14.09.2008	77,9MB	
Skype™ 3.8	Skype Technologies S.A.	27.10.2008	29,8MB	3.8.180
Trillian		13.09.2008	25,9MB	
Uninstall 1.0.0.1		07.11.2009	16,2MB	
VLC media player 0.9.0-test2	VideoLAN Team	13.09.2008	55,3MB	0.9.0-test2
Windows Live Sync	Microsoft Corporation	12.02.2009	2,80MB	14.0.8064.206
WinRAR		13.09.2008	3,66MB
         

Hm, wollte gerade einen Screenshot der "Kritscher Fehler" Meldung probieren, aber diesmal kam sie gar nicht. Eine Netzwerkverbindung besteht (ping www.heise.de klappt), aber Windows Update meldet: Es konnte nicht nach neuen Updates gesucht werden. Fehler bei der Suche nach neuen Updates für Ihren Computer. Code 80072EFD Unbekannter Fehler.

Hallo und

Es fehlt noch die info.txt von RSIT, die findest du im Ordner C:\rsit.

Deinstalliere vorab: Favorit

Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread.

ciao, andreas

Hallo und danke, dass Du Dich meines Problems angenommen hast.

Info.txt

RSIT Logfile:RSIT Logfile:RSIT Logfile:

Code: Alles auswählenAufklappen

ATTFilter

logfile of random's system information tool 1.08 2010-08-20 19:13:05

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
AC3Filter (remove only)-->C:\Program Files\AC3Filter\uninstall.exe
Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -maintain plugin
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{8186E1B9-DDC6-45B6-B9EB-C28947CBC4CF}
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI Uninstaller-->C:\Program Files\ATI\CIM\Bin\Atisetup.exe -uninstall all
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Favorit-->c:\users\mathias grot\appdata\local\ydejteae.bat
Free Audio CD Burner version 1.2-->"C:\Program Files\DVDVideoSoft\Free Audio CD Burner\unins000.exe"
Free YouTube to MP3 Converter version 3.2-->"C:\Program Files\DVDVideoSoft\Free YouTube to MP3 Converter\unins000.exe"
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel® Turbo Memory und Intel® Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4D17-9E7F-6B3FF8D9BBE3}
Motorola SM56 Data Fax Modem-->rundll32.exe sm56co6a.dll,SM56UnInstaller
Mozilla Firefox (3.6.8)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 7 Essentials-->MsiExec.exe /X{81CD6232-10F5-4832-B3DA-1B88B1571031}
OpenOffice.org 2.4-->MsiExec.exe /I{43721D86-16D1-46BF-8353-37CD82333BC3}
PowerDV-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B804C424-B66D-447A-84BD-C6B88C392C3A}\setup.exe"  -uninstall
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Samsung ML-2010 Series-->C:\Program Files\Samsung\Samsung ML-2010 Series\Install\Setup.exe /R
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Trillian-->C:\Program Files\Trillian\trillian.exe /uninstall
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VLC media player 0.9.0-test2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Sync-->MsiExec.exe /X{ED636101-1959-4360-8BF7-209436E7DEE4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

192.168.10.209	vdr

======Security center information======

AV: Avira AntiVir PersonalEdition
AS: Windows-Defender

======System event log======

Computer Name: mathiasgrot-PC
Event Code: 4
Message: Der Druckspooler konnte eine vorhandene Druckerverbindung nicht erneut öffnen, weil er die Konfigurationsinformationen aus dem Registrierungsschlüssel S-1-5-18\Printers\Connections nicht lesen konnte. Der Druckspooler konnte den Registerierungsschlüssel nicht öffnen. Es könnte sein, dass der Registrierungsschlüssel beschädigt ist oder fehlt oder dass die Registrierung nicht mehr verfügbar ist.
Record Number: 550186
Source Name: Microsoft-Windows-SpoolerWin32SPL
Time Written: 20100820162102.000000-000
Event Type: Warnung
User: 

Computer Name: mathiasgrot-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 550187
Source Name: Service Control Manager
Time Written: 20100820163039.000000-000
Event Type: Informationen
User: 

Computer Name: mathiasgrot-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Ausgeführt".
Record Number: 550188
Source Name: Service Control Manager
Time Written: 20100820163147.000000-000
Event Type: Informationen
User: 

Computer Name: mathiasgrot-PC
Event Code: 7036
Message: Dienst "Windows Modules Installer" befindet sich jetzt im Status "Beendet".
Record Number: 550189
Source Name: Service Control Manager
Time Written: 20100820164147.000000-000
Event Type: Informationen
User: 

Computer Name: mathiasgrot-PC
Event Code: 7036
Message: Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" befindet sich jetzt im Status "Beendet".
Record Number: 550190
Source Name: Service Control Manager
Time Written: 20100820164716.000000-000
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: mathiasgrot-PC
Event Code: 20
Message: 
Record Number: 41244
Source Name: Google Update
Time Written: 20100820161723.000000-000
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: mathiasgrot-PC
Event Code: 0
Message: 
Record Number: 41245
Source Name: gupdate1c9cb4595762660
Time Written: 20100820161750.000000-000
Event Type: Informationen
User: 

Computer Name: mathiasgrot-PC
Event Code: 20
Message: 
Record Number: 41246
Source Name: Google Update
Time Written: 20100820161907.000000-000
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

Computer Name: mathiasgrot-PC
Event Code: 1
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.
Record Number: 41247
Source Name: SecurityCenter
Time Written: 20100820161916.000000-000
Event Type: Informationen
User: 

Computer Name: mathiasgrot-PC
Event Code: 20
Message: 
Record Number: 41248
Source Name: Google Update
Time Written: 20100820163112.000000-000
Event Type: Fehler
User: NT-AUTORITÄT\SYSTEM

=====Security event log=====

Computer Name: mathiasgrot-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys	
Record Number: 102745
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100820165833.884300-000
Event Type: Überwachung gescheitert
User: 

Computer Name: mathiasgrot-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys	
Record Number: 102746
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100820165833.915500-000
Event Type: Überwachung gescheitert
User: 

Computer Name: mathiasgrot-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys	
Record Number: 102747
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100820165833.962300-000
Event Type: Überwachung gescheitert
User: 

Computer Name: mathiasgrot-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys	
Record Number: 102748
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100820165834.024700-000
Event Type: Überwachung gescheitert
User: 

Computer Name: mathiasgrot-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume3\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys	
Record Number: 102749
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100820165834.055900-000
Event Type: Überwachung gescheitert
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;c:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\DivX Shared\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=0f0a
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------
         

--- --- ---

RootRepeal wirft beim Start diesen Fehler:

Danach kommt man zum Startbildschirm, aber ein Versuch zu scannen wird quittiert mit

(Avira disabled, als Admin gestartet)

Zitat:

======Hosts File======

192.168.10.209 vdr

Was sagt dir vdr?

Zitat:

RootRepeal wirft beim Start diesen Fehler

Dann den nächsten, einer wird schon laufen.

Rootkitsuche mit SysProt

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Zitat:

Zitat von john.doe

Was sagt dir vdr?

Video disk recorder, kenn ich nur unter linux, da ist es ein TV-Recorder und Streaming Server. Sieht ok aus.

Zitat:

Dann den nächsten, einer wird schon laufen.

Ok, scanning...

Hoppla, das ging schneller als erwartet:

Code: Alles auswählenAufklappen

ATTFilter

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: C:\Windows\System32\Drivers\lwyqplx.sys
Service Name: lwyqplx
Module Base: 80739000
Module End: 80800000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 8EF42000
Module End: 8F000000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\SPP
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\{04006daf-98df-11df-ae8e-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{066f1135-a45a-11df-a0a1-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{0ed45c18-9d40-11df-b923-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{0f27af63-7f6d-11df-93fe-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{0f27af72-7f6d-11df-93fe-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{105929a1-8d2a-11df-9916-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{10dc2325-7520-11df-9aa2-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{10dc2333-7520-11df-9aa2-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{1349734b-9a50-11df-b0ac-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{1664e9b7-7b70-11df-9202-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{1d205046-a1fe-11df-a94e-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{2f5c27dd-873a-11df-9f3e-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{30ec0e99-9186-11df-9ad0-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{325cdb31-84e2-11df-8198-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{37863750-8ea1-11df-85db-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{389334a6-7aa8-11df-a603-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{3b1f470a-89e5-11df-9c4b-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{3b1f4718-89e5-11df-9c4b-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{45b6e53d-93c6-11df-a02e-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{55a382f4-8fda-11df-98a3-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{57587458-9ba2-11df-b5fc-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{57587478-9ba2-11df-b5fc-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{5d97efdc-8f12-11df-8d0a-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{63ce5d34-aba5-11df-8d84-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{656cd2a6-9239-11df-987d-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{6734d149-9499-11df-beff-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{688cb8e8-885c-11df-bfd5-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{739d48ab-a960-11df-8f48-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{77507e53-a130-11df-996f-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{79d69be3-9af9-11df-8c38-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7df58cd0-9308-11df-9560-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7df58cde-9308-11df-9560-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7e0e7d86-7393-11df-abad-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{7f4dcc71-a5d5-11df-a67a-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{825046a7-80f5-11df-85c1-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{82d313b0-8dd5-11df-b849-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{841e1f09-82b0-11df-87a9-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{860c1f8d-90b5-11df-bb92-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{86388a3d-746d-11df-ac93-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{8aee81a4-9686-11df-bef8-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{8ced5aac-73a1-11df-853d-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{8df26ed5-7d52-11df-9d18-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{96055acf-7e8d-11df-8a7d-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{9c2bef4d-a065-11df-948c-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{a69d558c-9e16-11df-9f5f-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{a69d55a5-9e16-11df-9f5f-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{ade07ad1-9559-11df-b0a8-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{ade07adf-9559-11df-b0a8-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{afd330fc-9038-11df-be20-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{bc989fdc-9cc4-11df-80f4-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{bdbefe68-8e46-11df-9de4-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{bfcbbf80-a6be-11df-b78b-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{cdc43b2e-8d83-11df-bfb9-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{d008031a-8027-11df-a9f5-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{d6efaaa8-aaa3-11df-9413-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{dd01a26c-8672-11df-a069-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{dd0a2901-8416-11df-9242-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{e222862a-7c66-11df-af6d-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{e2442f1c-9954-11df-bf3c-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{ed275210-8b50-11df-bffe-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{f16b21d9-77cf-11df-9a15-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{f4c683bc-85af-11df-ab91-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{f5374584-a51e-11df-a639-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: D:\System Volume Information\{fd79fe28-79e0-11df-b1dc-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\SPP
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{63ce5d33-aba5-11df-8d84-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{739d48aa-a960-11df-8f48-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{7f4dcc70-a5d5-11df-a67a-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{bfcbbf7f-a6be-11df-b78b-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\System Volume Information\{d6efaaa7-aaa3-11df-9413-00030d6fe1d4}{3808876b-c176-4e48-b7ae-04046e6cc752}
Status: Access denied

Object: C:\Users\mathias grot\Pictures\ka¨nguru-kind.png
Status: Hidden

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl
Status: Access denied

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl
Status: Access denied
         

Mist, sollte ich nicht Admin gewesen sein? Ich probiers nochmal...

Nee, ich hab es mit Rechtsklick - als Administrator ausgeführt. Trotzdem lauter Access Denieds. *kopfkratz*

Zitat:

Trotzdem lauter Access Denieds

Passt schon, that's M$.

Zitat:

Video disk recorder, kenn ich nur unter linux,

Ebenttt. Ergibt überhaupt keinen Sinn an dieser Stelle, aber ist ja nicht so schlimm, ist ja nicht mein Rechner.

Du hast die Wahl zwischen Avenger und ComboFix. Mir persönlich wäre ComboFix lieber, ich vermute da noch mehr, ist aber deine Entscheidung.

ciao, andreas

Ok, danke. Auf geht's mit ComboFix...

Hosts-Datei ist ja eh nicht wild, ein 192.168er-Netz kann nix Böses sein (vor allem, wenn er zu Hause 192.168.1 hat .

Zitat:

or allem, wenn er zu Hause 192.168.1

Dann macht es noch weniger Sinn. Der stört mich, wech damit.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ok, ComboFix hat das hier ausgeworfen

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-19.02 - mathias grot 20.08.2010  21:15:44.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1333 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\mathias grot\AppData\Local\kwyoc.dat
c:\users\mathias grot\AppData\Local\kwyoc_nav.dat
c:\users\mathias grot\AppData\Local\kwyoc_navps.dat
c:\users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04
c:\users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04\enemies-names.txt
c:\users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04\local.ini
c:\users\mathias grot\AppData\Roaming\3CCD00A54774D2828984593391155E04\lsrslt.ini
c:\users\mathias grot\Documents\Registry Backup.reg

.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-20 bis 2010-08-20  ))))))))))))))))))))))))))))))
.

2010-08-20 19:18 . 2010-08-20 19:19	--------	d-----w-	c:\users\mathias grot\AppData\Local\temp
2010-08-20 19:18 . 2010-08-20 19:18	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	C:\rsit
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	c:\program files\trend micro
2010-08-20 15:58 . 2010-08-20 15:58	--------	d-----w-	c:\program files\CCleaner
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 11:12 . 2010-08-20 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-19 19:32 . 2010-08-20 13:09	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\xdwtnnknl
2010-08-19 19:32 . 2010-08-20 13:09	--------	d-----w-	c:\users\mathias grot\AppData\Local\xdwtnnknl

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 13:11 . 2008-09-17 11:14	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2
2010-08-20 10:36 . 2006-11-02 15:33	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-08-20 10:36 . 2006-11-02 15:33	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-07-30 09:36 . 2008-09-17 11:15	1	----a-w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-06-27 22:06 . 2008-10-28 21:20	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Skype
2010-06-27 22:05 . 2008-10-28 21:22	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\skypePM
2010-06-16 21:33 . 2010-06-16 21:33	1079048	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-29 02:40 . 2010-03-03 09:13	443912	----a-w-	c:\users\mathias grot\AppData\Roaming\Real\Update\setup3.10\setup.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-14 1232896]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-09-25 1006264]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-03 174872]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-03 33048]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-01-02 520192]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\herbert.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2008-11-03 22:45	3522296	----a-w-	c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1c9cb4595762660;Google Update Service (gupdate1c9cb4595762660);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 133104]
S0 iaNvStor;Intel(R) Turbo Memory  Technology NAND Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-05-03 208896]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2006-12-08 5120]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - lwyqplx
.
Inhalt des "geplante Tasks" Ordners

2010-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 16:46]

2010-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 16:46]

2010-08-20 c:\windows\Tasks\User_Feed_Synchronization-{A1F4FE0B-7504-454F-9783-1D39ADA99147}.job
- c:\windows\system32\msfeedssync.exe [2010-04-07 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
TCP: {80421AE8-53A1-4018-9AB5-663EB61CE6F9} = 192.168.1.1
FF - ProfilePath - c:\users\mathias grot\AppData\Roaming\Mozilla\Firefox\Profiles\1d3be6za.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-kwyoc - c:\users\mathias grot\appdata\local\kwyoc.exe
MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-20 21:19
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lwyqplx]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2010-08-20  21:20:44
ComboFix-quarantined-files.txt  2010-08-20 19:20

Vor Suchlauf: 14 Verzeichnis(se), 13.148.827.648 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 12.888.621.056 Bytes frei

- - End Of File - - 7660CE164B47A69AC0CB69CC23DC3771
         

Hoppla, da war ich etwas zu vorschnell. Ich hatte ComboFix nicht vorher umbenannt, aber ansonsten alles richtig gemacht (Antivir Guard gestoppt).

CCleaner hatte ich ja schon ganz am Anfang ordnungsgemäß ausgeführt.

Zitat:

Ich hatte ComboFix nicht vorher umbenannt

Macht nix, ist nur notwendig bei den TDSS-Varianten. Die sind es hier aber nicht.

Deinstalliere (falls noch vorhanden):

• Favorit
• Google Update Helper

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/89787-antimalware-doctor-und-weitere-entfernt-aber-gmer-haengt-sauber.html

Collect::
C:\Windows\system32\drivers\lwyqplx.sys

DirLook::
C:\Users\mathias grot\AppData\Roaming\xdwtnnknl
c:\users\mathias grot\AppData\Local\xdwtnnknl
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit: Das hier könnte eine legitime Datei sein:

Zitat:

c:\users\mathias grot\Documents\Registry Backup.reg

Falls die von dir angelegt wurde, müssen wir die wiederherstellen.

Edit2: Ist der VeohPlayer bewusst installiert worden?

Favorit ließ sich irgendwie nicht installieren, wird aber ohne Dateigröße angezeigt unter "Programme".

ComboFix wollte in dem Durchlauf einmal neu booten, wollte dann eine Internetverbindung und hat das Angehängte ausgespuckt (war zu groß für [.code.] und auch sogar als Zip zu groß, daher gekürzt:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-19.02 - mathias grot 20.08.2010  22:00:34.2.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1153 [GMT 2:00]
ausgeführt von:: F:\ComboFix.exe
Benutzte Befehlsschalter :: F:\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

file zipped: c:\windows\system32\drivers\lwyqplx.sys
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\lwyqplx.sys . . . . Nicht in der Lage zu löschen

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_lwyqplx
-------\Service_lwyqplx


(((((((((((((((((((((((   Dateien erstellt von 2010-07-20 bis 2010-08-20  ))))))))))))))))))))))))))))))
.

2010-08-20 20:04 . 2010-08-20 20:07	--------	d-----w-	c:\users\mathias grot\AppData\Local\temp
2010-08-20 20:04 . 2010-08-20 20:04	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	C:\rsit
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	c:\program files\trend micro
2010-08-20 15:58 . 2010-08-20 15:58	--------	d-----w-	c:\program files\CCleaner
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 11:12 . 2010-08-20 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-19 19:32 . 2010-08-20 13:09	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\xdwtnnknl
2010-08-19 19:32 . 2010-08-20 13:09	--------	d-----w-	c:\users\mathias grot\AppData\Local\xdwtnnknl

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 13:11 . 2008-09-17 11:14	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2
2010-08-20 10:36 . 2006-11-02 15:33	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-08-20 10:36 . 2006-11-02 15:33	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-07-30 09:36 . 2008-09-17 11:15	1	----a-w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-06-27 22:06 . 2008-10-28 21:20	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Skype
2010-06-27 22:05 . 2008-10-28 21:22	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\skypePM
2010-06-16 21:33 . 2010-06-16 21:33	1079048	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-29 02:40 . 2010-03-03 09:13	443912	----a-w-	c:\users\mathias grot\AppData\Roaming\Real\Update\setup3.10\setup.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\mathias grot\AppData\Local\xdwtnnknl ----


---- Directory of c:\users\mathias grot\AppData\Roaming\xdwtnnknl ----



(((((((((((((((((((((((((((((   SnapShot@2010-08-20_19.19.05   )))))))))))))))))))))))))))))))))))))))))


--- K R A M   G E L O E S C H T ----



**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lwyqplx]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:000000b5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-20  22:10:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-20 20:10
ComboFix2.txt  2010-08-20 19:20

Vor Suchlauf: 17 Verzeichnis(se), 12.767.301.632 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 13.500.416.000 Bytes frei

- - End Of File - - 3D3DA860A764D8D807A45ED9BB1A391C
Hochladen war erfolgreich
         

Danach kam wieder die Meldung Kritischer Fehler und Windows hat neu gebootet. Der Reboot ließ sich auch nicht mit shutdown -a in der Konsole verhindern. Auch die entsprechene Einstellung in der Systemsteuerung wurde ignoriert.

Ist der VeohPlayer bewusst installiert worden?

Zitat:

Favorit ließ sich irgendwie nicht installieren, wird aber ohne Dateigröße angezeigt unter "Programme".

Räume zum Schluß mit CCleaner die Registry auf, dann verschwindet der.

Zitat:

ComboFix wollte in dem Durchlauf einmal neu booten

Das wird noch mehrfach auf dich zukommen.

Zitat:

und auch sogar als Zip zu groß, daher gekürzt:

In den Anhang kannst du IMHO 100kB txt-Dateien packen.

Das hier könnte eine legitime Datei sein:

Zitat:

c:\users\mathias grot\Documents\Registry Backup.reg

Falls die von dir angelegt wurde, müssen wir die wiederherstellen.

Zitat:

Danach kam wieder die Meldung Kritischer Fehler und Windows hat neu gebootet.

Weil es soviel Spaß gemacht hat, gleich nocheinmal.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Rootkit::
C:\Windows\system32\drivers\lwyqplx.sys

Folder::
C:\Users\mathias grot\AppData\Roaming\xdwtnnknl
c:\users\mathias grot\AppData\Local\xdwtnnknl
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Voilà

[code]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-08-19.02 - mathias grot 20.08.2010  22:51:20.3.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1256 [GMT 2:00]
ausgeführt von:: c:\users\mathias grot\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\mathias grot\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\mathias grot\AppData\Local\xdwtnnknl
c:\users\mathias grot\AppData\Roaming\xdwtnnknl

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_lwyqplx
-------\Service_lwyqplx


(((((((((((((((((((((((   Dateien erstellt von 2010-07-20 bis 2010-08-20  ))))))))))))))))))))))))))))))
.

2010-08-20 20:54 . 2010-08-20 20:57	--------	d-----w-	c:\users\mathias grot\AppData\Local\temp
2010-08-20 20:54 . 2010-08-20 20:54	--------	d-----w-	c:\users\Public\AppData\Local\temp
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	C:\rsit
2010-08-20 17:13 . 2010-08-20 17:13	--------	d-----w-	c:\program files\trend micro
2010-08-20 15:58 . 2010-08-20 15:58	--------	d-----w-	c:\program files\CCleaner
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 11:12 . 2010-08-20 12:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-20 11:12 . 2010-08-20 11:12	--------	d-----w-	c:\programdata\Malwarebytes
2010-08-20 11:12 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-19 19:33 . 2010-08-20 20:55	786432	----a-w-	c:\windows\system32\drivers\lwyqplx.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 13:11 . 2008-09-17 11:14	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2
2010-08-20 10:36 . 2006-11-02 15:33	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-08-20 10:36 . 2006-11-02 15:33	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-07-30 09:36 . 2008-09-17 11:15	1	----a-w-	c:\users\mathias grot\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-06-27 22:06 . 2008-10-28 21:20	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\Skype
2010-06-27 22:05 . 2008-10-28 21:22	--------	d-----w-	c:\users\mathias grot\AppData\Roaming\skypePM
2010-06-16 21:33 . 2010-06-16 21:33	1079048	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-29 02:40 . 2010-03-03 09:13	443912	----a-w-	c:\users\mathias grot\AppData\Roaming\Real\Update\setup3.10\setup.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-14 1232896]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-09-25 1006264]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-05-03 174872]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-05-03 33048]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 153136]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-01-02 520192]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\herbert.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2008-11-03 22:45	3522296	----a-w-	c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1c9cb4595762660;Google Update Service (gupdate1c9cb4595762660);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 133104]
S0 iaNvStor;Intel(R) Turbo Memory  Technology NAND Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-05-03 208896]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2007-04-04 46592]

.
Inhalt des "geplante Tasks" Ordners

2010-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 16:46]

2010-08-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-02 16:46]

2010-08-20 c:\windows\Tasks\User_Feed_Synchronization-{A1F4FE0B-7504-454F-9783-1D39ADA99147}.job
- c:\windows\system32\msfeedssync.exe [2010-04-07 04:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
TCP: {80421AE8-53A1-4018-9AB5-663EB61CE6F9} = 192.168.1.1
FF - ProfilePath - c:\users\mathias grot\AppData\Roaming\Mozilla\Firefox\Profiles\1d3be6za.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-20 22:57
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:000000b5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\windows\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-20  23:00:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-20 20:59
ComboFix2.txt  2010-08-20 20:12
ComboFix3.txt  2010-08-20 19:20

Vor Suchlauf: 18 Verzeichnis(se), 13.131.677.696 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 12.963.430.400 Bytes frei

- - End Of File - - 310C7237FCDBB1ADFE17FD4B489A5396
         

--- --- ---