ja ich habe einen Router, aber ich habe nichts geändert problem ist ich kann den Router nicht zurücksetzten da es ein Firmennetzwerk ist ;-)

Zitat:

nicht zurücksetzten da es ein Firmennetzwerk ist

Hehe
Admin/EDV-Abteilung fragen oder bist du Admin?

ich bin kein Admin, aber was echt bitter ist ich musste gerade feststellen das ich von meinem Rechner auf den Router komme und Einstellungen vornehmen kann ohne Passwort........das ist doch nicht normal.......

Welcher Router? Dein Router zuhause oder der in der Firma? Welches Modell habt ihr da und warum musst du dich um Kram kümmern wenn ihr einen Admin habt?

nee den Router in der Firma meine ich, nee wir haben kein Admin kann die Firma sich nicht leisten, ich kümmer mich um diese Angelegenheiten so gut es geht.

Und um welches genaue Gerät (Modellname) es da jetzt geht, möchtest du nicht verraten?
Ist die Umleitung nur auf diesen einen Rechner oder auf allen?

es geht um eine Fritzbox, die Umleitung ist nur bei mir

Sieh zu, dass die Fritzbox ein sicheres Passwort bekommt, von einem sauberen Rechner aus!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so hier das Combo Fix ergebniss.......

nun zeigt Kaspersky an das er was verdächtiges gefunden hat handle viewer in c:Windows\system32\drivers\procexp113.sys kaspersky sagt das ein programm versucht heimlich einen Treiber zu laden.
Dann steht da noch Prozess PID 2812 C.\Cofi\handle.cfxxe
Allerdings ist diese Datei in Kaspersky drin, aber ich kann sie nicht in quarantäne verschieben, jdes mal sagt er ich soll eine Datei öffnen, aber welche ?

^Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-14.03 - wsxp10 15.06.2011  16:24:07.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2039.1620 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\wsxp10\Desktop\cofi.exe
AV: Kaspersky Security Suite CBE 10 *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 10 *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
c:\windows\ST6UNST.000
c:\windows\windupdate
c:\windows\windupdate\vistas.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-16 bis 2011-06-16  ))))))))))))))))))))))))))))))
.
.
2011-06-16 05:23 . 2011-06-16 05:23	--------	d-----w-	c:\windows\LastGood
2011-06-14 12:09 . 2011-06-15 05:57	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Anwendungsdaten\Electronic Arts
2011-06-14 12:02 . 2011-06-15 05:51	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\Unity
2011-06-14 06:27 . 2003-10-02 13:38	159744	----a-w-	c:\windows\system32\igfxres.dll
2011-06-14 06:19 . 2004-08-04 12:00	29184	-c--a-w-	c:\windows\system32\dllcache\sm8cw.dll
2011-06-14 06:18 . 2004-08-04 12:00	5632	-c--a-w-	c:\windows\system32\dllcache\kbdfa.dll
2011-06-14 06:17 . 2004-08-04 12:00	24064	-c--a-w-	c:\windows\system32\dllcache\compfilt.dll
2011-06-14 06:14 . 2004-08-04 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2011-06-14 06:14 . 2004-08-04 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2011-06-14 05:59 . 2004-08-04 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2011-06-14 05:59 . 2004-08-04 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2011-06-14 05:59 . 2004-08-04 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2011-06-14 05:59 . 2004-08-04 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2011-06-14 05:59 . 2004-08-04 12:00	14043	----a-r-	c:\windows\SETFF.tmp
2011-06-14 05:59 . 2004-08-04 12:00	1086058	----a-r-	c:\windows\SETF3.tmp
2011-06-14 05:58 . 2004-08-04 12:00	1014663	----a-r-	c:\windows\SETF0.tmp
2011-06-09 11:16 . 2011-06-14 05:23	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\FreePDF_XP
2011-06-09 11:12 . 2011-06-09 11:33	--------	d-----w-	c:\programme\FreePDF_XP
2011-06-09 11:12 . 2011-06-09 11:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreePDF
2011-06-08 05:35 . 2011-06-08 05:35	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2011-06-06 10:38 . 2011-06-07 05:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-06-01 06:03 . 2011-06-01 06:03	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-06-01 05:55 . 2011-06-01 05:57	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\Philips-Songbird
2011-06-01 05:54 . 2011-06-01 05:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{F0489EF2-D393-4114-85BA-A94D71D89543}
2011-06-01 05:45 . 2011-06-01 05:47	--------	d-----w-	c:\windows\system32\drivers\UMDF
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-12 09:40	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-05-12 09:40	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-05 11:22 . 2008-02-12 08:11	499712	----a-w-	c:\windows\system32\msvcp71.dll
2011-04-13 13:20 . 2005-02-22 14:24	266240	----a-w-	c:\windows\Setup1.exe
2011-04-13 13:20 . 2005-02-22 14:24	74752	----a-w-	c:\windows\ST6UNST.EXE
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	197920	----a-w-	c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="d:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe" [2010-05-06 361120]
"Malwarebytes' Anti-Malware"="d:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3785740315-1487868374-1773097902-1141\Scripts\Logon\0\0]
"Script"=\\infocom.local\SysVol\infocom.local\scripts\Netzlaufwerk.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3785740315-1487868374-1773097902-1141\Scripts\Logon\1\0]
"Script"=Netzlaufwerk.bat
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^wsxp10^Startmenü^Programme^Autostart^Telefon- und Branchenbuch Frühjahr 2008 - Schnellstarter.lnk]
backup=c:\windows\pss\Telefon- und Branchenbuch Frühjahr 2008 - Schnellstarter.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^wsxp10^Startmenü^Programme^Autostart^WordPad.lnk]
backup=c:\windows\pss\WordPad.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-14 09:32	421160	----a-w-	d:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UxTuneUp"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"ose"=3 (0x3)
"MDM"=2 (0x2)
"Lavasoft Ad-Aware Service"=2 (0x2)
"idsvc"=3 (0x3)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
.
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14.10.2009 21:18 36880]
R2 elcapi20;elcapi20;c:\windows\system32\drivers\ELCAPI20.SYS [24.02.2010 18:35 151296]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [18.06.2003 02:00 51200]
R3 ElgTaDrv;elmeg USB Device Driver;c:\windows\system32\drivers\ElgTaDrv.sys [24.02.2010 18:23 73660]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [14.01.2005 15:14 481408]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 19:39 19472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [12.05.2011 11:40 22712]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [07.10.2010 14:34 10064]
S3 ASPI;Advanced SCSI Programming Interface Driver;\??\c:\windows\System32\DRIVERS\ASPI32.sys --> c:\windows\System32\DRIVERS\ASPI32.sys [?]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [14.01.2005 15:14 37568]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 15:42 32272]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [07.10.2010 09:21 28160]
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-10 c:\windows\Tasks\Automatische Wartung.job
- d:\programme\TuneUp Utilities 2011\OneClickStarter.exe [2010-10-26 13:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Hinzufügen zu Anti-Banner - d:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\ie_banner_deny.htm
TCP: Interfaces\{7E17E969-1880-4609-AA84-AF74A2B7FAC5}: NameServer = 192.168.100.11,192.168.100.100
FF - ProfilePath - c:\dokumente und einstellungen\wsxp10\Anwendungsdaten\Mozilla\Firefox\Profiles\9wnzh97d.Standard-Benutzer\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-16 07:28
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3640)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Bonjour\mDNSResponder.exe
d:\programme\Malwarebytes' Anti-Malware\mbamservice.exe
c:\windows\system32\HPZipm12.exe
d:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
d:\programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
c:\windows\SOUNDMAN.EXE
c:\dokumente und einstellungen\wsxp10\Desktop\TRC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-16  07:34:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-06-16 05:34
.
Vor Suchlauf: 3.370.405.888 Bytes frei
Nach Suchlauf: 3.196.940.288 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot
.
- - End Of File - - CEB7FA7A498CB9F31B4511E0955F0DA4
         

--- --- ---

Zitat:

Dann steht da noch Prozess PID 2812 C.\Cofi\handle.cfxxe

Du solltest den Virenscanner vor dem Ausführen von CF doch deaktivieren...

habe ich ????? komisch ????????

so hier nochmal das comfix ohne kaspersky zumindest habe ich diesmal drauf geachtet das ich es deaktivert habe.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-06-15.03 - wsxp10 16.06.2011  11:23:00.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2039.1614 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\wsxp10\Desktop\cofi.exe
AV: Kaspersky Security Suite CBE 10 *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Security Suite CBE 10 *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-16 bis 2011-06-16  ))))))))))))))))))))))))))))))
.
.
2011-06-16 09:21 . 2011-06-16 09:21	--------	d-----w-	C:\cofi
2011-06-16 05:23 . 2011-06-16 05:23	--------	d-----w-	c:\windows\LastGood
2011-06-14 12:02 . 2011-06-15 05:51	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\Unity
2011-06-14 06:27 . 2003-10-02 13:38	159744	----a-w-	c:\windows\system32\igfxres.dll
2011-06-14 06:19 . 2004-08-04 12:00	29184	-c--a-w-	c:\windows\system32\dllcache\sm8cw.dll
2011-06-14 06:18 . 2004-08-04 12:00	5632	-c--a-w-	c:\windows\system32\dllcache\kbdfa.dll
2011-06-14 06:17 . 2004-08-04 12:00	24064	-c--a-w-	c:\windows\system32\dllcache\compfilt.dll
2011-06-14 06:14 . 2004-08-04 12:00	16384	-c--a-w-	c:\windows\system32\dllcache\isignup.exe
2011-06-14 06:14 . 2004-08-04 12:00	16384	----a-w-	c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2011-06-14 05:59 . 2004-08-04 12:00	24661	-c--a-w-	c:\windows\system32\dllcache\spxcoins.dll
2011-06-14 05:59 . 2004-08-04 12:00	24661	----a-w-	c:\windows\system32\spxcoins.dll
2011-06-14 05:59 . 2004-08-04 12:00	13824	-c--a-w-	c:\windows\system32\dllcache\irclass.dll
2011-06-14 05:59 . 2004-08-04 12:00	13824	----a-w-	c:\windows\system32\irclass.dll
2011-06-14 05:59 . 2004-08-04 12:00	14043	----a-r-	c:\windows\SETFF.tmp
2011-06-14 05:59 . 2004-08-04 12:00	1086058	----a-r-	c:\windows\SETF3.tmp
2011-06-14 05:58 . 2004-08-04 12:00	1014663	----a-r-	c:\windows\SETF0.tmp
2011-06-09 11:16 . 2011-06-14 05:23	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\FreePDF_XP
2011-06-09 11:12 . 2011-06-09 11:33	--------	d-----w-	c:\programme\FreePDF_XP
2011-06-09 11:12 . 2011-06-09 11:27	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreePDF
2011-06-08 05:35 . 2011-06-08 05:35	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\IsolatedStorage
2011-06-06 10:38 . 2011-06-07 05:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-06-01 06:03 . 2011-06-01 06:03	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-06-01 05:55 . 2011-06-01 05:57	--------	d-----w-	c:\dokumente und einstellungen\wsxp10\Lokale Einstellungen\Anwendungsdaten\Philips-Songbird
2011-06-01 05:54 . 2011-06-01 05:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{F0489EF2-D393-4114-85BA-A94D71D89543}
2011-06-01 05:45 . 2011-06-01 05:47	--------	d-----w-	c:\windows\system32\drivers\UMDF
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-12 09:40	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-05-12 09:40	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-05 11:22 . 2008-02-12 08:11	499712	----a-w-	c:\windows\system32\msvcp71.dll
2011-04-13 13:20 . 2005-02-22 14:24	266240	----a-w-	c:\windows\Setup1.exe
2011-04-13 13:20 . 2005-02-22 14:24	74752	----a-w-	c:\windows\ST6UNST.EXE
2011-04-06 14:20 . 2011-04-06 14:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20	197920	----a-w-	c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="d:\programme\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe" [2010-05-06 361120]
"Malwarebytes' Anti-Malware"="d:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3785740315-1487868374-1773097902-1141\Scripts\Logon\0\0]
"Script"=\\infocom.local\SysVol\infocom.local\scripts\Netzlaufwerk.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3785740315-1487868374-1773097902-1141\Scripts\Logon\1\0]
"Script"=Netzlaufwerk.bat
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^wsxp10^Startmenü^Programme^Autostart^Telefon- und Branchenbuch Frühjahr 2008 - Schnellstarter.lnk]
backup=c:\windows\pss\Telefon- und Branchenbuch Frühjahr 2008 - Schnellstarter.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^wsxp10^Startmenü^Programme^Autostart^WordPad.lnk]
backup=c:\windows\pss\WordPad.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-04-14 09:32	421160	----a-w-	d:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UxTuneUp"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"ose"=3 (0x3)
"MDM"=2 (0x2)
"Lavasoft Ad-Aware Service"=2 (0x2)
"idsvc"=3 (0x3)
"TuneUp.UtilitiesSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
.
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14.10.2009 21:18 36880]
R2 elcapi20;elcapi20;c:\windows\system32\drivers\ELCAPI20.SYS [24.02.2010 18:35 151296]
R2 MBAMService;MBAMService;d:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [12.05.2011 11:40 366640]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [18.06.2003 02:00 51200]
R3 ElgTaDrv;elmeg USB Device Driver;c:\windows\system32\drivers\ElgTaDrv.sys [24.02.2010 18:23 73660]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [14.01.2005 15:14 481408]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 19:39 19472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [12.05.2011 11:40 22712]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [07.10.2010 14:34 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [26.10.2010 15:46 1483072]
S3 ASPI;Advanced SCSI Programming Interface Driver;\??\c:\windows\System32\DRIVERS\ASPI32.sys --> c:\windows\System32\DRIVERS\ASPI32.sys [?]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [14.01.2005 15:14 37568]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 15:42 32272]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [07.10.2010 09:21 28160]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-10 c:\windows\Tasks\Automatische Wartung.job
- d:\programme\TuneUp Utilities 2011\OneClickStarter.exe [2010-10-26 13:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
TCP: Interfaces\{7E17E969-1880-4609-AA84-AF74A2B7FAC5}: NameServer = 192.168.100.11,192.168.100.100
FF - ProfilePath - c:\dokumente und einstellungen\wsxp10\Anwendungsdaten\Mozilla\Firefox\Profiles\9wnzh97d.Standard-Benutzer\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-16 11:28
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3860)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-06-16  11:30:03
ComboFix-quarantined-files.txt  2011-06-16 09:30
ComboFix2.txt  2011-06-16 05:34
.
Vor Suchlauf: 3.179.749.376 Bytes frei
Nach Suchlauf: 3.165.863.936 Bytes frei
.
- - End Of File - - CE9B234B40F506286ACE965B2E169E68
         

--- --- ---

Stell uns bitte den Quarantäneordner von CF zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner Qurantine in C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

so alles ausgeführt wie beschrieben

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes