Hilfe ist mein PC komplett verseucht?

DropperGen · 13.06.2011, 10:46

Hallo ich habe ein großes Problem.
Immer wenn ich bei Google ein Suchergebniss anklicke werde ich oft auf andere Seiten weiter geleitet z.B. "Gomeo" oder "Iphone 4 Gewinnen" ich habe schon meine Virenscanner drüber laufen lassen und es wurden ca 10 Viren entdeckt und erfolgreich entfernt. Nun werde ich nicht mehr so oft weitergeleitet, aber das Problem ist immer noch nicht weg.
Mein 2. Prblem ist , ich habe einmal in meine Port Verbindungen rein geschaut und habe entdeckt, dass dort viele fremde IPs auf meinen Rechner zugreifen, unter anderen auch Gomeo obwohl ich alle Browser geschlossen hab.
Probelm 3 ich glaube, dass Viren auf meinem Rechner Dateien beschädigen, unter anderem funktionieren Hamachi und einige andere Programme wie MalewareBytes nicht mehr.

Leider hab ich die letzten 10 Viren die ich mit einem Scan gefunden habe schon gelöscht und weiss nciht mehr wie diese heissen, aber ich habe ich weiss noch, dass viele Trojaner und irgentwie so Black.Dropper.gen dabei waren. Ich bin grad dabei wieder zuscannen und es wurden wieder 2 Objekte gefunden diesmal hab ich die logdatei abgespeichert.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Anscheinend wurde mein ganzes Security Center verseucht.

markusg · 13.06.2011, 10:48

hi, du hast mit Malwarebytes 10 malware gefunden?
dann öffne es, klicke auf logdateien, und poste die logs mit den funden komplett.

DropperGen · 13.06.2011, 11:55

Also ich hab auch noch logs von den erfolgreich geblockten Ips die versuchen auf meinen Rechner zuzugreifen. Und den mit den vielen viren. Aber ich korrigiere mich nochmal ich habe die vielen viren mit Antivir gefunden und net mich malewarebytes.

Code:

ATTFilter

10:50:26	(null)	ERROR	Scheduled update failed:  I/O error failed with error code 0
11:06:07	Jerome	MESSAGE	Protection started successfully
11:06:12	Jerome	MESSAGE	IP Protection started successfully
11:10:04	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 50947, Process: chrome.exe)
11:10:04	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 50948, Process: chrome.exe)
11:10:04	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 50949, Process: chrome.exe)
11:10:04	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 50950, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 50953, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 50954, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 50955, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 50956, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 50958, Process: chrome.exe)
11:10:12	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 50959, Process: chrome.exe)
11:10:13	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 50960, Process: chrome.exe)
11:10:13	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 50961, Process: chrome.exe)
11:10:21	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 50963, Process: chrome.exe)
11:10:21	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 50964, Process: chrome.exe)
11:10:21	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 50965, Process: chrome.exe)
11:10:21	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 50966, Process: chrome.exe)
11:10:45	Jerome	IP-BLOCK	78.140.143.83 (Type: outgoing, Port: 50999, Process: chrome.exe)
11:11:01	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 51132, Process: svchost.exe)
11:11:01	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 51133, Process: svchost.exe)
11:11:01	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51163, Process: svchost.exe)
11:11:09	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51265, Process: svchost.exe)
11:11:17	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51281, Process: svchost.exe)
11:11:42	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51375, Process: svchost.exe)
11:11:50	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51404, Process: svchost.exe)
11:11:58	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51426, Process: svchost.exe)
11:11:58	Jerome	IP-BLOCK	78.140.152.61 (Type: outgoing, Port: 51450, Process: svchost.exe)
11:12:30	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51516, Process: svchost.exe)
11:14:15	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 51826, Process: svchost.exe)
11:21:11	Jerome	IP-BLOCK	213.163.64.143 (Type: outgoing, Port: 52032, Process: svchost.exe)
11:24:58	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 52199, Process: chrome.exe)
11:24:58	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 52200, Process: chrome.exe)
11:24:58	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 52203, Process: chrome.exe)
11:24:58	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 52204, Process: chrome.exe)
11:24:58	Jerome	IP-BLOCK	91.212.226.181 (Type: outgoing, Port: 52210, Process: chrome.exe)
11:25:56	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 52340, Process: svchost.exe)
11:25:57	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 52342, Process: svchost.exe)
11:26:05	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 52423, Process: svchost.exe)
11:26:05	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 52428, Process: svchost.exe)
11:26:29	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 52486, Process: svchost.exe)
11:26:37	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 52504, Process: svchost.exe)
11:26:37	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 52505, Process: svchost.exe)
11:26:53	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 52527, Process: chrome.exe)
11:26:53	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 52528, Process: chrome.exe)
11:26:53	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 52531, Process: chrome.exe)
11:26:53	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 52532, Process: chrome.exe)
11:27:42	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 52666, Process: svchost.exe)
11:27:58	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 52681, Process: svchost.exe)
11:28:06	Jerome	IP-BLOCK	78.140.152.61 (Type: outgoing, Port: 52693, Process: svchost.exe)
11:28:40	(null)	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 52713, Process: svchost.exe)
11:28:40	(null)	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 52714, Process: svchost.exe)
11:32:15	Jerome	MESSAGE	Protection started successfully
11:32:20	Jerome	MESSAGE	IP Protection started successfully
11:34:11	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49246, Process: chrome.exe)
11:34:11	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49248, Process: chrome.exe)
11:34:11	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49249, Process: chrome.exe)
11:40:22	Jerome	IP-BLOCK	83.133.119.176 (Type: outgoing, Port: 49303, Process: svchost.exe)
11:40:22	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49305, Process: svchost.exe)
11:40:22	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49306, Process: svchost.exe)
11:40:55	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49322, Process: svchost.exe)
11:41:03	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49325, Process: svchost.exe)
11:41:03	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49326, Process: svchost.exe)
11:41:19	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49339, Process: svchost.exe)
11:41:27	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49352, Process: svchost.exe)
11:42:07	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49356, Process: svchost.exe)
11:42:40	Jerome	IP-BLOCK	199.80.55.18 (Type: outgoing, Port: 49375, Process: svchost.exe)
11:42:40	Jerome	IP-BLOCK	199.80.55.18 (Type: outgoing, Port: 49376, Process: svchost.exe)
11:43:12	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49379, Process: svchost.exe)
11:43:12	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49380, Process: svchost.exe)
11:43:28	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49385, Process: svchost.exe)
11:43:36	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49390, Process: svchost.exe)
11:44:00	Jerome	IP-BLOCK	78.140.152.61 (Type: outgoing, Port: 49396, Process: svchost.exe)
11:49:48	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49451, Process: chrome.exe)
11:49:48	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49452, Process: chrome.exe)
11:49:48	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 49454, Process: chrome.exe)
11:49:48	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49455, Process: chrome.exe)
11:49:48	Jerome	IP-BLOCK	91.212.226.181 (Type: outgoing, Port: 49456, Process: chrome.exe)
11:50:20	Jerome	IP-BLOCK	78.140.143.83 (Type: outgoing, Port: 49499, Process: chrome.exe)
11:50:20	Jerome	IP-BLOCK	83.133.119.176 (Type: outgoing, Port: 49505, Process: svchost.exe)
11:50:20	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49507, Process: svchost.exe)
11:50:20	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49508, Process: svchost.exe)
11:50:36	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49513, Process: svchost.exe)
11:51:09	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49523, Process: svchost.exe)
11:51:17	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49528, Process: svchost.exe)
11:51:41	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49610, Process: svchost.exe)
11:52:13	Jerome	IP-BLOCK	69.6.27.100 (Type: outgoing, Port: 49653, Process: svchost.exe)
11:52:13	Jerome	IP-BLOCK	69.6.27.100 (Type: outgoing, Port: 49654, Process: svchost.exe)
11:52:13	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49656, Process: svchost.exe)
11:52:13	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49666, Process: svchost.exe)
11:52:21	Jerome	IP-BLOCK	212.117.165.70 (Type: outgoing, Port: 49689, Process: chrome.exe)
11:52:37	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49713, Process: svchost.exe)
11:52:37	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49714, Process: svchost.exe)
11:52:45	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49716, Process: chrome.exe)
11:52:46	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49717, Process: chrome.exe)
11:52:46	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 49718, Process: chrome.exe)
11:52:46	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49719, Process: chrome.exe)
11:52:46	Jerome	IP-BLOCK	91.212.226.181 (Type: outgoing, Port: 49720, Process: chrome.exe)
11:52:54	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 49765, Process: svchost.exe)
11:53:18	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49866, Process: chrome.exe)
11:53:18	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49867, Process: chrome.exe)
11:53:18	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 49868, Process: chrome.exe)
11:53:18	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49869, Process: chrome.exe)
11:56:32	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49926, Process: chrome.exe)
11:56:32	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49927, Process: chrome.exe)
11:56:32	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 49928, Process: chrome.exe)
11:56:32	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49929, Process: chrome.exe)
11:56:32	Jerome	IP-BLOCK	91.212.226.181 (Type: outgoing, Port: 49930, Process: chrome.exe)
11:56:40	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49934, Process: chrome.exe)
11:56:40	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49935, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49938, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49939, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	208.87.32.68 (Type: outgoing, Port: 49940, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49954, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49955, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49962, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49963, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49964, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49966, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49967, Process: chrome.exe)
11:56:56	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49968, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49971, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49972, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49974, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49975, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49976, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49977, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49978, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49979, Process: chrome.exe)
11:57:04	Jerome	IP-BLOCK	95.215.1.8 (Type: outgoing, Port: 49980, Process: chrome.exe)
11:57:12	Jerome	IP-BLOCK	212.117.165.70 (Type: outgoing, Port: 49983, Process: chrome.exe)
12:01:23	Jerome	IP-BLOCK	83.133.119.176 (Type: outgoing, Port: 50346, Process: svchost.exe)
12:01:31	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 50351, Process: svchost.exe)
12:01:31	Jerome	IP-BLOCK	78.140.152.61 (Type: outgoing, Port: 50356, Process: svchost.exe)
12:01:47	Jerome	IP-BLOCK	67.29.139.153 (Type: outgoing, Port: 50364, Process: svchost.exe)
12:04:20	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 50423, Process: svchost.exe)
12:04:20	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 50424, Process: svchost.exe)
12:11:32	(null)	IP-BLOCK	83.133.119.176 (Type: outgoing, Port: 50445, Process: svchost.exe)
12:11:49	(null)	IP-BLOCK	199.80.55.18 (Type: outgoing, Port: 50462, Process: svchost.exe)
12:11:49	(null)	IP-BLOCK	199.80.55.18 (Type: outgoing, Port: 50463, Process: svchost.exe)
12:13:21	(null)	IP-BLOCK	78.140.152.61 (Type: outgoing, Port: 50500, Process: svchost.exe)
12:24:08	Jerome	MESSAGE	Protection started successfully
12:24:12	Jerome	MESSAGE	IP Protection started successfully
12:25:56	(null)	MESSAGE	IP Protection stopped
12:42:03	Jerome	MESSAGE	Protection started successfully
12:42:08	Jerome	MESSAGE	IP Protection started successfully
12:50:23	Jerome	IP-BLOCK	91.212.226.180 (Type: outgoing, Port: 49228, Process: chrome.exe)
12:50:23	Jerome	IP-BLOCK	83.133.124.196 (Type: outgoing, Port: 49229, Process: chrome.exe)
12:50:23	Jerome	IP-BLOCK	89.208.149.204 (Type: outgoing, Port: 49230, Process: chrome.exe)
12:50:23	Jerome	IP-BLOCK	83.133.119.176 (Type: outgoing, Port: 49232, Process: svchost.exe)
12:50:31	Jerome	IP-BLOCK	83.133.124.195 (Type: outgoing, Port: 49257, Process: chrome.exe)
12:50:31	Jerome	IP-BLOCK	91.212.226.182 (Type: outgoing, Port: 49258, Process: chrome.exe)
12:51:44	Jerome	IP-BLOCK	89.208.149.204 (Type: outgoing, Port: 49309, Process: svchost.exe)
12:51:52	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49313, Process: svchost.exe)
12:51:52	Jerome	IP-BLOCK	208.73.210.29 (Type: outgoing, Port: 49314, Process: svchost.exe)

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Juni 2011  11:32

Es wird nach 2752344 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : JEROME-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648     31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE     : 10.0.4.2      442024 Bytes  20.05.2011 17:49:50
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  10.01.2011 13:23:14
LUKE.DLL       : 10.0.3.2      104296 Bytes  10.01.2011 13:23:03
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:23:11
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 06:38:17
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 17:49:49
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 09:30:43
VBASE005.VDF   : 7.11.8.179      2048 Bytes  31.05.2011 09:30:43
VBASE006.VDF   : 7.11.8.180      2048 Bytes  31.05.2011 09:30:43
VBASE007.VDF   : 7.11.8.181      2048 Bytes  31.05.2011 09:30:44
VBASE008.VDF   : 7.11.8.182      2048 Bytes  31.05.2011 09:30:44
VBASE009.VDF   : 7.11.8.183      2048 Bytes  31.05.2011 09:30:44
VBASE010.VDF   : 7.11.8.184      2048 Bytes  31.05.2011 09:30:44
VBASE011.VDF   : 7.11.8.185      2048 Bytes  31.05.2011 09:30:44
VBASE012.VDF   : 7.11.8.186      2048 Bytes  31.05.2011 09:30:44
VBASE013.VDF   : 7.11.8.222    121856 Bytes  02.06.2011 09:30:45
VBASE014.VDF   : 7.11.9.7      134656 Bytes  04.06.2011 09:30:46
VBASE015.VDF   : 7.11.9.42     136192 Bytes  06.06.2011 09:30:46
VBASE016.VDF   : 7.11.9.72     117248 Bytes  07.06.2011 09:30:47
VBASE017.VDF   : 7.11.9.107    130560 Bytes  09.06.2011 09:30:48
VBASE018.VDF   : 7.11.9.143    132096 Bytes  10.06.2011 09:30:48
VBASE019.VDF   : 7.11.9.144      2048 Bytes  10.06.2011 09:30:48
VBASE020.VDF   : 7.11.9.145      2048 Bytes  10.06.2011 09:30:49
VBASE021.VDF   : 7.11.9.146      2048 Bytes  10.06.2011 09:30:49
VBASE022.VDF   : 7.11.9.147      2048 Bytes  10.06.2011 09:30:49
VBASE023.VDF   : 7.11.9.148      2048 Bytes  10.06.2011 09:30:49
VBASE024.VDF   : 7.11.9.149      2048 Bytes  10.06.2011 09:30:49
VBASE025.VDF   : 7.11.9.150      2048 Bytes  10.06.2011 09:30:49
VBASE026.VDF   : 7.11.9.151      2048 Bytes  10.06.2011 09:30:49
VBASE027.VDF   : 7.11.9.152      2048 Bytes  10.06.2011 09:30:49
VBASE028.VDF   : 7.11.9.153      2048 Bytes  10.06.2011 09:30:49
VBASE029.VDF   : 7.11.9.154      2048 Bytes  10.06.2011 09:30:49
VBASE030.VDF   : 7.11.9.155      2048 Bytes  10.06.2011 09:30:49
VBASE031.VDF   : 7.11.9.159      8704 Bytes  11.06.2011 09:30:49
Engineversion  : 8.2.5.14  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  10.01.2011 13:22:51
AESCRIPT.DLL   : 8.1.3.65     1606010 Bytes  12.06.2011 09:30:59
AESCN.DLL      : 8.1.7.2       127349 Bytes  10.01.2011 13:22:49
AESBX.DLL      : 8.2.1.34      323957 Bytes  12.06.2011 09:30:59
AERDL.DLL      : 8.1.9.9       639347 Bytes  27.03.2011 05:58:09
AEPACK.DLL     : 8.2.6.8       557430 Bytes  20.05.2011 17:49:50
AEOFFICE.DLL   : 8.1.1.25      205178 Bytes  12.06.2011 09:30:57
AEHEUR.DLL     : 8.1.2.125    3543415 Bytes  12.06.2011 09:30:56
AEHELP.DLL     : 8.1.17.2      246135 Bytes  20.05.2011 17:49:50
AEGEN.DLL      : 8.1.5.6       401780 Bytes  20.05.2011 17:49:50
AEEMU.DLL      : 8.1.3.0       393589 Bytes  10.01.2011 13:22:42
AECORE.DLL     : 8.1.21.1      196983 Bytes  12.06.2011 09:30:51
AEBB.DLL       : 8.1.1.0        53618 Bytes  10.01.2011 13:22:41
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL     : 10.0.0.0       44904 Bytes  10.01.2011 13:22:55
AVREP.DLL      : 10.0.0.10     174120 Bytes  20.05.2011 17:49:50
AVREG.DLL      : 10.0.3.2       53096 Bytes  10.01.2011 13:22:55
AVSCPLR.DLL    : 10.0.4.2       84840 Bytes  20.05.2011 17:49:50
AVARKT.DLL     : 10.0.22.6     231784 Bytes  10.01.2011 13:22:51
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  10.01.2011 13:22:54
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  10.01.2011 13:23:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 12. Juni 2011  11:32

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\realtek\audio\hda\rthdvcpl.exe
c:\program files\realtek\audio\hda\rthdvcpl.exe
  [HINWEIS]   Der Prozess ist nicht sichtbar.
c:\program files\ati technologies\ati.ace\core-static\ccc.exe
c:\program files\ati technologies\ati.ace\core-static\ccc.exe
  [HINWEIS]   Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskeng.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '194' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '441' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
C:\$RECYCLE.BIN\S-1-5-21-2925045216-268937839-612691799-1001\$RL4ATJR.zip
[0] Archivtyp: ZIP
[FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
--> Shutdown7 Portable/Shutdown7.exe
[FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\504155d4-5dba1936
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
--> google/stomp.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\2b9b47df-1af46a72
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
--> google/stomp.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\1c3ec4f3-1162bb70
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CS.1
--> ccc.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CS.1
--> lol.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CT.1
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\1c3ec4f3-2f991142
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CS.1
--> ccc.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CS.1
--> lol.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CT.1
Beginne mit der Suche in 'D:\' <Recover>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert

Beginne mit der Desinfektion:
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\1c3ec4f3-2f991142
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CT.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9a1858.qua' verschoben!
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\1c3ec4f3-1162bb70
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CT.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '520d37ff.qua' verschoben!
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\2b9b47df-1af46a72
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00586d16.qua' verschoben!
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\504155d4-5dba1936
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '666a22e6.qua' verschoben!
C:\$RECYCLE.BIN\S-1-5-21-2925045216-268937839-612691799-1001\$RL4ATJR.zip
  [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23860ffa.qua' verschoben!


Ende des Suchlaufs: Sonntag, 12. Juni 2011  15:18
Benötigte Zeit:  1:43:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  19589 Verzeichnisse wurden überprüft
 608200 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 608193 Dateien ohne Befall
   5457 Archive wurden durchsucht
      0 Warnungen
      7 Hinweise
 462138 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden

markusg · 13.06.2011, 13:06

wo ist das Malwarebytes log? bzw die logs?

DropperGen · 13.06.2011, 19:02

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6838

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

13.06.2011 11:39:40
mbam-log-2011-06-13 (11-39-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180332
Laufzeit: 4 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Oder soll ich mal HijackThis rüber laufen lassen?

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:01, on 13.06.2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16766)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\vsnp2uvc.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\Jerome\AppData\Local\Temp\Rar$EX13.451\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [snp2uvc] C:\Windows\vsnp2uvc.exe
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing)
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4 (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - c:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: AMD Reservation Manager - Advanced Micro Devices - c:\Program Files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

--
End of file - 7411 bytes

markusg · 13.06.2011, 19:18

nein HijackThis nutzen wir nicht, bringt nichts.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

DropperGen · 15.06.2011, 17:43

Code:

ATTFilter

ComboFix 11-06-15.01 - Jerome 15.06.2011  18:26:58.2.3 - x86
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3327.2318 [GMT 2:00]
ausgeführt von:: c:\users\Jerome\.gimp-2.6\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\users\Jerome\EULA.txt
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ILVMONEYDRIVER53
-------\Service_IlvMoneyDRIVER53
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-05-15 bis 2011-06-15  ))))))))))))))))))))))))))))))
.
.
2011-06-15 16:36 . 2011-06-15 16:36	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local\temp
2011-06-15 16:36 . 2011-06-15 16:36	--------	d-----w-	c:\users\Schröter\AppData\Local\temp
2011-06-15 16:36 . 2011-06-15 16:36	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Local\temp
2011-06-15 16:36 . 2011-06-15 16:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-06-13 18:51 . 2011-06-13 18:51	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Local\Ashampoo
2011-06-13 09:40 . 2011-06-13 09:40	--------	d-----w-	c:\programdata\VirtualizedApplications
2011-06-12 17:37 . 2011-06-12 17:37	--------	d-----w-	c:\users\Jerome\AppData\Local\Ashampoo
2011-06-12 17:36 . 2011-06-12 17:36	--------	d-----w-	c:\program files\Ashampoo
2011-06-12 17:23 . 2011-04-22 19:36	26496	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-06-12 17:14 . 2011-06-12 17:14	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local\AMD
2011-06-12 17:14 . 2011-06-12 17:14	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Roaming\ATI
2011-06-12 17:14 . 2011-06-12 17:14	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local\ATI
2011-06-12 17:02 . 2011-04-11 12:38	299896	----a-w-	c:\users\Jerome\Tcpview.exe
2011-06-12 17:02 . 2010-07-28 13:47	199544	------w-	c:\users\Jerome\Tcpvcon.exe
2011-06-12 13:21 . 2011-06-12 13:21	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Roaming\Malwarebytes
2011-06-12 09:10 . 2011-06-12 09:10	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Roaming\WinRAR
2011-06-04 18:14 . 2011-04-14 03:07	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-06-03 09:25 . 2011-06-03 09:33	--------	d-----w-	c:\program files\Now.in
2011-05-31 16:32 . 2011-05-31 16:33	--------	d-----w-	c:\users\Jerome\Neuer Ordner
2011-05-30 12:26 . 2009-03-18 15:35	26176	---ha-w-	c:\windows\system32\hamachi.sys
2011-05-27 14:36 . 2011-05-27 14:37	--------	d-----w-	c:\program files\Rockstar Games
2011-05-23 13:08 . 2011-05-23 13:11	--------	d-----w-	c:\program files\Unlocker
2011-05-23 13:04 . 2011-05-23 13:46	848	--sha-w-	c:\programdata\KGyGaAvL.sys
2011-05-23 13:04 . 2011-05-23 13:04	--------	d-----w-	c:\users\Jerome\AppData\Roaming\Corel
2011-05-23 06:32 . 2011-05-23 07:11	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Roaming\Google
2011-05-22 13:00 . 2010-02-15 10:03	286208	----a-w-	c:\windows\system32\binkw32.dll
2011-05-22 12:49 . 2011-05-22 12:49	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2011-05-22 12:48 . 2009-03-02 12:00	95592	----a-w-	c:\windows\system32\drivers\StarPortLite.sys
2011-05-20 17:49 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-05-19 20:10 . 2011-05-22 15:55	--------	d-----w-	c:\users\Jerome\AppData\Roaming\DivX
2011-05-19 20:10 . 2011-06-13 10:47	--------	d-----w-	c:\program files\Common Files\PX Storage Engine
2011-05-19 20:04 . 2011-06-13 10:47	--------	d-----w-	c:\programdata\DivX
2011-05-18 15:33 . 2011-06-09 12:39	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-17 05:58 . 2011-06-13 10:38	--------	d-----w-	c:\users\Schröter.Jerome-PC\AppData\Local\LogMeIn Hamachi
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-04-01 12:55	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2011-04-01 12:55	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-27 19:21 . 2011-02-21 19:21	235	----a-w-	c:\windows\system32\nxEuUninstall.bat
2011-04-27 19:21 . 2011-02-21 19:20	446464	----a-w-	c:\windows\NEXON_EU_DownloaderUpdater.exe
2011-04-09 06:13 . 2011-05-11 14:57	3957632	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 14:57	3901824	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-03-25 03:06 . 2011-05-11 14:57	258560	----a-w-	c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:06 . 2011-05-11 14:57	284160	----a-w-	c:\windows\system32\drivers\usbport.sys
2011-03-25 03:06 . 2011-05-11 14:57	43008	----a-w-	c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:06 . 2011-05-11 14:57	20480	----a-w-	c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:06 . 2011-05-11 14:57	24064	----a-w-	c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:06 . 2011-05-11 14:57	5888	----a-w-	c:\windows\system32\drivers\usbd.sys
2011-03-21 11:22 . 2011-03-21 11:22	80416	----a-w-	c:\windows\system32\RtNicProp32.dll
2011-03-21 11:22 . 2011-03-21 11:22	362600	----a-w-	c:\windows\system32\drivers\Rt86win7.sys
2011-03-21 11:22 . 2010-09-15 11:12	100896	----a-w-	c:\windows\system32\RTNUninst32.dll
2011-03-18 17:02 . 2011-03-18 17:02	44032	----a-w-	c:\windows\system32\aticalcl.dll
2011-03-18 17:02 . 2011-03-18 17:02	12800	----a-w-	c:\windows\system32\atiglpxx.dll
2011-03-18 17:02 . 2011-03-18 17:02	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2011-03-18 17:02 . 2011-03-18 17:02	5580800	----a-w-	c:\windows\system32\aticaldd.dll
2011-03-18 17:02 . 2011-03-18 17:02	393216	----a-w-	c:\windows\system32\atieclxx.exe
2011-03-18 17:02 . 2011-03-18 17:02	52736	----a-w-	c:\windows\system32\atimpc32.dll
2011-03-18 17:02 . 2011-03-18 17:02	52736	----a-w-	c:\windows\system32\amdpcom32.dll
2011-03-18 17:02 . 2011-03-18 17:02	143360	----a-w-	c:\windows\system32\atiapfxx.exe
2011-03-18 17:02 . 2010-05-27 16:35	52736	----a-w-	c:\windows\system32\coinst.dll
2011-03-18 17:02 . 2010-05-27 16:24	30720	----a-w-	c:\windows\system32\atiuxpag.dll
2011-03-18 17:02 . 2011-03-18 17:02	238592	----a-w-	c:\windows\system32\drivers\atikmpag.sys
2011-03-18 17:02 . 2011-03-18 17:02	46080	----a-w-	c:\windows\system32\aticalrt.dll
2011-03-18 17:02 . 2010-05-27 16:37	4170752	----a-w-	c:\windows\system32\atiumdag.dll
2011-03-18 17:02 . 2011-03-18 17:02	249856	----a-w-	c:\windows\system32\atiadlxx.dll
2011-03-18 17:02 . 2011-03-18 17:01	7566848	----a-w-	c:\windows\system32\drivers\atikmdag.sys
2011-03-18 17:01 . 2011-03-18 17:01	118784	----a-w-	c:\windows\system32\atibtmon.exe
2011-03-18 17:01 . 2011-03-18 17:01	1912832	----a-w-	c:\windows\system32\atiumdmv.dll
2011-03-18 17:01 . 2011-03-18 17:00	17204736	----a-w-	c:\windows\system32\atioglxx.dll
2011-03-18 17:01 . 2010-05-27 17:02	596480	----a-w-	c:\windows\system32\aticfx32.dll
2011-03-18 17:01 . 2011-03-18 17:01	462848	----a-w-	c:\windows\system32\ATIDEMGX.dll
2011-03-18 17:01 . 2011-03-18 17:01	32768	----a-w-	c:\windows\system32\atigktxx.dll
2011-03-18 17:01 . 2010-05-27 16:31	3463680	----a-w-	c:\windows\system32\atiumdva.dll
2011-03-18 17:01 . 2010-05-27 16:54	4105728	----a-w-	c:\windows\system32\atidxx32.dll
2011-03-18 17:01 . 2011-03-18 17:01	356352	----a-w-	c:\windows\system32\atipdlxx.dll
2011-03-18 17:01 . 2011-03-18 17:01	176128	----a-w-	c:\windows\system32\atiesrxx.exe
2011-03-18 17:01 . 2010-05-27 16:24	28672	----a-w-	c:\windows\system32\atiu9pag.dll
2011-03-18 17:01 . 2011-03-18 17:01	159744	----a-w-	c:\windows\system32\atitmmxx.dll
2011-03-18 17:01 . 2011-03-18 17:00	278528	----a-w-	c:\windows\system32\Oemdspif.dll
2011-03-18 17:00 . 2011-03-18 17:00	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2011-03-18 17:00 . 2011-03-18 17:00	15872	----a-w-	c:\windows\system32\atimuixx.dll
2011-03-18 15:08 . 2011-03-18 15:08	42776	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\dSM\StartResources.dll
2011-03-18 15:08 . 2011-03-18 15:08	1220416	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
c:\users\Schr”ter.Jerome-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ashampoo FireWall]
2007-04-05 12:57	3251800	----a-w-	c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]
2010-05-04 15:05	311296	----a-r-	c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2011-01-10 13:22	281768	----a-w-	c:\program files\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2011-01-24 15:25	2200376	----a-w-	c:\program files\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2009-11-02 21:21	103720	------w-	c:\program files\CyberLink\Power2Go\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2011-05-29 07:11	449584	----a-w-	c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2010-06-14 15:46	9288296	----a-w-	c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-01-26 16:05	15026056	----a-r-	c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2uvc]
2009-08-26 08:25	662016	----a-w-	c:\windows\vsnp2uvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2011-01-26 16:41	336384	----a-w-	c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 EagleXNt;EagleXNt;c:\windows\system32\drivers\EagleXNt.sys [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-05-29 39984]
R3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr28u.sys [2009-07-13 657408]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 603240]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-10-11 1343400]
R4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-02-21 136176]
R4 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2011-02-21 136176]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 51040]
S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [2010-05-14 62592]
S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [2010-05-14 24192]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-05-22 721904]
S1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\DRIVERS\StarPortLite.sys [2009-03-02 95592]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-03-18 176128]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-01-26 284672]
S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe [2010-06-17 140224]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-20 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-04-23 483688]
S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-03-18 7566848]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-03-18 238592]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-09-24 102416]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-05-29 22712]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-03-21 362600]
S3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\DRIVERS\seehcri.sys [2008-01-09 27632]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-04-23 550760]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-04-23 195944]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-04-23 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-04-23 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-23 209768]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2010-06-14 30464]
S3 USBPNPA;USB PnP Sound Device Interface;c:\windows\system32\drivers\CM108.sys [2007-06-28 1310720]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-21 12:40]
.
2011-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-21 12:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
Toolbar-{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - (no file)
SafeBoot-BsScanner
AddRemove-HijackThis - c:\users\Jerome\AppData\Local\Temp\Rar$EX00.356\HijackThis.exe
.
.
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7600 Disk: Hitachi_ rev.JC4O -> Harddisk0\DR0 ->  
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8680C1F8]<< 
_asm { MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX; PUSH 0x8680c008; MOV EAX, 0x8363a2f8; CALL EAX;  }
1 ntkrnlpa!IofCallDriver[0x82E7C428] -> \Device\Harddisk0\DR0[0x86AE0AC8]
3 CLASSPNP[0x8C3C559E] -> ntkrnlpa!IofCallDriver[0x82E7C428] -> [0x86A95C80]
\Driver\amd_xata[0x86849030] -> IRP_MJ_CREATE -> 0x8680C1F8
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; MOV ES, AX; MOV DS, AX; MOV SI, SP; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; JMP FAR 0x0:0x660;  }
detected disk devices:
\Device\00000062 -> \??\SCSI#Disk&Ven_Hitachi&Prod_HCS5C1010CLA382#4&105ab310&0&010000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK 
Warning: possible TDL3 rootkit infection !
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ASFWHide]
"ImagePath"="\??\c:\users\Jerome\AppData\Local\Temp\ASFWHide"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="ChromeHTML"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(6160)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
.
Zeit der Fertigstellung: 2011-06-15  18:39:26
ComboFix-quarantined-files.txt  2011-06-15 16:39
.
Vor Suchlauf: 12 Verzeichnis(se), 903.594.102.784 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 903.502.233.600 Bytes frei
.
- - End Of File - - 16D48CE342960DA87DB53D4A0E258DD3

markusg · 15.06.2011, 17:59

machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich?

DropperGen · 15.06.2011, 18:20

Nein aber aber selten kauf ich was bei Ebay.

markusg · 15.06.2011, 18:22

ok.
dann sichere deine daten, bilder dokumente etc.
schalte vorher autorun aus:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann setzen wir, aufgrund des tdss rootkits auf.
falls du nciht weist wie das mit dem formatieren geht sag ichs dir.
dann sichern wir das system ab, dann müssen alle passwörter geendert werden

DropperGen · 15.06.2011, 18:34

was ist das genau?

DropperGen · 15.06.2011, 18:58

Ich hab mal gegoogelt und es gibt von kaspersky so ein rootkit remover wär das nicht eine alternative?

Sorry für den Doppelpost

markusg · 15.06.2011, 19:03

nein ist es nicht.
ein rootkit gibt dem angreifer volle kontrolle, er kann also sehr viel unsinn mit dem pc machen den wir nicht mehr nachvollziehen können, also neu aufsetzen ist angesagt.

DropperGen · 15.06.2011, 19:07

Ich hab mal ne Frage, unzwar gibts bei meinem PC sone Funktion wenn er bootet dass man dann f11 drücken soll dann kann man den pc so zurücksetzen wie beim kauf. Entfernt dies auch viren oder nützt das nix?

DropperGen · 18.06.2011, 12:39

Soll das Thema hier geclosed werden oder was?

13.06.2011, 10:48	#2
markusg /// Malware-holic	Hilfe ist mein PC komplett verseucht? hi, du hast mit Malwarebytes 10 malware gefunden? dann öffne es, klicke auf logdateien, und poste die logs mit den funden komplett. __________________ __________________

13.06.2011, 19:18	#6
markusg /// Malware-holic	Hilfe ist mein PC komplett verseucht? nein HijackThis nutzen wir nicht, bringt nichts. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> Hilfe ist mein PC komplett verseucht?

Hilfe ist mein PC komplett verseucht?

Plagegeister aller Art und deren Bekämpfung: Hilfe ist mein PC komplett verseucht?