AOL Mailaccount versenden Spammails ohne mein Wissen

gonso81 · 05.08.2011, 08:24

Hallo, ich habe auch das Problem das 2 meine Emailaccount von AOL Spam mails versenden ohne das ich etwas davon weiß oder damit zu tun habe. Wüsste auch nicht das ich mir was eingefangen habe weil ich eigentlich recht häufig mein Systemüberprüfe.

Da ich nicht wirklich sehr viel Ahnung von den ganzen Systemhintergründen habe würde ich mich freuen wenn ihr mal schauen könnte ob es irgendwelche Unregelmäßigkeiten gibt und was ich tun kann um dieses Problem zu beheben.

Anbei im im Anhang sende ich die drei geforderten logfiles in einer Zip.

Danke im Voraus für eure Mühe.

cosinus · 05.08.2011, 13:17

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

gonso81 · 05.08.2011, 15:15

Hallo und danke für die Antwort,

gier der bericht von Maleware:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7384

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.08.2011 16:14:20
mbam-log-2011-08-05 (16-14-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 131712
Laufzeit: 1 Stunde(n), 12 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 05.08.2011, 21:37

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

gonso81 · 06.08.2011, 13:25

Hallo, ja sorry vergessen hier die erste Log aus Malware:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7377

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2011 18:40:45
mbam-log-2011-08-04 (18-40-45).txt

Scan type: Quick scan
Objects scanned: 243714
Time elapsed: 19 minute(s), 33 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PsuedoLiveUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchostt (Backdoor.Bot) -> Value: svchostt -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\dokumente und einstellungen\TBA.BIE\anwendungsdaten\svchostt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Files Infected:
c:\RECYCLER\s-1-5-21-117609710-1078081533-299502267-1003\Dc13.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
c:\dokumente (Backdoor.Bot) -> Quarantined and deleted successfully.

cosinus · 08.08.2011, 08:32

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultEngine: "Yahoo"
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "IsoBuster DE Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1703539&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-flv"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-flv"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "http://www.wisedock.de/m.php?id=34170e9ba345a1b3f8e765880f3c62b77b01"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&q="
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll (facemoods.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.01.09 13:13:08 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
@Alternate Data Stream - 160 bytes -> C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:FB1B13D8
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:CB0AACC9
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

gonso81 · 08.08.2011, 12:27

hi, hier die log des fix:

========== OTL ==========
Prefs.js: "Yahoo" removed from browser.search.defaultEngine
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "IsoBuster DE Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1703539&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "Search Results" removed from browser.search.order.1
Prefs.js: "chrf-flv" removed from browser.search.param.yahoo-fr
Prefs.js: "chrf-flv" removed from browser.search.param.yahoo-fr-cjkt
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.wisedock.de/m.php?id=34170e9ba345a1b3f8e765880f3c62b77b01" removed from browser.startup.homepage
Prefs.js: "hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&q=" removed from keyword.URL
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ deleted successfully.
C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ deleted successfully.
C:\Programme\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
ADS C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:FB1B13D8 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:CB0AACC9 deleted successfully.
========== COMMANDS ==========
C:\WINXP\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08082011_132606

cosinus · 08.08.2011, 13:02

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

gonso81 · 08.08.2011, 14:06

2011/08/08 15:04:47.0171 5496 TDSS rootkit removing tool 2.5.14.0 Aug 5 2011 16:09:29
2011/08/08 15:04:49.0187 5496 ================================================================================
2011/08/08 15:04:49.0187 5496 SystemInfo:
2011/08/08 15:04:49.0187 5496
2011/08/08 15:04:49.0187 5496 OS Version: 5.1.2600 ServicePack: 3.0
2011/08/08 15:04:49.0187 5496 Product type: Workstation
2011/08/08 15:04:49.0187 5496 ComputerName: BIE
2011/08/08 15:04:49.0203 5496 UserName: TBA
2011/08/08 15:04:49.0203 5496 Windows directory: C:\WINXP
2011/08/08 15:04:49.0218 5496 System windows directory: C:\WINXP
2011/08/08 15:04:49.0218 5496 Processor architecture: Intel x86
2011/08/08 15:04:49.0218 5496 Number of processors: 2
2011/08/08 15:04:49.0218 5496 Page size: 0x1000
2011/08/08 15:04:49.0218 5496 Boot type: Normal boot
2011/08/08 15:04:49.0218 5496 ================================================================================
2011/08/08 15:04:50.0828 5496 Initialize success
2011/08/08 15:04:55.0328 4452 ================================================================================
2011/08/08 15:04:55.0328 4452 Scan started
2011/08/08 15:04:55.0328 4452 Mode: Manual;
2011/08/08 15:04:55.0343 4452 ================================================================================
2011/08/08 15:04:56.0843 4452 acedrv11 (e6f53d6c0dea3d375362265e175ca638) C:\WINXP\system32\drivers\acedrv11.sys
2011/08/08 15:04:56.0921 4452 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINXP\system32\DRIVERS\ACPI.sys
2011/08/08 15:04:56.0984 4452 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINXP\system32\drivers\ACPIEC.sys
2011/08/08 15:04:57.0078 4452 aec (8bed39e3c35d6a489438b8141717a557) C:\WINXP\system32\drivers\aec.sys
2011/08/08 15:04:57.0125 4452 AFD (8d499b1276012eb907e7a9e0f4d8fda4) C:\WINXP\System32\drivers\afd.sys
2011/08/08 15:04:57.0468 4452 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINXP\system32\DRIVERS\asyncmac.sys
2011/08/08 15:04:57.0500 4452 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINXP\system32\DRIVERS\atapi.sys
2011/08/08 15:04:57.0562 4452 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINXP\system32\DRIVERS\atmarpc.sys
2011/08/08 15:04:57.0640 4452 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINXP\system32\DRIVERS\audstub.sys
2011/08/08 15:04:57.0718 4452 Avgfwdx (0c5941af0b6bf2fdf378937392865217) C:\WINXP\system32\DRIVERS\avgfwdx.sys
2011/08/08 15:04:57.0750 4452 Avgfwfd (0c5941af0b6bf2fdf378937392865217) C:\WINXP\system32\DRIVERS\avgfwdx.sys
2011/08/08 15:04:57.0828 4452 AVGIDSDriver (c403e7f715bb0a851a9dfae16ec4ae42) C:\WINXP\system32\DRIVERS\AVGIDSDriver.Sys
2011/08/08 15:04:57.0875 4452 AVGIDSEH (1af676db3f3d4cc709cfab2571cf5fc3) C:\WINXP\system32\DRIVERS\AVGIDSEH.Sys
2011/08/08 15:04:57.0906 4452 AVGIDSFilter (4c51e233c87f9ec7598551de554bc99d) C:\WINXP\system32\DRIVERS\AVGIDSFilter.Sys
2011/08/08 15:04:57.0968 4452 AVGIDSShim (c3fc426e54f55c1cc3219e415b88e10c) C:\WINXP\system32\DRIVERS\AVGIDSShim.Sys
2011/08/08 15:04:58.0046 4452 Avgldx86 (4e796d3d2c3182b13b3e3b5a2ad4ef0a) C:\WINXP\system32\DRIVERS\avgldx86.sys
2011/08/08 15:04:58.0093 4452 Avgmfx86 (5639de66b37d02bd22df4cf3155fba60) C:\WINXP\system32\DRIVERS\avgmfx86.sys
2011/08/08 15:04:58.0125 4452 Avgrkx86 (d1baf652eda0ae70896276a1fb32c2d4) C:\WINXP\system32\DRIVERS\avgrkx86.sys
2011/08/08 15:04:58.0171 4452 Avgtdix (aaf0ebcad95f2164cffb544e00392498) C:\WINXP\system32\DRIVERS\avgtdix.sys
2011/08/08 15:04:58.0265 4452 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINXP\system32\drivers\Beep.sys
2011/08/08 15:04:58.0359 4452 BrScnUsb (92a964547b96d697e5e9ed43b4297f5a) C:\WINXP\system32\DRIVERS\BrScnUsb.sys
2011/08/08 15:04:58.0406 4452 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINXP\system32\drivers\cbidf2k.sys
2011/08/08 15:04:58.0484 4452 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINXP\system32\drivers\Cdaudio.sys
2011/08/08 15:04:58.0515 4452 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINXP\system32\drivers\Cdfs.sys
2011/08/08 15:04:58.0578 4452 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINXP\system32\DRIVERS\cdrom.sys
2011/08/08 15:04:58.0875 4452 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINXP\system32\DRIVERS\disk.sys
2011/08/08 15:04:58.0968 4452 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINXP\system32\drivers\dmboot.sys
2011/08/08 15:04:59.0031 4452 dmio (53720ab12b48719d00e327da470a619a) C:\WINXP\system32\drivers\dmio.sys
2011/08/08 15:04:59.0062 4452 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINXP\system32\drivers\dmload.sys
2011/08/08 15:04:59.0109 4452 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINXP\system32\drivers\DMusic.sys
2011/08/08 15:04:59.0218 4452 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINXP\system32\drivers\drmkaud.sys
2011/08/08 15:04:59.0281 4452 dtsoftbus01 (555e54ac2f601a8821cef58961653991) C:\WINXP\system32\DRIVERS\dtsoftbus01.sys
2011/08/08 15:04:59.0343 4452 Fastfat (38d332a6d56af32635675f132548343e) C:\WINXP\system32\drivers\Fastfat.sys
2011/08/08 15:04:59.0390 4452 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINXP\system32\DRIVERS\fdc.sys
2011/08/08 15:04:59.0453 4452 FETND5BV (af8af100f0dd397a34bb273bc64aef1a) C:\WINXP\system32\DRIVERS\fetnd5bv.sys
2011/08/08 15:04:59.0484 4452 FETNDIS (e9648254056bce81a85380c0c3647dc4) C:\WINXP\system32\DRIVERS\fetnd5.sys
2011/08/08 15:04:59.0531 4452 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINXP\system32\drivers\Fips.sys
2011/08/08 15:04:59.0578 4452 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINXP\system32\DRIVERS\flpydisk.sys
2011/08/08 15:04:59.0625 4452 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINXP\system32\DRIVERS\fltMgr.sys
2011/08/08 15:04:59.0671 4452 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINXP\system32\drivers\Fs_Rec.sys
2011/08/08 15:04:59.0703 4452 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINXP\system32\DRIVERS\ftdisk.sys
2011/08/08 15:04:59.0765 4452 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINXP\system32\DRIVERS\GEARAspiWDM.sys
2011/08/08 15:04:59.0796 4452 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINXP\system32\DRIVERS\msgpc.sys
2011/08/08 15:04:59.0843 4452 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINXP\system32\DRIVERS\HDAudBus.sys
2011/08/08 15:04:59.0890 4452 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINXP\system32\DRIVERS\hidusb.sys
2011/08/08 15:04:59.0968 4452 HTTP (937031c085718c1c04a9c0864625ec6b) C:\WINXP\system32\Drivers\HTTP.sys
2011/08/08 15:05:00.0093 4452 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINXP\system32\DRIVERS\i8042prt.sys
2011/08/08 15:05:00.0140 4452 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINXP\system32\DRIVERS\imapi.sys
2011/08/08 15:05:00.0375 4452 IntcAzAudAddService (a5d5b8c427f4b67580fb2b511291a89d) C:\WINXP\system32\drivers\RtkHDAud.sys
2011/08/08 15:05:00.0500 4452 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINXP\system32\DRIVERS\intelppm.sys
2011/08/08 15:05:00.0546 4452 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINXP\system32\DRIVERS\Ip6Fw.sys
2011/08/08 15:05:00.0609 4452 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINXP\system32\DRIVERS\ipfltdrv.sys
2011/08/08 15:05:00.0656 4452 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINXP\system32\DRIVERS\ipinip.sys
2011/08/08 15:05:00.0687 4452 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINXP\system32\DRIVERS\ipnat.sys
2011/08/08 15:05:00.0734 4452 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINXP\system32\DRIVERS\ipsec.sys
2011/08/08 15:05:00.0781 4452 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINXP\system32\DRIVERS\irenum.sys
2011/08/08 15:05:00.0812 4452 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINXP\system32\DRIVERS\isapnp.sys
2011/08/08 15:05:00.0843 4452 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINXP\system32\DRIVERS\kbdclass.sys
2011/08/08 15:05:00.0890 4452 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINXP\system32\DRIVERS\kbdhid.sys
2011/08/08 15:05:00.0953 4452 kmixer (692bcf44383d056aed41b045a323d378) C:\WINXP\system32\drivers\kmixer.sys
2011/08/08 15:05:01.0000 4452 KSecDD (c6ebf1d6ad71df30db49b8d3287e1368) C:\WINXP\system32\drivers\KSecDD.sys
2011/08/08 15:05:01.0125 4452 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINXP\system32\drivers\mnmdd.sys
2011/08/08 15:05:01.0187 4452 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINXP\system32\drivers\Modem.sys
2011/08/08 15:05:01.0421 4452 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINXP\system32\DRIVERS\mouclass.sys
2011/08/08 15:05:01.0609 4452 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINXP\system32\DRIVERS\mouhid.sys
2011/08/08 15:05:01.0828 4452 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINXP\system32\drivers\MountMgr.sys
2011/08/08 15:05:01.0937 4452 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINXP\system32\DRIVERS\mrxdav.sys
2011/08/08 15:05:01.0984 4452 MRxSmb (8dd801e28eb76fda2a38907882a0036f) C:\WINXP\system32\DRIVERS\mrxsmb.sys
2011/08/08 15:05:02.0046 4452 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINXP\system32\drivers\Msfs.sys
2011/08/08 15:05:02.0109 4452 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINXP\system32\drivers\MSKSSRV.sys
2011/08/08 15:05:02.0156 4452 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINXP\system32\drivers\MSPCLOCK.sys
2011/08/08 15:05:02.0203 4452 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINXP\system32\drivers\MSPQM.sys
2011/08/08 15:05:02.0250 4452 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINXP\system32\DRIVERS\mssmbios.sys
2011/08/08 15:05:02.0281 4452 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINXP\system32\DRIVERS\ASACPI.sys
2011/08/08 15:05:02.0312 4452 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINXP\system32\drivers\Mup.sys
2011/08/08 15:05:02.0375 4452 NDIS (1df7f42665c94b825322fae71721130d) C:\WINXP\system32\drivers\NDIS.sys
2011/08/08 15:05:02.0406 4452 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINXP\system32\DRIVERS\ndistapi.sys
2011/08/08 15:05:02.0453 4452 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINXP\system32\DRIVERS\ndisuio.sys
2011/08/08 15:05:02.0484 4452 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINXP\system32\DRIVERS\ndiswan.sys
2011/08/08 15:05:02.0531 4452 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINXP\system32\drivers\NDProxy.sys
2011/08/08 15:05:02.0578 4452 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINXP\system32\DRIVERS\netbios.sys
2011/08/08 15:05:02.0609 4452 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINXP\system32\DRIVERS\netbt.sys
2011/08/08 15:05:02.0703 4452 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINXP\system32\drivers\Npfs.sys
2011/08/08 15:05:02.0750 4452 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINXP\system32\drivers\Ntfs.sys
2011/08/08 15:05:02.0828 4452 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINXP\system32\drivers\Null.sys
2011/08/08 15:05:02.0859 4452 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINXP\system32\DRIVERS\nwlnkflt.sys
2011/08/08 15:05:02.0906 4452 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINXP\system32\DRIVERS\nwlnkfwd.sys
2011/08/08 15:05:02.0984 4452 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINXP\system32\DRIVERS\parport.sys
2011/08/08 15:05:03.0015 4452 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINXP\system32\drivers\PartMgr.sys
2011/08/08 15:05:03.0062 4452 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINXP\system32\drivers\ParVdm.sys
2011/08/08 15:05:03.0109 4452 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINXP\system32\DRIVERS\pci.sys
2011/08/08 15:05:03.0156 4452 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINXP\system32\DRIVERS\pciide.sys
2011/08/08 15:05:03.0234 4452 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINXP\system32\drivers\Pcmcia.sys
2011/08/08 15:05:03.0484 4452 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINXP\system32\DRIVERS\raspptp.sys
2011/08/08 15:05:03.0531 4452 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINXP\system32\DRIVERS\psched.sys
2011/08/08 15:05:03.0562 4452 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINXP\system32\DRIVERS\ptilink.sys
2011/08/08 15:05:03.0609 4452 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINXP\system32\Drivers\PxHelp20.sys
2011/08/08 15:05:03.0796 4452 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINXP\system32\DRIVERS\rasacd.sys
2011/08/08 15:05:03.0843 4452 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINXP\system32\DRIVERS\rasl2tp.sys
2011/08/08 15:05:03.0875 4452 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINXP\system32\DRIVERS\raspppoe.sys
2011/08/08 15:05:03.0906 4452 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINXP\system32\DRIVERS\raspti.sys
2011/08/08 15:05:03.0953 4452 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINXP\system32\DRIVERS\rdbss.sys
2011/08/08 15:05:04.0000 4452 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINXP\system32\DRIVERS\RDPCDD.sys
2011/08/08 15:05:04.0046 4452 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINXP\system32\DRIVERS\rdpdr.sys
2011/08/08 15:05:04.0125 4452 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINXP\system32\drivers\RDPWD.sys
2011/08/08 15:05:04.0171 4452 redbook (ed761d453856f795a7fe056e42c36365) C:\WINXP\system32\DRIVERS\redbook.sys
2011/08/08 15:05:04.0265 4452 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINXP\system32\DRIVERS\secdrv.sys
2011/08/08 15:05:04.0328 4452 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINXP\system32\DRIVERS\serenum.sys
2011/08/08 15:05:04.0359 4452 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINXP\system32\DRIVERS\serial.sys
2011/08/08 15:05:04.0437 4452 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINXP\system32\drivers\Sfloppy.sys
2011/08/08 15:05:04.0593 4452 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINXP\system32\drivers\splitter.sys
2011/08/08 15:05:04.0687 4452 sptd (a80cd850d69d996c832bea37e3a6aa1e) C:\WINXP\system32\Drivers\sptd.sys
2011/08/08 15:05:04.0687 4452 Suspicious file (NoAccess): C:\WINXP\system32\Drivers\sptd.sys. md5: a80cd850d69d996c832bea37e3a6aa1e
2011/08/08 15:05:04.0703 4452 sptd - detected LockedFile.Multi.Generic (1)
2011/08/08 15:05:04.0734 4452 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINXP\system32\DRIVERS\sr.sys
2011/08/08 15:05:04.0796 4452 Srv (9b390283569ea58d43d2586032b892f5) C:\WINXP\system32\DRIVERS\srv.sys
2011/08/08 15:05:04.0859 4452 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINXP\system32\DRIVERS\swenum.sys
2011/08/08 15:05:04.0937 4452 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINXP\system32\drivers\swmidi.sys
2011/08/08 15:05:05.0140 4452 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINXP\system32\drivers\sysaudio.sys
2011/08/08 15:05:05.0187 4452 Tcpip (ad978a1b783b5719720cff204b666c8e) C:\WINXP\system32\DRIVERS\tcpip.sys
2011/08/08 15:05:05.0250 4452 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINXP\system32\drivers\TDPIPE.sys
2011/08/08 15:05:05.0281 4452 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINXP\system32\drivers\TDTCP.sys
2011/08/08 15:05:05.0328 4452 TermDD (88155247177638048422893737429d9e) C:\WINXP\system32\DRIVERS\termdd.sys
2011/08/08 15:05:05.0437 4452 uagp35 (d85938f272d1bcf3db3a31fc0a048928) C:\WINXP\system32\DRIVERS\uagp35.sys
2011/08/08 15:05:05.0500 4452 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINXP\system32\drivers\Udfs.sys
2011/08/08 15:05:05.0593 4452 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINXP\system32\DRIVERS\update.sys
2011/08/08 15:05:05.0687 4452 usbaudio (e919708db44ed8543a7c017953148330) C:\WINXP\system32\drivers\usbaudio.sys
2011/08/08 15:05:05.0718 4452 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINXP\system32\DRIVERS\usbccgp.sys
2011/08/08 15:05:05.0765 4452 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINXP\system32\DRIVERS\usbehci.sys
2011/08/08 15:05:05.0796 4452 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINXP\system32\DRIVERS\usbhub.sys
2011/08/08 15:05:05.0828 4452 usbprint (a717c8721046828520c9edf31288fc00) C:\WINXP\system32\DRIVERS\usbprint.sys
2011/08/08 15:05:05.0859 4452 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINXP\system32\DRIVERS\USBSTOR.SYS
2011/08/08 15:05:05.0890 4452 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINXP\system32\DRIVERS\usbuhci.sys
2011/08/08 15:05:05.0937 4452 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINXP\System32\drivers\vga.sys
2011/08/08 15:05:06.0000 4452 viagfx (aed098bcae5b5d24f9a5f80acc4613e9) C:\WINXP\system32\DRIVERS\vtmini.sys
2011/08/08 15:05:06.0031 4452 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINXP\system32\DRIVERS\viaide.sys
2011/08/08 15:05:06.0062 4452 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINXP\system32\drivers\VolSnap.sys
2011/08/08 15:05:06.0156 4452 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINXP\system32\DRIVERS\wanarp.sys
2011/08/08 15:05:06.0234 4452 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINXP\system32\drivers\wdmaud.sys
2011/08/08 15:05:06.0421 4452 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINXP\system32\DRIVERS\WudfPf.sys
2011/08/08 15:05:06.0484 4452 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINXP\system32\DRIVERS\wudfrd.sys
2011/08/08 15:05:06.0625 4452 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/08/08 15:05:06.0843 4452 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk1\DR2
2011/08/08 15:05:07.0093 4452 Boot (0x1200) (263678ae67a3b6898a0544636f9f3ebb) \Device\Harddisk0\DR0\Partition0
2011/08/08 15:05:07.0109 4452 Boot (0x1200) (ef4d05661f13952ddc70a3d39ff42a6a) \Device\Harddisk1\DR2\Partition0
2011/08/08 15:05:07.0125 4452 ================================================================================
2011/08/08 15:05:07.0125 4452 Scan finished
2011/08/08 15:05:07.0125 4452 ================================================================================
2011/08/08 15:05:07.0156 4444 Detected object count: 1
2011/08/08 15:05:07.0156 4444 Actual detected object count: 1
2011/08/08 15:05:32.0125 4444 LockedFile.Multi.Generic(sptd) - User select action: Skip

cosinus · 08.08.2011, 15:04

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

gonso81 · 08.08.2011, 17:54

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-08-07.03 - TBA 08.08.2011  18:40:02.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1983.1234 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\TBA.BIE\Desktop\ComboFix.exe
AV: AVG Internet Security Business Edition 2011 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\TBA.BIE\Anwendungsdaten\facemoods.com
c:\dokumente und einstellungen\TBA.BIE\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\TBA.BIE\Anwendungsdaten\ubot
c:\dokumente und einstellungen\TBA.BIE\CC3update.exe
c:\dokumente und einstellungen\TBA.BIE\Recent\Thumbs.db
c:\programme\facemoods.com
c:\programme\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll
c:\programme\facemoods.com\facemoods\1.4.17.7\facemoods.crx
c:\programme\facemoods.com\facemoods\1.4.17.7\facemoods.png
c:\programme\facemoods.com\facemoods\1.4.17.7\facemoodsApp.dll
c:\programme\facemoods.com\facemoods\1.4.17.7\facemoodsEng.dll
c:\programme\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe
c:\programme\facemoods.com\facemoods\1.4.17.7\uninstall.exe
c:\programme\facemoods.com\sqlite3.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-07-08 bis 2011-08-08  ))))))))))))))))))))))))))))))
.
.
2011-08-08 12:46 . 2011-08-08 12:46	--------	d-----w-	c:\programme\Franzis
2011-08-08 11:26 . 2011-08-08 11:26	--------	d-----w-	C:\_OTL
2011-07-28 09:35 . 2011-07-28 09:35	--------	d-----w-	c:\programme\Artisteer 2
2011-07-28 07:23 . 2006-11-01 10:05	154424	----a-w-	C:\ChVID.exe
2011-07-27 06:23 . 2011-07-27 06:23	--------	d-----w-	C:\e3e20a2a0cd3e6d118ab813d
2011-07-26 12:58 . 2011-07-26 12:58	--------	d-----w-	c:\programme\AnvSoft
2011-07-26 12:30 . 2011-07-26 12:30	--------	d-----w-	c:\programme\HamsterSoft
2011-07-22 08:14 . 2011-07-22 08:14	--------	d-----w-	c:\programme\XnView
2011-07-13 16:50 . 2011-07-13 16:50	--------	d-----w-	C:\$AVG
2011-07-13 15:34 . 2011-07-13 15:34	--------	d-----w-	c:\programme\AVG
2011-07-13 08:54 . 2011-07-13 08:54	--------	d-----w-	c:\programme\DAEMON Tools Lite
2011-07-13 08:04 . 2011-07-13 08:04	303236	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\setup.dll
2011-07-13 08:04 . 2011-07-13 08:04	180356	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iGdi.dll
2011-07-13 08:04 . 2006-02-07 13:39	32768	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\Objectps.dll
2011-07-13 08:04 . 2004-04-18 21:42	733184	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iKernel.dll
2011-07-13 08:04 . 2004-04-18 21:40	69715	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\ctor.dll
2011-07-13 08:04 . 2004-04-18 21:39	266240	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iscript.dll
2011-07-13 08:04 . 2004-04-18 21:39	172032	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\iuser.dll
2011-07-13 08:04 . 2004-04-18 21:39	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\00\Intel32\DotNetInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-06 11:36 . 2010-10-12 17:45	1868032	----a-w-	c:\winxp\system32\win32k.sys
2011-06-02 17:53 . 2011-06-02 17:53	94208	----a-w-	c:\winxp\system32\dpl100.dll
2011-06-16 04:32 . 2011-05-01 07:09	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2008-06-30 12:44 . 2011-01-13 20:28	324976	----a-w-	c:\programme\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-09-18 205976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 16264192]
"AVG_TRAY"="c:\programme\AVG\AVG10\avgtray.exe" [2011-04-18 2334560]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-07-19 421736]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG10\avgchsvx.exe /sync\0c:\progra~1\AVG\AVG10\avgrsx.exe /sync /restart
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\winxp\pss\Windows Search.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 17:29	937920	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-03-12 11:49	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20	1305408	----a-w-	c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56	1230704	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-07-13 06:35	136176	----atw-	c:\dokumente und einstellungen\TBA.BIE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2011-08-01 08:28	124480	----a-w-	c:\programme\ICQ7.5\ICQ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-09 16:53	153136	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RD2011Tray]
2010-07-23 07:54	349520	----a-w-	c:\programme\DATA BECKER\Rechnungsdruckerei 2011 pro\dbrd2011tray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 09:04	2879488	----a-w-	c:\winxp\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2005-03-11 09:33	53248	----a-w-	c:\winxp\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2005-11-04 10:15	163840	----a-w-	c:\winxp\system32\VTTrayp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\ICQ7.5\\ICQ.exe"=
"c:\\Programme\\AVG\\AVG10\\avgmfapx.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\AVG\\AVG10\\avgdiagex.exe"=
"c:\\Programme\\AVG\\AVG10\\avgnsx.exe"=
"c:\\Programme\\AVG\\AVG10\\avgam.exe"=
"c:\\Programme\\AVG\\AVG10\\avgemcx.exe"=
"c:\\Dokumente und Einstellungen\\TBA.BIE\\Eigene Dateien\\Eigene Bilder\\Mandy\\Neuer Ordner\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
R0 AVGIDSEH;AVGIDSEH;c:\winxp\system32\drivers\AVGIDSEH.sys [22.02.2011 08:13 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\winxp\system32\drivers\avgrkx86.sys [16.03.2011 16:03 32592]
R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [08.08.2011 14:47 722416]
R1 Avgldx86;AVG AVI Loader Driver;c:\winxp\system32\drivers\avgldx86.sys [07.01.2011 06:41 248656]
R1 Avgtdix;AVG TDI Driver;c:\winxp\system32\drivers\avgtdix.sys [05.04.2011 00:59 297168]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\winxp\system32\drivers\dtsoftbus01.sys [13.07.2011 10:54 218688]
R2 acedrv11;acedrv11;c:\winxp\system32\drivers\acedrv11.sys [24.02.2010 12:22 185472]
R2 avgfws;AVG Firewall;c:\programme\AVG\AVG10\avgfws.exe [09.03.2011 19:24 2708024]
R2 avgwd;AVG WatchDog;c:\programme\AVG\AVG10\avgwdsvc.exe [08.02.2011 05:33 269520]
R2 DBService;DATA BECKER Update Service;c:\programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe [01.04.2011 09:44 2650112]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [19.01.2011 18:05 247608]
R2 KMService;KMService;c:\winxp\system32\srvany.exe [08.08.2011 15:01 8192]
R3 Avgfwdx;Avgfwdx;c:\winxp\system32\drivers\avgfwdx.sys [12.07.2010 04:33 30432]
R3 AVGIDSDriver;AVGIDSDriver;c:\winxp\system32\drivers\AVGIDSDriver.sys [14.04.2011 21:28 134480]
R3 AVGIDSFilter;AVGIDSFilter;c:\winxp\system32\drivers\AVGIDSFilter.sys [10.02.2011 07:53 24144]
R3 AVGIDSShim;AVGIDSShim;c:\winxp\system32\drivers\AVGIDSShim.sys [10.02.2011 07:53 27216]
R3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 Avgfwfd;AVG network filter service;c:\winxp\system32\drivers\avgfwdx.sys [12.07.2010 04:33 30432]
S3 AVGIDSAgent;AVGIDSAgent;c:\programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [18.04.2011 17:39 7398752]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 11:25 30969208]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 zlportio;zlportio;\??\c:\usdx challenge medley duet edition\zlportio.sys --> c:\usdx challenge medley duet edition\zlportio.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 75046732
*NewlyCreated* - KMSERVICE
*NewlyCreated* - SPTD
*NewlyCreated* - STARWINDSERVICEAE
*Deregistered* - 75046732
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-08 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1078081533-299502267-1003Core.job
- c:\dokumente und einstellungen\TBA.BIE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-13 06:35]
.
2011-08-08 c:\winxp\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1078081533-299502267-1003UA.job
- c:\dokumente und einstellungen\TBA.BIE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-13 06:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://purebundesliga.net/
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\programme\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\TBA.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\e9c91cs2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1703539&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.wisedock.de/m.php?id=34170e9ba345a1b3f8e765880f3c62b77b01
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-facemoods - c:\programme\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe
AddRemove-facemoods - c:\programme\facemoods.com\facemoods\1.4.17.7\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-08 18:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\dokume~1\TBA.BIE\LOKALE~1\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-117609710-1078081533-299502267-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1136)
c:\winxp\system32\wbem\wbemcomn.dll
.
Zeit der Fertigstellung: 2011-08-08  18:52:31
ComboFix-quarantined-files.txt  2011-08-08 16:52
.
Vor Suchlauf: 21 Verzeichnis(se), 621.973.409.792 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 623.556.050.944 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A6EAA5AB0D8C80FC4B139B5B017A2546

--- --- ---

cosinus · 09.08.2011, 09:08

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

gonso81 · 09.08.2011, 13:20

Hallo,

Hier die Log von OSAM:

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 10:30:44 on 09.08.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 5.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "AVG Technologies CZ, s.r.o." - C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
"BootExecute" - "AVG Technologies CZ, s.r.o." - C:\PROGRA~1\AVG\AVG10\avgrsx.exe

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskUserS-1-5-21-117609710-1078081533-299502267-1003Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\TBA.BIE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskUserS-1-5-21-117609710-1078081533-299502267-1003UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\TBA.BIE\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BrnStiCp.cpl" - "Brother Industries,Ltd." - C:\WINXP\system32\BrnStiCp.cpl
"DivXControlPanelApplet.cpl" - "DivX, Inc." - C:\WINXP\system32\DivXControlPanelApplet.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINXP\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINXP\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINXP\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLCFG32.CPL
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINXP\system32\drivers\acedrv11.sys
"av0pj8b6" (av0pj8b6) - "Microsoft Corporation" - C:\WINXP\system32\drivers\av0pj8b6.sys  (Hidden registry entry, rootkit activity | File signed by Microsoft)
"AVG Anti-Rootkit Driver" (Avgrkx86) - "AVG Technologies CZ, s.r.o." - C:\WINXP\System32\DRIVERS\avgrkx86.sys
"AVG AVI Loader Driver" (Avgldx86) - "AVG Technologies CZ, s.r.o." - C:\WINXP\System32\DRIVERS\avgldx86.sys
"AVG Mini-Filter Resident Anti-Virus Shield" (Avgmfx86) - "AVG Technologies CZ, s.r.o." - C:\WINXP\System32\DRIVERS\avgmfx86.sys
"AVG TDI Driver" (Avgtdix) - "AVG Technologies CZ, s.r.o." - C:\WINXP\System32\DRIVERS\avgtdix.sys
"AVGIDSDriver" (AVGIDSDriver) - "AVG Technologies CZ, s.r.o. " - C:\WINXP\System32\DRIVERS\AVGIDSDriver.Sys
"AVGIDSEH" (AVGIDSEH) - "AVG Technologies CZ, s.r.o. " - C:\WINXP\System32\DRIVERS\AVGIDSEH.Sys
"AVGIDSFilter" (AVGIDSFilter) - "AVG Technologies CZ, s.r.o. " - C:\WINXP\System32\DRIVERS\AVGIDSFilter.Sys
"AVGIDSShim" (AVGIDSShim) - "AVG Technologies CZ, s.r.o. " - C:\WINXP\System32\DRIVERS\AVGIDSShim.Sys
"catchme" (catchme) - ? - C:\DOKUME~1\TBA.BIE\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINXP\system32\drivers\Changer.sys  (File not found)
"DAEMON Tools Virtual Bus Driver" (dtsoftbus01) - "DT Soft Ltd" - C:\WINXP\System32\DRIVERS\dtsoftbus01.sys
"i2omgmt" (i2omgmt) - ? - C:\WINXP\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINXP\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINXP\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINXP\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINXP\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINXP\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINXP\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINXP\System32\Drivers\PxHelp20.sys
"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINXP\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)
"Symantec Network Security Intermediate Filter Service" (SymIM) - ? - C:\WINXP\System32\DRIVERS\SymIM.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINXP\system32\drivers\WDICA.sys  (File not found)
"zlportio" (zlportio) - ? - C:\USdx Challenge Medley Duet Edition\zlportio.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINXP\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgpp.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{3D60EDA7-9AB4-4DA8-864C-D9B5F2E7281D} "Arbeitsbereiche" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? -   (File not found | COM-object registry key not found)
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgse.dll
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\VISSHE.DLL
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\msoshext.dll
{0875DCB6-C686-4243-9432-ADCCF0B9F2D7} "Microsoft OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONFILTER.DLL
{00020D75-0000-0000-C000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\MLSHEXT.DLL
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\OLKFSTUB.DLL
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINXP\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINXP\system32\dfshim.dll
{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
{855F3B16-6D32-4fe6-8A56-BBB695989046} "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINXP\system32\Macromed\Flash\Flash10u.ocx / hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll
"ICQ7.5" - "ICQ, LLC." - C:\Programme\ICQ7.5\ICQ.exe
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
{FFFDC614-B694-4AE6-AB38-5D6374584B52} "Verknüpfte &OneNote-Notizen" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgssie.dll
{326E768D-4182-46FD-9C16-1449A49795F4} "DivX Plus Web Player HTML5 <video>" - "DivX, LLC" - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{B4F3A835-0E21-4959-BA22-42B3008E02FF} "Office Document Cache Handler" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\TBA.BIE\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"AlcoholAutomount" - "Alcohol Soft Development Team" - "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"AVG_TRAY" - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgtray.exe
"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Redirected Port" - ? - C:\WINXP\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"AVG Firewall" (avgfws) - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgfws.exe
"AVG WatchDog" (avgwd) - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\avgwdsvc.exe
"AVGIDSAgent" (AVGIDSAgent) - "AVG Technologies CZ, s.r.o." - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
"DATA BECKER Update Service" (DBService) - "DATA BECKER GmbH & Co KG" - C:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"KMService" (KMService) - ? - C:\WINXP\system32\srvany.exe  (File found, but it contains no detailed information)
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft SharePoint Workspace Audit Service" (Microsoft SharePoint Workspace Audit Service) - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office14\GROOVE.EXE
"NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"Office  Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Office Software Protection Platform" (osppsvc) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
"StarWind AE Service" (StarWindServiceAE) - "Rocket Division Software" - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
"Symantec Core LC" (Symantec Core LC) - ? - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINXP\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINXP\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINXP\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und hier von aswMBR:

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-09 12:11:17
-----------------------------
12:11:17.156 OS Version: Windows 5.1.2600 Service Pack 3
12:11:17.156 Number of processors: 2 586 0x605
12:11:17.156 ComputerName: BIE UserName: TBA
12:11:24.984 Initialize success
12:15:33.406 AVAST engine defs: 11080900
12:15:41.390 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-5
12:15:41.390 Disk 0 Vendor: SAMSUNG_HD103UJ 1AA01118 Size: 953869MB BusType: 3
12:15:43.453 Disk 0 MBR read successfully
12:15:43.484 Disk 0 MBR scan
12:15:43.578 Disk 0 Windows XP default MBR code
12:15:43.609 Disk 0 scanning sectors +1953504000
12:15:43.750 Disk 0 scanning C:\WINXP\system32\drivers
12:16:03.671 Service scanning
12:16:04.640 Service sptd C:\WINXP\System32\Drivers\sptd.sys **LOCKED** 32
12:16:05.296 Modules scanning
12:16:11.812 Disk 0 trace - called modules:
12:16:11.828 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spyx.sys >>UNKNOWN [0x89b61938]<<
12:16:11.843 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b9fab8]
12:16:11.843 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\00000071[0x89b1af18]
12:16:11.843 5 ACPI.sys[f7494620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-5[0x89ba3940]
12:16:15.750 AVAST engine scan C:\WINXP
12:16:47.765 AVAST engine scan C:\WINXP\system32
12:24:26.515 AVAST engine scan C:\WINXP\system32\drivers
12:26:45.328 AVAST engine scan C:\Dokumente und Einstellungen\TBA.BIE
14:13:04.156 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\TBA.BIE\Eigene Dateien\MBR.dat"
14:13:04.156 The log file has been saved successfully to "C:\Dokumente und Einstellungen\TBA.BIE\Eigene Dateien\aswMBR.txt"

cosinus · 09.08.2011, 14:49

GMER ging nicht?

gonso81 · 10.08.2011, 14:27

Hallo, habe GMER jetzt schon drei mal probiert aber es bricht nach 2 Stunden Scann immer ab.

Grüße

05.08.2011, 13:17	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AOL Mailaccount versenden Spammails ohne mein Wissen Hallo und Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! __________________ __________________

05.08.2011, 21:37	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AOL Mailaccount versenden Spammails ohne mein Wissen Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

09.08.2011, 14:49	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AOL Mailaccount versenden Spammails ohne mein Wissen GMER ging nicht? __________________ Logfiles bitte immer in CODE-Tags posten

AOL Mailaccount versenden Spammails ohne mein Wissen

Plagegeister aller Art und deren Bekämpfung: AOL Mailaccount versenden Spammails ohne mein Wissen